One-stop-shop og grænseoverskridende sager

Her kan du læse om den såkaldte one-stop-shop-mekanisme, der er en samarbejdsprocedure, som træder i kraft ved grænseoverskridende behandlinger af personoplysninger.

Hvordan håndhæver Datatilsynet reglerne over for virksomheder, der opererer i flere EU-lande?

Verden er blevet mere global, og det er bl.a. blevet nemmere for en virksomhed at sælge sine produkter og ydelser i ikke bare ét land, men i mange. Hvordan sikres det i en situation, hvor en virksomhed ligger i et andet land end kunderne, at virksomheden overholder databeskyttelsesreglerne?

I EU og EØS-lande er samarbejdsmekanismen, den såkaldte one-stop-shop (OSS), etableret, så sager mod virksomheder, der opererer i flere lande, håndteres af ét datatilsyn. Tilsynet, der bliver den ledende tilsynsmyndighed, er tilsynet i det EU-land, hvor virksomheden har sin hovedvirksomhed.

På den måde sikrer man, at EU-borgere får den samme beskyttelse i hele EU, at en afgørelse gælder i hele EU og ikke kun i et enkelt medlemsland, at virksomhederne behandles ens, og at tilsynenes ressourcer anvendes mest hensigtsmæssigt. Endelig lægger reglerne op til at sanktionere en virksomhed effektivt efter sagens alvor, ikke kun i forhold til ét lands borgere, men i forhold til borgerne i alle de EU-lande, virksomheden opererer i.

For at sikre, at de nationale datatilsyn håndhæver reglerne ens og for omvendt at undgå, at nogle datatilsyn fører et særligt lempeligt tilsyn, mens andre fører et strengt tilsyn, har man i øvrigt indført et system, hvor tilsynet i det land, hvor virksomheden har sin hovedvirksomhed, ikke kan træffe afgørelse i sagen alene. I stedet skal afgørelsen træffes  sammen med tilsynene i de øvrige lande, virksomheden opererer i. Disse berørte tilsyn kan ved anmodning bistå den ledende tilsynsmyndighed med bl.a. at oplyse og undersøge sagen. I praksis foregår det på den måde, at det tilsyn, der behandler sagen, forelægger et udkast til afgørelse for tilsynene i de øvrige lande. Er tilsynene ikke enige om, hvad sagens udfald skal være, skal beslutningen herom træffes i Det Europæiske Databeskyttelsesråd (EDPB), hvor alle europæiske datatilsyn er repræsenteret, og her bestemmer flertallet, hvad afgørelsen skal være. For at denne del af beslutningsprocessen ikke skal tage for lang tid, er der fastsat nogle ret korte tidsfrister herfor.

Følgende eksempel illustrerer situationen

Datatilsynet modtager en klage over en stor international virksomheds behandling af personoplysninger. Inden Datatilsynet selv påbegynder en behandling af sagen, undersøger tilsynet, om virksomheden har et europæisk hovedkontor og i givet fald hvor. I det konkrete tilfælde har virksomheden sit europæiske hovedkontor i Irland, og Datatilsynet vil derfor oversende sagen til behandling hos tilsynets irske kolleger, da det irske datatilsyn i dette tilfælde er det ledende datatilsyn, som er forpligtet til at undersøge og træffe afgørelse i sagen. Hvis tilsyn i andre lande modtager tilsvarende klager, vil disse også blive oversendt til det irske tilsyn og indgå i sagen.

Når det irske tilsyn er nået frem til, hvad der efter tilsynets opfattelse er den rigtige afgørelse i sagen, sender tilsynet et udkast til afgørelse til de øvrige berørte datatilsyn.

Hvis alle er enige i afgørelsen, kan det irske tilsyn herefter sende afgørelsen til virksomheden. Hvis et eller flere af de øvrige berørte datatilsyn imidlertid er uenige i afgørelsen, og der derfor ikke kan opnås enighed, skal sagen forelægges for EDPB. Her vil sagen blive drøftet, og i sidste ende vil der blive stemt om, hvad der er den rigtige afgørelse. Denne beslutning er det irske tilsyn herefter forpligtet til at følge, sende til og håndhæve over for virksomheden.

Kontakten til klager undervejs tager de nationale datatilsyn sig af.

Vil du hellere lytte end at læse?

Datatilsynet har udgivet en podcastepisode om one-stop-shop og grænseoverskridende sager.

Lyt til den her.

Afgørelser

På Det Europæiske Databeskyttelsesråds (EDPB) hjemmeside findes en oversigt over afgørelser truffet på baggrund af one-stop-shop proceduren.

Find oversigten over afgørelser her.