Verksamhet i flera länder- vad gäller enligt GDPR?

Måste ett företag aktivt välja en ansvarig dataskyddsmyndighet i EU, så kallad ”lead authority”?

– Organisationerna måste själva bestämma var de har sitt huvudsakliga eller enda verksamhetsställe utifrån definitionen i artikel 4.16. dataskyddsförordningen, GDPR. Med detta som grund kan de sedan avgöra vilken dataskyddsmyndighet de ska ha kontakt med såsom ”lead authority”. Det slutliga beslutet om vilken dataskyddsmyndighet som är att anse som ansvarig (lead) förfogar dock dataskyddsmyndigheterna över. Det kan vara så att dataskyddsmyndigheten anser att besluten om ändamålen och medlen för en behandling fattas på ett annat ställe än där den centrala förvaltningen finns och på så sätt gör en annan bedömning av var det huvudsakliga verksamhetsstället är.
Skiljer sig huvudsakligt verksamhetsställe om företaget är personuppgiftsansvarig (PUA) eller personuppgiftsbiträde (PUB)?

– Ja. I artikel 4:16 GDPR finns en definition av huvudsakligt verksamhetsställe för företag med verksamhet i flera EU-länder. Om företaget är personuppgiftsansvarig, PUA, är det den plats där företaget har sin centrala förvaltning eller den plats där besluten om behandlingen fattas med befogenhet att få besluten genomförda, se 4:16a GDPR.
– Om företaget istället är personuppgiftsbiträde, PUB, anses huvudsakligt verksamhetsställe vara den plats där företaget har sin centrala förvaltning inom EU. Om den finns utanför EU anses det verksamhetsställe där den huvudsakliga behandlingen äger rum vara företagets huvudsakliga verksamhetsställe.
Hur kan företag och koncerner registrera ”lead authority? Till vem och i vilket format? Finns det en mall?
– EU:s dataskyddsmyndigheter håller på att ta fram ett formulär där företag kan ange vilken dataskyddsmyndighet de anser vara ”lead authority”. Formuläret kommer at innehålla instruktioner kring hur bedömningen ska göras och det skickas in till den myndighet som företaget identifierar som ”lead authority”. Det kommer att vara frivilligt att fylla i formuläret och det är inte heller bindande för dataskyddsmyndigheterna. Företagets anmälan kan överprövas av dataskyddsmyndigheten. Om det finns motstridiga åsikter om vem som är ”lead authority” ska det avgöras i tvistlösningsmekanismen, Europeiska dataskyddsstyrelsen, EDPB, enligt artikel 65.1b GDPR.
Om det föreligger notifieringsskyldighet, räcker det då att moderbolaget notifierar eller måste varje bolag inom en koncern notifiera?
– När det gäller notifieringsskyldighet ser det lite olika ut. Skyldigheten att anmäla personuppgiftsincidenter gäller – vid gränsöverskridande personuppgiftsbehandling – enbart till ”lead authority” och denna dataskyddsmyndighet ska sedan vidarebefordra anmälan till övriga berörda myndigheter. Det är alltså bolaget som utgör huvudsakligt verksamhetsställe som ska anmäla incidenten, enligt artikel 4.19, GDPR. – När det gäller dataskyddsombud finns inget uttryckligt skrivet om det från Artikel 29-gruppen (samarbetsorgan mellan samtliga dataskyddsmyndigheter inom EU, reds anm). Datainspektionen har hittills utgått från att ett dataskyddsombuds kontaktuppgifter ska meddelas till alla berörda dataskyddsmyndigheter eftersom syftet är att varje berörd dataskyddsmyndighet enkelt ska kunna ta kontakt med ombudet.
Vad gäller för överföring av personuppgifter utanför Europa?
– Svenska koncerner lägger mycket kraft på att ha korrekta PUB-avtal på plats för sina respektive dotterbolag inom Europa. Utanför Europa gäller som tidigare att ha godkända bindande företagsbestämmelser, BCR, för att ha rätt att göra gränsöverskridande överföringar av personuppgifter (GDPR). Förutom koncernavtal kan företag får rätt att göra överföringar om de har godkända standardavtalsklausuler, SCC, alternativt om företaget anslutit sig till Privacy Shield-avtal. Det är ett adevatsbeslut om antagits av EU-kommissionen för överföringar till ett enskilt land, till exempel USA.
Det skulle vara mycket enklare om BCR gällde även för koncerners verksamhet även inom Europa. Hur ser du på det?
– BCR är ett instrument som används för att möjliggöra tredjelandsöverföring. Mig veterligen finns det inga planer på att applicera det på interna EU-överföringar för att ersätta kravet på biträdesavtal.

Vad ska en ansökan om BCR innehålla för att ge undantag från det generella överföringsförbudet? I GDPR finns information i artikel 47. På Datainspektionens webb finns tips om ett standardformulär.
– Den koncern som vill åberopa att det finns garantier till skydd för registrerades rättigheter vid överföring till tredje land, exempelvis BCR, måste ansöka om undantag från det principiella överföringsförbudet hos Datainspektionen. Det finns inga formella krav på hur en sådan ansökan ska se ut. – Redan idag finns ett förfarande för att få BCR:s godkända av dataskyddsmyndigheterna men detta förfarande kommer i fortsättningen att ske inom EDPB i enlighet med artikel 64, se särskilt artikel 64.1 f GDPR.