Europeisk samarbeid i saksbehandlingen

For å sikre at personvernreglene tolkes likt, skal datatilsynsmyndighetene i mange sammenhenger samarbeide om å behandle saker som påvirker personvernet på tvers av landegrensene. Dette kalles samarbeidsmekanismen eller «One-Stop Shop»-mekanismen.

Samarbeidsmekanismen gir blant annet Datatilsynet i Norge mulighet til å påvirke andre lands vedtak når behandlingen av personopplysninger i stor grad påvirker personer i Norge.

Saksbehandlingstiden er ofte lengre for slike saker siden de krever europeisk koordinering.

Når bruker vi samarbeidsmekanismen?

For at datatilsynsmyndighetene skal kunne samarbeide i saksbehandlingen, må det aktuelle foretaket ha en såkalt hovedetablering i EØS, altså en filial, kontor eller liknende som bestemmer over hvordan foretaket behandler personopplysninger i EØS. Dessuten må saken være grenseoverskridende, altså at ett av følgende vilkår er oppfylt:

  • Behandlingen av personopplysninger skjer i kontekst av foretakets etableringer i flere EØS-stater. Et eksempel på dette er et foretak med hovedetablering i Finland, der hovedetableringen bestemmer hvordan personopplysninger skal behandles i foretakets etableringer i Norge, Sverige, Danmark og Island.

  • Behandlingen av personopplysninger skjer i kontekst av foretakets etablering i én EØS-stat, men behandlingen påvirker (sannsynligvis) personer i flere EØS-stater i betydelig grad. Et eksempel på dette er en nettbutikk som kun er etablert i Norge, men som har kunder i flere europeiske land.

Motsatt, hvis en norsk filial selv bestemmer hvordan personopplysninger skal behandles for personer i Norge, men ikke bestemmer over personopplysningene til personer i andre land, gjelder ikke samarbeidsmekanismen. Det samme er tilfellet hvis behandlingsgrunnlaget er artikkel 6(1)(c) (nødvendig for å oppfylle en rettslig forpliktelse) eller 6(1)(e) (nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet).
Les mer om behandlingsgrunnlag

Hva går samarbeidsmekanismen ut på?

Datatilsynsmyndigheten i landet der foretaket har sin hovedetablering, kalles ledende tilsynsmyndighet. Datatilsynsmyndigheter i land som er berørt av saken, kalles berørte tilsynsmyndigheter.

Samarbeidsmekanismen har flere steg:

  1. Først må man identifisere ledende og berørte tilsynsmyndigheter.
  2. Deretter vil ledende tilsynsmyndighet gjøre undersøkelser og behandle saken. I denne fasen er det mulig å samarbeide løpende og uformelt med berørte tilsynsmyndigheter.
  3. Ledende tilsynsmyndighet vil så fremlegge et utkast til avgjørelse i saken. Berørte tilsynsmyndigheter kan uttale seg om utkastet. Hvis alle er enige i utkastet, vil ledende tilsynsmyndighet fatte et endelig vedtak. Dersom avgjørelsen går ut på å avvise eller avslå saken, er det imidlertid tilsynsmyndigheten som mottok klagen som fatter det formelle vedtaket.
  4. Hvis noen av de berørte tilsynsmyndighetene er uenige i utkastet, har de mulighet til å komme med en relevant og begrunnet innsigelse. I så fall må ledende tilsynsmyndighet fremlegge et revidert utkast til avgjørelse.
  5. Dersom tilsynsmyndighetene fortsatt ikke kommer til enighet, kan saken løftes til Personvernrådet. Personvernrådet kan bestemme hva vedtaket til ledende tilsynsmyndighet skal gå ut på. Normalt kreves to tredjedelers flertall før Personvernrådet kan bestemme dette.

Hvilken datatilsynsmyndighet skal jeg forholde meg til?

Hvis du er en enkeltperson som har klaget, behøver du bare å forholde deg til tilsynsmyndigheten du klagde til. Du kan for eksempel klage til tilsynsmyndigheten i landet der du bor, der du jobber eller der du mener at bruddet fant sted.

Hvis du representerer et foretak som driver med grenseoverskridende behandling av personopplysninger, behøver du som hovedregel bare å forholde deg til tilsynsmyndigheten i landet der du har din hovedetablering.

6