Verksamhet i flera länder- vad gäller enligt GDPR?

NYHET Publicerad

HALLÅ DÄR Från och med den 25 maj ska dataskyddsförordningen, GDPR, tillämpas. Elisabeth Jilderyd, jurist på Datainspektionen svarar på några av frågorna som företag med verksamhet i flera länder brottas med.

Elisabeth Jilderyd, jurist på Datainspektionen

Elisabeth Jilderyd, jurist på Datainspektionen

Måste ett företag aktivt välja en ansvarig dataskyddsmyndighet i EU, så kallad ”lead authority”?

– Organisationerna måste själva bestämma var de har sitt huvudsakliga eller enda verksamhetsställe utifrån definitionen i artikel 4.16. dataskyddsförordningen, GDPR. Med detta som grund kan de sedan avgöra vilken dataskyddsmyndighet de ska ha kontakt med såsom ”lead authority”. Det slutliga beslutet om vilken dataskyddsmyndighet som är att anse som ansvarig (lead) förfogar dock dataskyddsmyndigheterna över. Det kan vara så att dataskyddsmyndigheten anser att besluten om ändamålen och medlen för en behandling fattas på ett annat ställe än där den centrala förvaltningen finns och på så sätt gör en annan bedömning av var det huvudsakliga verksamhetsstället är.

Skiljer sig huvudsakligt verksamhetsställe om företaget är personuppgiftsansvarig (PUA) eller personuppgiftsbiträde (PUB)?

– Ja. I artikel 4:16 GDPR finns en definition av huvudsakligt verksamhetsställe för företag med verksamhet i flera EU-länder. Om företaget är personuppgiftsansvarig, PUA, är det den plats där företaget har sin centrala förvaltning eller den plats där besluten om behandlingen fattas med befogenhet att få besluten genomförda, se 4:16a GDPR.

– Om företaget istället är personuppgiftsbiträde, PUB, anses huvudsakligt verksamhetsställe vara den plats där företaget har sin centrala förvaltning inom EU. Om den finns utanför EU anses det verksamhetsställe där den huvudsakliga behandlingen äger rum vara företagets huvudsakliga verksamhetsställe.

Hur kan företag och koncerner registrera ”lead authority? Till vem och i vilket format? Finns det en mall?
– EU:s dataskyddsmyndigheter håller på att ta fram ett formulär där företag kan ange vilken dataskyddsmyndighet de anser vara ”lead authority”. Formuläret kommer at innehålla instruktioner kring hur bedömningen ska göras och det skickas in till den myndighet som företaget identifierar som ”lead authority”. Det kommer att vara frivilligt att fylla i formuläret och det är inte heller bindande för dataskyddsmyndigheterna. Företagets anmälan kan överprövas av dataskyddsmyndigheten.
Om det finns motstridiga åsikter om vem som är ”lead authority” ska det avgöras i tvistlösningsmekanismen, Europeiska dataskyddsstyrelsen, EDPB, enligt artikel 65.1b GDPR.

Om det föreligger notifieringsskyldighet, räcker det då att moderbolaget notifierar eller måste varje bolag inom en koncern notifiera?
– När det gäller notifieringsskyldighet ser det lite olika ut. Skyldigheten att anmäla personuppgiftsincidenter gäller – vid gränsöverskridande personuppgiftsbehandling – enbart till ”lead authority” och denna dataskyddsmyndighet ska sedan vidarebefordra anmälan till övriga berörda myndigheter. Det är alltså bolaget som utgör huvudsakligt verksamhetsställe som ska anmäla incidenten, enligt artikel 4.19, GDPR.
– När det gäller dataskyddsombud finns inget uttryckligt skrivet om det från Artikel 29-gruppen (samarbetsorgan mellan samtliga dataskyddsmyndigheter inom EU, reds anm). Datainspektionen har hittills utgått från att ett dataskyddsombuds kontaktuppgifter ska meddelas till alla berörda dataskyddsmyndigheter eftersom syftet är att varje berörd dataskyddsmyndighet enkelt ska kunna ta kontakt med ombudet.

Vad gäller för överföring av personuppgifter utanför Europa?
– Svenska koncerner lägger mycket kraft på att ha korrekta PUB-avtal på plats för sina respektive dotterbolag inom Europa. Utanför Europa gäller som tidigare att ha godkända bindande företagsbestämmelser, BCR, för att ha rätt att göra gränsöverskridande överföringar av personuppgifter (GDPR). Förutom koncernavtal kan företag får rätt att göra överföringar om de har godkända standardavtalsklausuler, SCC, alternativt om företaget anslutit sig till Privacy Shield-avtal. Det är ett adevatsbeslut om antagits av EU-kommissionen för överföringar till ett enskilt land, till exempel USA.

Det skulle vara mycket enklare om BCR gällde även för koncerners verksamhet även inom Europa. Hur ser du på det?
– BCR är ett instrument som används för att möjliggöra tredjelandsöverföring. Mig veterligen finns det inga planer på att applicera det på interna EU-överföringar för att ersätta kravet på biträdesavtal.

Vad ska en ansökan om BCR innehålla för att ge undantag från det generella överföringsförbudet? I GDPR finns information i artikel 47. På Datainspektionens webb finns tips om ett standardformulär.
– Den koncern som vill åberopa att det finns garantier till skydd för registrerades rättigheter vid överföring till tredje land, exempelvis BCR, måste ansöka om undantag från det principiella överföringsförbudet hos Datainspektionen. Det finns inga formella krav på hur en sådan ansökan ska se ut.
– Redan idag finns ett förfarande för att få BCR:s godkända av dataskyddsmyndigheterna men detta förfarande kommer i fortsättningen att ske inom EDPB i enlighet med artikel 64, se särskilt artikel 64.1 f GDPR.
 

Tips

Artikel 29-gruppens standardformulär kan användas som vägledning för vilken information en ansökan om BCR bör innehålla.
Standardformuläret har beteckningen WP 133 och finns på Artikel 29-gruppens (arkiverade) sida:
http://collections.internetmemory.org/haeu/20171122154227/http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/tools/index_en.htm

Artikel 29-gruppen har tidigare tagit fram en checklista kring vad en BCR bör innehålla. Det har nyligen uppdaterats utifrån GDPR och finns att hämta här:
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109

Fler liknande nyheter

NYHET Publicerad:

GDPR- expert: ”Samtycke har ingen rättslig grund i en beroendeställning”

DATASKYDDSFÖRORDNINGEN Gymnasieskolan som använde kameraövervakning bröt mot dataskyddsförordningen. När det finns en beroendeställning gäller inte samtycke som rättslig grund, menar jurist Carolina Brånby.
NYHET Publicerad:

Digitaliseringen av svensk offentlig förvaltning – ett arbete med förhinder?

KOMMENTAR I en OECD:s rapport ställs frågan varför Sverige, trots hög teknisk standard och datamognad, inte förmår använda digitaliseringen för att effektivisera svensk offentlig förvaltning.
NYHET Publicerad:

Plattformsekonomi – vad är det och hur fungerar den?

DATAEKONOMIN I samarbete med fyra medlemsorganisationer – IT och telekomföretagen, Svensk Handel, Teknikföretagen och Visita – höll SN ett seminarium på detta tema den 17 maj. 65 nyfikna deltagare samlades på Europahuset i Stockholm.
NYHET Publicerad:

Så skapas AI du kan lita på

DIGITALISERING Ett 50-tal experter från universitet, näringsliv och civilsamhället har på EU-kommissionens uppdrag arbetat fram ett dokument med riktlinjer för Tillitsfull AI.
NYHET Publicerad:

Låt inte ePrivacy dränka digitala möjligheter

KOMMENTAR Om ePrivacyförordningen får fel utformning, så beskär det möjligheterna till elektronisk överföring och lagring av data. Det är negativt för alla som kommunicerar digitalt. Kasta förslaget i soptunnan och börja om, skriver Carolina Brånby, jurist digital policy.
NYHET Publicerad:

Akut att stoppa cyberbrottsligheten – så ska det gå till

IT-SÄKERHET I ljuset av den stora säkerhetsläckan från 1177 Vårdguiden är frågan hur Sverige ska stärka sin IT-säkerhet viktigare än någonsin. På Näringslivets Säkerhetsdelegations årsmöte diskuterades hur svenska företag och myndigheter kan arbeta för att stå emot den växande cyberbrottsligheten.
NYHET Publicerad:

E-faktura närmar sig med stormsteg

DIGITALISERING Tre av fyra småföretag klarar inte att använda e-faktura i affärer med offentlig sektor. ”Vägledningen måste vara tydlig och lättbegriplig”, säger jurist Birgitta Laurent.
NYHET Publicerad:

"Ingen pratar om det som redan görs med AI"

AI Just nu pågår det närmast en Tsunami av event om artificiell intelligens, AI, i Bryssel. Det som tas upp är potential för tekniken, behovet av investeringar men också risker med den nya tekniken, berättar Sophia Bengtsson, biträdande Chef Svenskt Näringslivs Brysselkontor, i samband med att hon var värd för seminariet AI IN PRACTICE som arrangerades tillsammans med IT&Telekomföretagen.
NYHET Publicerad:

Trubbigt biträdesavtal riskerar ge färre anbud

OFFENTLIG UPPHANDLING Sveriges kommuner och landsting, SKL, har tillsammans med SKL Kommentus och Inera arbetat fram en mall för ett personuppgiftsbiträdesavtal som ska kunna användas vid offentlig upphandling. ”Vi är kritiska till att en och samma mall, som kommer att uppfattas som bindande, ska användas i alla olika typer av avtal. Risken är stor att företag då väljer att avstå från att delta i offentlig upphandling med en sämre konkurrens som följd”, skriver juristerna Birgitta Laurent och Carolina Brånby
NYHET Publicerad:

Snabb teknisk utveckling påverkar immaterialrätten

SEMINARIUM Den fjärde industriella revolutionen är här. Förändringarna är så snabba och genomgripande att alla måste skapa sig en förståelse av hur de kan komma att påverka företag och arbetsplatser. Det innebär utmaningar för kunskapsbaserade tillgångar.
NYHET Publicerad:

Så fungerar AI i praktiken

SEMINARIUM Artificiell intelligens, AI, är på allas läppar i EU:s huvudstad Bryssel. Seminarier avlöser varandra.
Under Brysselkontorets och It&telekomföretagens evenemang presenterades flera företagsexempel.
NYHET Publicerad:

EU:s plan för artificiell intelligens stärker företagens konkurrenskraft

KOMMENTAR EU:s medlemsländer har presenterat en AI-plan för att främja utveckling och användning av artificiell intelligens. Att stärka AI vad gäller utveckling och användning i Europa är välkommet. Svenskt Näringsliv betonar bland annat betydelsen av ett hållbart och flexibelt regelverk, en investeringsvänlig politik och en infrastruktur av hög kvalitet. 
NYHET Publicerad:

Sverige driver inte digitaliseringen

KOMMENTAR Sverige anser sig vara en av EU:s nio ”digitala frontrunners”. När digitaliseringsministrarna möttes i Wien nyligen blev det uppenbart att Sverige inte är drivande och inte har förstått vikten av ePrivacy-förordningen, skriver jurist Carolina Brånby.
NYHET Publicerad:

”Samtycke ska vara sista utvägen”

ARBETSGIVARDAGEN För ungefär ett halvår sedan trädde EU:s nya dataskyddsförordningen, GDPR, och kompletterande svenska dataskyddsregler i kraft i Sverige. Fortfarande råder viss förvirring och en del missförstånd kring regelverket, konstaterade Svenskt Näringslivs expert Carolina Brånby på ett Arbetsgivardagen i Malmö. Exempelvis är det många som tror att det alltid krävs samtycke för att spara uppgifter. ”Det finns flera andra grunder för att få spara uppgifter, och om möjligt bör man försöka använda någon av dem”, säger Carolina Brånby.
NYHET Publicerad:

Geoblockering förbjuds mitt i julhandeln

NÄTHANDEL Från 3 december i år ska konsumenter och företag få besöka och handla från webbsidor inom hela EU. För dig som är leverantör är det viktigt att ha koll på vad som verkligen krävs. Sanktionsavgifterna i Sverige föreslås få uppgå till max 10 procent av årsomsättningen. 
NYHET Publicerad:

Riktlinjer för den ansvarfullt skapade artificiella intelligensen

KOMMNENTAR Det pågår flera ambitiösa arbeten med att ta fram riktlinjer för hur artificiell intelligens, AI, kan användas på ett etiskt ansvarsfullt sätt. Initiativen tas inom näringslivet. EU-kommissionen har en expertgrupp som jobbar dels med etiska riktlinjer, dels med rekommendationer för att stärka användandet av AI.
NYHET Publicerad:

Ingen kan tycka att upphovsrättens problem är lösta

KOMMENTAR Det är få frågor inom immaterialrätten som väcker så heta känslor som förändringar i det upphovsrättsliga skyddet. Diskussionen kring den omröstning som skedde i EU-parlamentet den 12 september visar detta med önskvärd tydlighet.
NYHET Publicerad:

Rumphugget om fjärde industriella revolutionen

KOMMENTAR Artificiell intelligens, robotteknik, nanoteknologi och 3D-printing. Den fjärde industriella revolutionen är här. Utmaningarna kräver att osäkerheten kring gällande regler minskar och att policyutvecklingen skyndas på, anser Christina Wainikka, policyexpert för immaterialrätt.
NYHET Publicerad:

Nu börjar GDPR gälla!

GDPR I GDPR ställs höga krav på ordning och reda i behandlingen av personuppgifter. Den värnar integritetsskydd samtidigt som den också ska garantera fria dataflöden för att stärka innovation, handel och konkurrenskraft. ”Att ordningen är rörig att förstå sig på, håller nog många med om”, säger Carolina Brånby, jurist och policyansvarig på Svenskt Näringsliv.
NYHET Publicerad:

Regeringens AI-satsning riskerar att bli bortkastad

KOMMENTAR Regeringens aviserade satsning på att skapa en internationellt ledande samverkansmiljö för AI är i sig välkommen, menar Svenskt Näringslivs Christina Wainikka som dock efterlyser en struktur för att att hantera kunskapsbaserade tillgångar.