Vad är principen ”One-Stop-Shop”?

En av de stora utmaningarna inom EU är att all information över Internet ska tillåtas att flöda fritt mellan länder inom EU. Detta hänger samman med synen på att tjänster, varor och kapital ska kunna röra sig fritt inom EU:s inre marknad. I och med den nya dataskyddsförordningen kommer regelverket kring dataskydd att harmoniseras och lagstiftarna fann sig därför även tvungna att ta tag i den praktiska genomförbarheten av informationsflöden som utbyts mellan olika medlemsstater. Just därför har man valt att även införa principen om One-Stop-Shop.

Principen uttrycks i Artikel 56 GDPR och innebär kort sagt att om personuppgiftsansvariga eller personuppgiftsbiträden är aktiv i flera medlemsstater så ska det utses en ansvarig tillsynsmyndighet i det huvudsakliga verksamhetsområdet. Den ansvariga tillsynsmyndigheten är tänkt att fungera som ett samordningsorgan som har det överordnade ansvaret för de personuppgiftsansvariga eller personuppgiftsbiträdena. Tillsynsmyndigheten ska samarbeta med andra berörda tillsynsmyndigheter där de personuppgiftsansvariga eller personuppgiftsbiträdena har verksamhet i. Detta görs bl.a. genom att ömsesidigt dela information och utföra utredningar. För personuppgiftsansvariga och personuppgiftsbiträden är syftet med en ansvarig tillsynsmyndighet att så enkelt som möjligt veta vilken myndighet man bör vända sig till vid t.ex. en personuppgiftsincident.

Exempel: Utgör Sverige mitt huvudsakliga verksamhetsområde men jag dessutom har filialer i Tyskland och Spanien räcker det med att jag vänder mig till Datainspektionen med mitt ärende och Datainspektionen får i sin tur vända sig till de andra tillsynsmyndigheterna.

Att företag så enkelt som möjligt obehindrat ska kunna utföra sin verksamhet har i sin tur vägts mot berörda privatpersoners (personuppgiftsregistrerades) möjlighet att kunna lämna in ett klagomål. Den berörda personuppgiftsregistrerade ska enkelt kunna vända sig till sin nationella berörda tillsynsmyndighet oavsett om denna har utsetts till ansvarig tillsynsmyndighet eller inte. Använder vi ovanstående exempel ska ett klagomål från en tysk privatperson om att den personuppgiftsansvariga har brutit mot t.ex. Artikel 16 i förordningen kunna ges in till den nationella tillsynsmyndigheten i Tyskland. Det är sedan Tysklands tillsynsmyndighets plikt att meddela Datainspektionen i Sverige.[1]

Hur förhåller sig mitt företag till ”One-Stop-Shop”-principen?

Som kanske framgår genom texten ovan finns det några kriterier innan ”One-Stop-Shop” blir tillämplig. Nedanstående frågor ger en förenklad bild över när principen kan bli tillämplig och vem som blir ansvarig tillsynsmyndighet samt berörd tillsynsmyndighet:

1. Är behandlingen av den personuppgiftsansvariga eller personuppgiftsbiträdet gränsöverskridande personuppgiftsbehandling?

Det finns två scenarion där personuppgiftsbehandlingen ses som gränsöverskridande.[2] Det första scenariot har redan nämnts och innebär att det finns mer än ett verksamhetsställe där den personuppgiftsansvariga eller personuppgiftsbiträdet behandlar personuppgifter. Det andra scenariot är när verksamheten endast utförs på ett verksamhetsställe men påverkar i väsentlig grad eller sannolikt i väsentlig grad kommer att påverka personuppgiftsregistrerade i mer än en medlemsstat. Huruvida de personuppgiftsregistrerade påverkas i väsentlig grad eller sannolikt i väsentlig grad kommer att påverkas avgörs genom en helhetsbedömning.[3]

2. Vilket lands tillsynsmyndighet kommer att utgöra den ansvariga tillsynsmyndigheten?

Av Artikel 56 GDPR framgår det att den ansvariga tillsynsmyndigheten är den tillsynsmyndighet som finns där den personuppgiftsansvariga eller personuppgiftsbiträdet har sitt huvudsakliga verksamhetsställe. Vidareutvecklar vi detta begrepp utgör det huvudsakliga verksamhetsstället det ställe där vederbörande har sin centrala förvaltning såvida inte besluten om ändamålen och medlen för behandlingen sker på ett annat verksamhetsställe vilket i sådana fall innebär att det sistnämnda stället utgör det huvudsakliga verksamhetsstället. För personuppgiftsbiträdet innebär det huvudsakliga verksamhetsstället, det ställe där den centrala förvaltningen sköts eller där den huvudsakliga personuppgiftsbehandlingen sköts.[4]

3. Vilka länders tillsynsmyndigheter ses som berörda tillsynsmyndigheter?

I de länder som den personuppgiftsansvariga eller personuppgiftsbiträdet har en verksamhet eller där de personuppgiftsregistrerade är väsentligt påverkade eller sannolikt väsentligt påverkade. Slutligen är en berörd tillsynsmyndighet även den myndighet ett klagomål har lämnats in till.[5]

Avslutning

Principen om One-Stop-Shop utformades som en balansgång mellan att förenkla den praktiska genomförbarheten för företag som befinner sig i mer än en medlemsstat och samtidigt slå vakt om de personuppgiftsregistrerades rättigheter. I nuläget finns fortfarande många frågetecken kring definitioner som ”huvudsakligt verksamhetsställe” och ”väsentligen påverka”. Dessutom finns det oklarheter över hur den administrativa bördan kommer att se ut för tillsynsmyndigheter i de olika medlemsländerna. Hör gärna av er om ni vill veta mer!

 

För mer information: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Kenny Chung

info@sallbergco.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.

[1] Artikel 56 andra stycket GDPR.

[2] Artikel 4.23 GDPR.

[3] Se Artikel 29-gruppens”Guidelines on The Lead Supervisory Authority” http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 s. 4.

[4] Artikel 4.16 GDPR.

[5] Se Artikel 29-gruppens ”Guidelines on The Lead Supervisory Authority” http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 s.12.

Share This