Behandling som gäller flera EU-länder
Om din organisation verkar i fler än ett EU-land, ska du utreda hos vilket lands tillsynsmyndighet din organisation ska uträtta sina ärenden. Denna dataskyddsmyndighet kallas för ansvarig tillsynsmyndighet.
Den ansvariga myndigheten koordinerar övervakningen av personuppgifter tillsammans med övriga berörda tillsynsmyndigheter. En organisation behöver med andra ord i allmänhet sköta ärenden enbart hos en tillsynsmyndighet, trots att dess verksamhet omspänner flera EU-länder. Detta arrangemang kallas för principen om en lucka.
Med gränsöverskridande behandling avses behandling av personuppgifter som
- utförs vid verksamhetsställen i fler än en medlemsstat i EU och då den personuppgiftsansvarige och personuppgiftsbiträdet har sin etableringsplats i fler än en medlemsstat
- utförs i EU vid ett enda verksamhetsställe för den personuppgiftsansvarige eller personuppgiftsbiträdet, men behandlingen i väsentlig grad påverkar eller är ägnad åt att i väsentlig grad påverka registrerade som finns i fler än en medlemsstat.
Med betydande konsekvenser avses
- konsekvenser för den enskildes hälsa, välbefinnande och sinnesfrid
- konsekvenser för den enskildes ekonomiska ställning eller förhållanden
- utsättande av den enskilde för diskriminering och orättvist bemötande
- skada, förlust, ångest, vånda och oro
- skam och skadat anseende
- ändring av beteendet på ett betydande sätt
- oväntade icke-önskade följder
- begränsning av rättigheter eller förlust av möjligheter
- behandling av personuppgifter som är känsliga eller kränkande eller som gäller barn
- omfattande behandling av personuppgifter.
Hur fastställs den ansvariga tillsynsmyndigheten?
Den ansvariga tillsynsmyndigheten fastställs i allmänhet enligt det huvudsakliga verksamhetsstället för den personuppgiftsansvarige. Om din organisation har sitt huvudsakliga verksamhetsställe i Finland, övervakas behandlingen av personuppgifter i regel av dataombudsmannen i Finland.
Om den personuppgiftsansvarige har flera verksamhetsställen i EU, fastställs det ställe där den personuppgiftsansvarige har sin centrala förvaltning som huvudsakligt verksamhetsställe. Om besluten om syftena och metoderna för behandlingen av personuppgifter dock fattas vid ett annat verksamhetsställe, och verksamhetsstället har behörighet att verkställa dessa beslut, fastställs detta verksamhetsställe som ansvarigt verksamhetsställe. Det ligger på den personuppgiftsansvariges ansvar att tydligt redogöra för var besluten om syftena och metoderna för behandlingen av personuppgifter fattas.
Om besluten om syftena och metoderna för behandlingen av personuppgifter fattas vid olika verksamhetsställen, finns det flera ansvariga tillsynsmyndigheter. De ansvariga tillsynsmyndigheterna fastställs i så fall enligt det ställe där beslut om gränsöverskridande behandlingsåtgärder fattas. En organisation kan koncentrera befogenheterna att fatta beslut om behandlingen av personuppgifter till ett verksamhetsställe, om den vill dra nytta av principen om en lucka, där en myndighet övervakar organisationens gränsöverskridande behandling av personuppgifter i sin helhet.
Också personuppgiftsbiträden kan dra nytta av principen om en lucka, om de har verksamhetsställen i fler än en medlemsstat. Det huvudsakliga verksamhetsstället för ett personuppgiftsbiträde utgörs den plats där dess centrala förvaltningen är belägen i EU. Om ett personuppgiftsbiträde inte har någon central förvaltning inom EU, fastställs den ansvariga tillsynsmyndigheten enligt det verksamhetsställe inom EU där personuppgifter behandlas i huvudsak.
I fall som omfattar såväl en personuppgiftsansvarig som ett personuppgiftsbiträde, utgör den personuppgiftsansvariges ansvariga tillsynsmyndighet den behöriga ansvariga tillsynsmyndigheten. I så fall utgörs den ansvariga tillsynsmyndigheten för personuppgiftsbiträdet av den berörda tillsynsmyndigheten, som ska delta i samarbetsförfarandet.
Övriga EU-länders dataskyddsmyndigheter deltar i övervakning som koordineras av den ansvarige tillsynsmyndigheten i egenskap av berörda tillsynsmyndigheter, då
- den personuppgiftsansvarige eller personuppgiftsbiträdet har sin etableringsplats i tillsynsmyndighetens medlemsstats territorium
- behandlingen i väsentlig grad påverkar eller är ägnad åt att i väsentlig grad påverka de registrerade som är bosatta i den aktuella tillsynsmyndighetens medlemsstat
- ett klagomål har framförts till tillsynsmyndigheten i fråga.