Europeisk samarbeid i grenseoverskridende saker

For å sikre at personvernreglene tolkes likt, skal datatilsynsmyndighetene i mange sammenhenger samarbeide om å behandle saker som påvirker personvernet i flere EØS-land. Dette kalles samarbeidsmekanismen eller «One-Stop Shop»-mekanismen. 

Samarbeidsmekanismen sikrer at reglene tolkes likt i EØS. Fordi datatilsynsmyndighetene koordinerer seg imellom, behøver enkeltpersoner og selskaper bare å forholde seg til én tilsynsmyndighet i slike saker. Samtidig gir det Datatilsynet i Norge mulighet til å påvirke andre lands vedtak når behandlingen av personopplysninger i stor grad påvirker personer i Norge.

Saksbehandlingstiden er ofte lengre for slike saker siden de krever europeisk koordinering. 

Når bruker vi samarbeidsmekanismen?

For at datatilsynsmyndighetene skal kunne samarbeide i saksbehandlingen, må det aktuelle selskapet ha en såkalt hovedetablering i EØS, altså en filial, kontor eller liknende som bestemmer over hvordan selskapet behandler personopplysninger i EØS. Dessuten må saken være grenseoverskridende, altså at ett av følgende vilkår er oppfylt:

  • Behandlingen av personopplysninger skjer i kontekst av selskapets etableringer i flere EØS-stater. Et eksempel på dette er et selskap med hovedetablering i Finland, der hovedetableringen bestemmer hvordan personopplysninger skal behandles i selskapets etableringer i Norge, Sverige, Danmark og Island.

  • Behandlingen av personopplysninger skjer i kontekst av selskapets etablering i én EØS-stat, men behandlingen påvirker (sannsynligvis) personer i flere EØS-stater i betydelig grad. Et eksempel på dette er en nettbutikk som kun er etablert i Norge, men som har kunder i flere europeiske land.

Motsatt, hvis en norsk filial selv bestemmer hvordan personopplysninger skal behandles for personer i Norge, men ikke bestemmer over personopplysningene til personer i andre EØS-land, gjelder ikke samarbeidsmekanismen. Det samme er tilfellet hvis behandlingsgrunnlaget er artikkel 6(1)(c) (nødvendig for å oppfylle en rettslig forpliktelse) eller 6(1)(e) (nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet).

Les mer om behandlingsgrunnlag

Hva som er grenseoverskridende er definert i personvernforordningen artikkel 4 nr. 23 (lovdata.no).

Illustrasjon: Hvordan identifisere en grenseoverskridende sak, når behandlingsgrunnlaget er noe annet enn en rettslig forpliktelse (artikkel 6(1)(c)) eller allmenn interesse/offentlig myndighet (artikkel 6(1)(e)).

Flytskjema GOB 1.png

Hva går samarbeidsmekanismen ut på?

Datatilsynsmyndigheten i landet der selskapet har sin hovedetablering, kalles ledende tilsynsmyndighet. Datatilsynsmyndigheter i land som er berørt av saken, kalles berørte tilsynsmyndigheter.

Samarbeidsmekanismen har flere steg:

  1. Først må man identifisere ledende og berørte tilsynsmyndigheter.
  2. Deretter vil ledende tilsynsmyndighet gjøre undersøkelser og behandle saken. I denne fasen er det mulig å samarbeide løpende og uformelt med berørte tilsynsmyndigheter.
  3. Ledende tilsynsmyndighet vil så fremlegge et utkast til avgjørelse i saken. Berørte tilsynsmyndigheter kan uttale seg om utkastet. Hvis alle er enige i utkastet, vil ledende tilsynsmyndighet fatte et endelig vedtak. Dersom avgjørelsen går ut på å avvise eller avslå saken, er det imidlertid tilsynsmyndigheten som mottok klagen som fatter det formelle vedtaket.
  4. Hvis noen av de berørte tilsynsmyndighetene er uenige i utkastet, har de mulighet til å komme med en relevant og begrunnet innsigelse. I så fall må ledende tilsynsmyndighet fremlegge et revidert utkast til avgjørelse.
  5. Dersom tilsynsmyndighetene fortsatt ikke kommer til enighet, kan saken løftes til Personvernrådet. Personvernrådet kan bestemme hva vedtaket til ledende tilsynsmyndighet skal gå ut på. Normalt kreves to tredjedelers flertall før Personvernrådet kan bestemme dette.

Illustrert eksempel: Her er Norge ledende tilsynsmyndighet, mens Danmark, Sverige og Tyskland er berørte tilsynsmyndigheter. Dersom tilsynsmyndighetene ikke kommer til enighet (pkt. 5 ovenfor), så løftes saken til Personvernrådet som tar en endelig beslutning ved ⅔ flertall blant medlemmene.

Flytskjema GOB 2.png

Hvilken datatilsynsmyndighet skal jeg forholde meg til?

Hvis du er en enkeltperson som har klaget, behøver du bare å forholde deg til tilsynsmyndigheten du klagde til. Du kan for eksempel klage til tilsynsmyndigheten i landet der du bor, der du jobber eller der du mener at bruddet fant sted.

Hvis du representerer et selskap som driver med grenseoverskridende behandling av personopplysninger, behøver du som hovedregel bare å forholde deg til tilsynsmyndigheten i landet der du har din hovedetablering.

Identifisering av hovedetablering og ledende tilsynsmyndighet

Hva som er selskapets hovedetablering bestemmes ut fra ulike kriterier avhengig av om selskapet opptrer som behandlingsansvarlig eller databehandler.

For behandlingsansvarlige vil hovedetableringen være

  • Selskapets hovedadministrasjon i EØS, forutsatt at det er her man bestemmer hvordan personopplysninger skal behandles.
  • Dersom det er en annen etablering i EØS som bestemmer hvordan personopplysninger skal behandles, er denne etableringen hovedetableringen.
  • Dersom det er en etablering utenfor EØS som bestemmer hvordan personopplysninger skal behandles, har ikke dette selskapet en hovedetablering i EØS, og da kan ikke samarbeidsmekanismen brukes.

For databehandlere vil hovedetableringen være:

  • Selskapets hovedadministrasjon i EØS.
  • Dersom databehandleren ikke har noen hovedadministrasjon i EØS (typisk fordi hovedadministrasjonen ligger i et land utenfor EØS), regnes selskapets etablering i EØS der hoveddelen av behandlingsaktivitetene finner sted, som hovedetableringen.

Hva som er en hovedetablering er definert i personvernforordningen artikkel 4 nr. 16 (lovdata.no).

Når Datatilsynet mottar en klage om en grenseoverskridende behandling av personopplysninger, må vi identifisere hovedetableringen for å finne ut hvilken datatilsynsmyndighet som skal være ledende tilsynsmyndighet i saken. Hvis dette er en annen datatilsynsmyndighet enn Datatilsynet i Norge, vil vi likevel alltid være berørt tilsynsmyndighet og dermed samarbeide med den ledende tilsynsmyndigheten i behandlingen av saken.

Hovedregelen ved avviksmelding er at virksomheten melder avviket til ledende tilsynsmyndighet. Regelen gjelder uavhengig av om det kun er personer i et annet EØS-land som er berørt av avviket. Hvis du er usikker på hvor din virksomhets hovedetablering ligger, kan du likevel melde avviket til datatilsynsmyndigheten i landet hvor avviket har skjedd eller hvor de berørte personene befinner seg.