Hvordan håndhæver Datatilsynet reglerne over for virksomheder, der opererer i flere EU-lande?

Med internettet er verden blevet mere global, og det er blandt andet blevet nemmere for en virksomhed at sælge sine produkter og ydelser i ikke bare ét land, men i mange.

Hvordan sikres det i en situation, hvor en virksomhed ligger i et andet land end kunderne, at virksomheden overholder databeskyttelsesreglerne?

De nationale datatilsyn arbejdede før databeskyttelsesforordningen i vidt omfang uafhængigt af hinanden, og i princippet kunne hvert af de 31 europæiske datatilsyn behandle hver deres identiske sag mod virksomheder som f.eks. Facebook, Google eller Amazon. For virksomhederne betød det, at de skulle drøfte den samme sag med 31 forskellige myndigheder, som måske i øvrigt ikke havde helt samme fortolkning af reglerne, ligesom de måske også så forskelligt på, om og i givet fald hvilken sanktion en overtrædelse af reglerne skulle resultere i. Samtidig havde en sag kun national virkning, hvilket ikke var specielt effektivt over for især store internationale virksomheder. De nationale tilsyn skulle hver især bruge mange ressourcer på sådanne sager, sagerne kunne få forskelligt udfald og dermed ikke gav borgere i EU den samme beskyttelse, og bøderne virkede med deres nationale fokus nok heller ikke særligt afskrækkende.

 

Da de europæiske regler om beskyttelse af personoplysninger skulle opdateres, besluttede EU-lovgiver derfor for det første at ensrette reglerne mere, ligesom det også blev vedtaget, at sager mod virksomheder, der opererer i flere lande, fremover skal håndteres af ét datatilsyn, nemlig tilsynet i det EU-land, hvor virksomheden har sit europæiske hovedkontor.

 

På den måde sikrer man i højere grad, at EU-borgere får den samme beskyttelse i hele EU, at en afgørelse fremover gælder i hele EU og ikke kun i et enkelt medlemsland, at virksomhederne behandles ens, og at tilsynenes ressourcer anvendes mere hensigtsmæssigt. Endelig lægger de nye regler – som bekendt – op til at sanktionere en virksomhed effektivt efter sagens alvor, ikke kun i forhold til ét lands borgere, men i forhold til borgerne i alle de EU-lande, virksomheden opererer i.

 

For at sikre, at de nationale datatilsyn håndhæver reglerne ens og for omvendt at undgå, at nogle datatilsyn fører et særligt lempeligt tilsyn, mens andre fører et strengt tilsyn, har man i øvrigt indført et system, hvor tilsynet i det land, hvor virksomhedens hovedkontor ligger, ikke kan træffe afgørelse i sagen alene, men i stedet skal træffe afgørelsen sammen med tilsynene i de øvrige lande, virksomheden opererer i. I praksis foregår det på den måde, at det tilsyn, der behandler sagen, forelægger et udkast til afgørelse for tilsynene i de øvrige lande. Er tilsynene ikke enige om, hvad sagens udfald skal være, skal beslutningen herom træffes i Det Europæiske Databeskyttelsesråd (EDPB), hvor alle europæiske datatilsyn er repræsenteret, og her bestemmer flertallet, hvad afgørelsen skal være. For at denne del af beslutningsprocessen ikke skal tage for lang tid, er der fastsat nogle ret korte tidsfrister herfor.

 

Følgende eksempel illustrerer situationen efter 25. maj 2018 med denne nye måde at håndhæve på:

 

Datatilsynet modtager en klage over en stor international virksomheds behandling af personoplysninger. Inden Datatilsynet selv påbegynder en behandling af sagen, undersøger tilsynet, om virksomheden har et europæisk hovedkontor og i givet fald hvor. I det konkrete tilfælde har virksomheden sit europæiske hovedkontor i Irland, og Datatilsynet vil derfor oversende sagen til behandling hos tilsynets irske kolleger, da det irske datatilsyn i dette tilfælde er det datatilsyn, som er forpligtet til at undersøge og træffe afgørelse i sagen. Hvis tilsyn i andre lande modtager tilsvarende klager, vil disse også blive oversendt til det irske tilsyn og indgå i sagen.

 

Når det irske tilsyn er nået frem til, hvad der efter tilsynets opfattelse er den rigtige afgørelse i sagen, sender tilsynet et udkast til afgørelse til de øvrige datatilsyn.

 

Hvis alle er enige i afgørelsen, kan det irske tilsyn herefter sende afgørelsen til virksomheden. Er et eller flere af de øvrige datatilsyn imidlertid uenige i afgørelsen, og kan der derfor ikke opnås enighed, skal sagen forelægges for det Europæiske Databeskyttelsesråd, hvor sagen vil blive drøftet, og hvor der i sidste ende vil blive stemt om, hvad der er den rigtige afgørelse. Denne beslutning er det irske tilsyn herefter forpligtet til at følge og dermed sende til og håndhæve over for virksomheden. Kontakten til klager undervejs tager de nationale datatilsyn sig af.

 

Hvornår kommer de første fælleseuropæiske afgørelser?

 

Databeskyttelsesforordningen har fundet anvendelse siden 25. maj 2018, så det er kun forhold, der har fundet sted efter denne dato, der er omfattet af de nye regler. En del sager er allerede afgjort efter fremgangsmåden beskrevet ovenfor, men der har typisk været tale om mindre, og især mindre offentligt omtalte sager. En række sager mod store internationale virksomheder er imidlertid på vej, og afgørelser forventes i andet halvår 2019. Især hvor det drejer sig om mere omfattende sager, som kan have store konsekvenser for såvel borgere som virksomheder, er det imidlertid forventeligt, at der er en vis sagsbehandlingstid, især fordi der kan være en længere dialog med virksomheden om sagens omstændigheder.