Tilsynsmyndigheder under GDPR har til opgave at håndhæve og vejlede om persondatabeskyttelseslovgivning på en ensartet måde på tværs af EU. Denne artikel fremhæver, hvordan one-stop shop-mekanismen vil lette konsekvent vejledning og håndhævelse af persondatabeskyttelseslovgivningen, og hvilken indflydelse dette kan have på organisationer og forbrugere.

One-stop shop-mekanismen

For organisationer, der er aktive i flere EU-lande, sørger GDPR som udgangspunkt for håndhævelse gennem en samarbejdsordning og ensartede procedurer, der er blevet introduceret som one-stop shop-mekanismen. Dette betyder, at hvis jeres organisation udfører grænseoverskridende databehandling, vil GDPR kræve, at I primært arbejder med den tilsynsmyndighed, der er baseret i den samme medlemsstat som jeres primære virksomhed (normalt jeres EU-hovedkvarter) for at sikre efterlevelse. Dette organ for håndhævelse bliver jeres “ledende tilsynsmyndighed” for alle persondatabeskyttelsesrelaterede spørgsmål.

I tilfælde, hvor individuelle registrerede i en anden medlemsstat er væsentligt påvirket af jeres behandling af personoplysninger, kan den lokale tilsynsmyndighed i denne medlemsstat enten overgive sagen til jeres ledende tilsynsmyndighed eller håndtere sagen lokalt i samarbejde med jeres ledende tilsynsmyndighed, afhængig af den mest hensigtsmæssige fremgangsmåde som et effektivt retsmiddel for den klagende. Uanset disse procedurer for samarbejde og konsekvens vil hver tilsynsmyndighed i EU være kompetente til at håndtere lokale klager eller overtrædelser af GDPR.

Hovedsagelig har one-stop shop-mekanismen til hensigt at sikre, at organisationer og enkeltpersoner kan håndtere grænseoverskridende persondatabeskyttelsesrelaterede spørgsmål fra deres hjemmebase, og at sådanne spørgsmål kan behandles konsekvent i hele EU.

Virkningen af one-stop shop-mekanismen på forbrugere

I overensstemmelse med GDPR’s primære mål om at sikre en mere effektiv beskyttelse af forbrugerne er one-stop shop-mekanismen en af de mange funktioner i GDPR, der har til formål at gøre det lettere for de registrerede at udøve rettigheder i relation til deres personoplysninger. De registrerede kan anmode om oplysninger fra deres lokale tilsynsmyndighed om udøvelsen af deres rettigheder i henhold til GDPR, som omfatter anmodninger relateret til multinationale organisationers grænseoverskridende databehandling. Den lokale tilsynsmyndighed har til opgave at undersøge lokale klager og informere den klagende om fremskridt og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig. I denne henseende kan en forbruger (en registreret) regne med, at den lokale tilsynsmyndighed hjælper med at beskytte hans/hendes rettigheder i henhold til GDPR, uanset hvor en impliceret organisations EU-hovedkvarter er.

I realiteten letter den nuværende persondatabeskyttelsesordning allerede håndtering af lokale klager på denne måde, så måske kan GDPR-klageprocessen ikke påvirke forbrugerens perspektiv i forhold til, hvordan han/hun kan udøve sine rettigheder. Forbrugere skal indsende deres klager til de lokale myndigheder i dag, og de vil skulle gøre det samme under GDPR. Den største virkning, one-stop shop-mekanismen vil have på forbrugere bliver således sandsynligvis, at klager skal behandles mere effektivt end i dag.

Virkningen af one-stop shop-mekanismen på jeres organisation

Der vil sandsynligvis fortsat være en stor administrativ byrde i koordineringen af sager vedrørende grænseoverskridende databehandling, men hovedparten af denne byrde vil skifte til lovgivere og væk fra dataansvarlige og databehandlere for så vidt angår personoplysninger. Under den nuværende ordning opmuntres samarbejdet med databeskyttelsesmyndighederne stærkt af politiske beslutningstagere, men ingen klare procedurer er fastsat i EU-lovgivningen. Så hvis en multinational organisation skal adressere overholdelse af persondatabeskyttelse i flere lande, må organisationen blive fortrolig med og adressere afvigende procedurer i forskellige medlemsstater. Men når GDPR er fuldt implementeret den 25. maj 2018, vil det formelt kræve, at tilsynsmyndighederne samarbejder med hinanden for at afstemme deres procedurer for vejledning og håndhævelse. Det bør betyde, at organisationer, der opererer på tværs af EU-lande senest i 2018 overvejende kan regne med procedurer for vejledning og håndhævelse fra deres ledende tilsynsmyndighed snarere end at engagere sig i mange EU-tilsynsmyndigheders procedurer.

Forudsat at I udvikler en overbevisende strategi til behandling af personoplysninger, bør løftet om at interagere med én klar myndighedsrøst i EU-lovgivning om persondatabeskyttelse tillade, at jeres strategi har de tilsigtede virkninger på en større skala. Dette på den ene side fordi den strategi for persondatabeskyttelse, I udtænker baseret på de risici, I har besluttet i jeres hovedkvarter, kan gennemføres konsekvent på hvert kontor; og på den anden side kan hele jeres organisation lære af hvert lokalt kontors erfaringer med databehandling ved at føde disse oplevelser tilbage til jeres organisations tyngdepunkt.

 

Udnyt jeres ledende tilsynsmyndighed til at skalere jeres strategi for persondatabeskyttelse

Alt i alt, når GDPR er helt gennemført, bør one-stop shop-mekanismen hjælpe forbrugerne til at udøve deres rettigheder i relation til deres personoplysninger mere effektivt, og det bør også blive lettere for jeres organisation at forstå disse rettigheder og jeres persondatabeskyttelsesrisici på EU-niveau.

I bør derfor gøre en målrettet indsats for at udnytte one-stop shop-mekanismen og vejledningen fra jeres ledende tilsynsmyndighed for at forenkle overholdelsen af GDPR. Jeres organisation vil kunne rådføre sig nøje med jeres ledende tilsynsmyndighed for at skabe en persondatabeskyttelsesstrategi baseret på ét klart sæt af persondatabeskyttelsesrisici, implementere denne strategi på tværs af alle jeres (EU) kontorer og lære af de lokale erfaringer fra hvert kontor for konsekvent at måle og forbedre virkningen af jeres persondatabeskyttelsesstrategi i hele organisationen.