Hvordan håndhæver Datatilsynet reglerne over for virksomheder, der opererer i flere EU-lande?

Med internettet er verden blevet mere global, og det er blandt andet blevet nemmere for en virksomhed at sælge sine produkter og ydelser i ikke bare ét land, men i mange.

Hvordan sikres det i en situation, hvor en virksomhed ligger i et andet land end kunderne, at virksomheden overholder databeskyttelsesreglerne?

I EU er samarbejdsmekanismen lavet, så sager mod virksomheder, der opererer i flere lande, håndteres af ét datatilsyn, nemlig tilsynet i det EU-land, hvor virksomheden har sit europæiske hovedkontor.

På den måde sikrer man, at EU-borgere får den samme beskyttelse i hele EU, at en afgørelse gælder i hele EU og ikke kun i et enkelt medlemsland, at virksomhederne behandles ens, og at tilsynenes ressourcer anvendes mest hensigtsmæssigt. Endelig lægger reglerne op til at sanktionere en virksomhed effektivt efter sagens alvor, ikke kun i forhold til ét lands borgere, men i forhold til borgerne i alle de EU-lande, virksomheden opererer i.

 

For at sikre, at de nationale datatilsyn håndhæver reglerne ens og for omvendt at undgå, at nogle datatilsyn fører et særligt lempeligt tilsyn, mens andre fører et strengt tilsyn, har man i øvrigt indført et system, hvor tilsynet i det land, hvor virksomhedens hovedkontor ligger, ikke kan træffe afgørelse i sagen alene, men i stedet skal træffe afgørelsen sammen med tilsynene i de øvrige lande, virksomheden opererer i. I praksis foregår det på den måde, at det tilsyn, der behandler sagen, forelægger et udkast til afgørelse for tilsynene i de øvrige lande. Er tilsynene ikke enige om, hvad sagens udfald skal være, skal beslutningen herom træffes i Det Europæiske Databeskyttelsesråd (EDPB), hvor alle europæiske datatilsyn er repræsenteret, og her bestemmer flertallet, hvad afgørelsen skal være. For at denne del af beslutningsprocessen ikke skal tage for lang tid, er der fastsat nogle ret korte tidsfrister herfor.

 

Følgende eksempel illustrerer situationen:

 

Datatilsynet modtager en klage over en stor international virksomheds behandling af personoplysninger. Inden Datatilsynet selv påbegynder en behandling af sagen, undersøger tilsynet, om virksomheden har et europæisk hovedkontor og i givet fald hvor. I det konkrete tilfælde har virksomheden sit europæiske hovedkontor i Irland, og Datatilsynet vil derfor oversende sagen til behandling hos tilsynets irske kolleger, da det irske datatilsyn i dette tilfælde er det datatilsyn, som er forpligtet til at undersøge og træffe afgørelse i sagen. Hvis tilsyn i andre lande modtager tilsvarende klager, vil disse også blive oversendt til det irske tilsyn og indgå i sagen.

 

Når det irske tilsyn er nået frem til, hvad der efter tilsynets opfattelse er den rigtige afgørelse i sagen, sender tilsynet et udkast til afgørelse til de øvrige datatilsyn.

 

Hvis alle er enige i afgørelsen, kan det irske tilsyn herefter sende afgørelsen til virksomheden. Er et eller flere af de øvrige datatilsyn imidlertid uenige i afgørelsen, og kan der derfor ikke opnås enighed, skal sagen forelægges for det Europæiske Databeskyttelsesråd, hvor sagen vil blive drøftet, og hvor der i sidste ende vil blive stemt om, hvad der er den rigtige afgørelse. Denne beslutning er det irske tilsyn herefter forpligtet til at følge og dermed sende til og håndhæve over for virksomheden. Kontakten til klager undervejs tager de nationale datatilsyn sig af.