Bliv klar til den nye persondataforordning - Del 2: Tilsynsmyndigheder og One Stop Shop-mekanismen
I starten af 2018 træder den nye persondataforordning i kraft, hvilket medfører en række ændringer og nye krav til virksomhederne. I denne uge ser vi nærmere på One Stop Shop-mekanismen, som gør det muligt for virksomheder med grænseoverskridende aktiviteter kun at have kontakt til én tilsynsmyndighed.
I december 2015 blev EU-Parlamentet, Kommissionen og Rådet endelig enige om ordlyden af den nye persondataforordning, som har været næsten fire år undervejs. Den nye persondataforordning forventes at træde i kraft i Danmark og resten af EU i starten af 2018. I Danmark erstatter forordningen persondataloven.
I Danmark er det Datatilsynet, der skal overvåge og håndhæve, at virksomhederne overholder den nye persondataforordning.
One Stop Shop-mekanismen
Persondataforordningen indfører en One Stop Shop-mekanisme, som er relevant for virksomheder, der er etableret i flere EU-lande. Mekanismen skal sikre en ensartet anvendelse af persondataforordningen og samtidig gøre det muligt for virksomhederne kun at have kontakt til én tilsynsmyndighed.
En tilsynsmyndighed har som udgangspunkt kun kompetence på sin medlemsstats område. Hvis en virksomhed er beliggende i flere EU-lande, og virksomheden udfører grænseoverskridende behandling af persondata, vil den såkaldte ’ledende tilsynsmyndighed’ dog få udvidet sine kompetencer til også at gælde i andre medlemsstater. I sådanne tilfælde vil den ledende tilsynsmyndighed skulle samarbejde med andre berørte tilsynsmyndigheder efter en nærmere fastsat procedure, men virksomheden vil nøjes med at kunne have kontakt til den ledende tilsynsmyndighed.
Den ledende tilsynsmyndighed er som udgangspunkt tilsynsmyndigheden i den medlemsstat, hvor virksomheden har sin hovedvirksomhed eller eneste virksomhed. Virksomhedens hovedvirksomhed er virksomhedens centrale administration eller alternativt der, hvor der træffes beslutninger vedrørende formål og metoder for behandling af personoplysninger, hvis dette sker et andet sted.
Hvis der er tale om en koncern, vil den kontrollerende virksomheds hovedvirksomhed som udgangspunkt anses for at være koncernens hovedvirksomhed.
IUNO mener
One Stop Shop-mekanismen er en klar fordel for virksomheder, som er etableret i flere EU-lande, fordi det er nemmere at identificere, hvilken tilsynsmyndighed de skal henvende sig til. Derudover vil det formindske virksomhedernes administrative omkostninger, at de kan nøjes med at have kontakt til én tilsynsmyndighed.
En af de grundlæggende ændringer i persondataforordningen er, at de nuværende krav om anmeldelse og underretning om behandling af persondata bliver fjernet. Medlemsstaterne har dog mulighed for at fastsætte nationale regler på visse områder – for eksempel for behandling af persondata i forbindelse med ansættelsesforhold. Det kan derfor ske, at Danmark vælger at fastsætte regler om anmeldelse af behandling af persondata i forbindelse med personaleadministration, som vi kender det i dag, og/eller at andre EU-lande fastsætter regler herom. I sådan et tilfælde vil One Stop Shop-mekanismen formentlig komme til at spille en særlig rolle.
Data Protection Officers
Den nye persondataforordning indeholder flere ændringer, som vi løbende vil informere om. Vi har i et tidligere nyhedsbrev skrevet om kravet om at ansætte en Data Protestion Officer, find nyhedsbrevet her.
I december 2015 blev EU-Parlamentet, Kommissionen og Rådet endelig enige om ordlyden af den nye persondataforordning, som har været næsten fire år undervejs. Den nye persondataforordning forventes at træde i kraft i Danmark og resten af EU i starten af 2018. I Danmark erstatter forordningen persondataloven.
I Danmark er det Datatilsynet, der skal overvåge og håndhæve, at virksomhederne overholder den nye persondataforordning.
One Stop Shop-mekanismen
Persondataforordningen indfører en One Stop Shop-mekanisme, som er relevant for virksomheder, der er etableret i flere EU-lande. Mekanismen skal sikre en ensartet anvendelse af persondataforordningen og samtidig gøre det muligt for virksomhederne kun at have kontakt til én tilsynsmyndighed.
En tilsynsmyndighed har som udgangspunkt kun kompetence på sin medlemsstats område. Hvis en virksomhed er beliggende i flere EU-lande, og virksomheden udfører grænseoverskridende behandling af persondata, vil den såkaldte ’ledende tilsynsmyndighed’ dog få udvidet sine kompetencer til også at gælde i andre medlemsstater. I sådanne tilfælde vil den ledende tilsynsmyndighed skulle samarbejde med andre berørte tilsynsmyndigheder efter en nærmere fastsat procedure, men virksomheden vil nøjes med at kunne have kontakt til den ledende tilsynsmyndighed.
Den ledende tilsynsmyndighed er som udgangspunkt tilsynsmyndigheden i den medlemsstat, hvor virksomheden har sin hovedvirksomhed eller eneste virksomhed. Virksomhedens hovedvirksomhed er virksomhedens centrale administration eller alternativt der, hvor der træffes beslutninger vedrørende formål og metoder for behandling af personoplysninger, hvis dette sker et andet sted.
Hvis der er tale om en koncern, vil den kontrollerende virksomheds hovedvirksomhed som udgangspunkt anses for at være koncernens hovedvirksomhed.
IUNO mener
One Stop Shop-mekanismen er en klar fordel for virksomheder, som er etableret i flere EU-lande, fordi det er nemmere at identificere, hvilken tilsynsmyndighed de skal henvende sig til. Derudover vil det formindske virksomhedernes administrative omkostninger, at de kan nøjes med at have kontakt til én tilsynsmyndighed.
En af de grundlæggende ændringer i persondataforordningen er, at de nuværende krav om anmeldelse og underretning om behandling af persondata bliver fjernet. Medlemsstaterne har dog mulighed for at fastsætte nationale regler på visse områder – for eksempel for behandling af persondata i forbindelse med ansættelsesforhold. Det kan derfor ske, at Danmark vælger at fastsætte regler om anmeldelse af behandling af persondata i forbindelse med personaleadministration, som vi kender det i dag, og/eller at andre EU-lande fastsætter regler herom. I sådan et tilfælde vil One Stop Shop-mekanismen formentlig komme til at spille en særlig rolle.
Data Protection Officers
Den nye persondataforordning indeholder flere ændringer, som vi løbende vil informere om. Vi har i et tidligere nyhedsbrev skrevet om kravet om at ansætte en Data Protestion Officer, find nyhedsbrevet her.
Lignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet
