Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

Artikel 29-gruppen publicerar processuella regler och formulär för Privacy Shield-relaterade klagomål

Den 20 februari i år publicerade Artikel 29-gruppen ett mallformulär för registrerade att använda för att klaga till sin nationella tillsynsmyndighet på problem relaterade till EU-U.S. Privacy Shield-certifierade organisationers personuppgiftsbehandling. Samtidigt publicerades processuella regler i syfte att klargöra de nationella tillsynsmyndigheternas roll vid hanteringen av Privacy Shield-relaterade klagomål.

Enligt de processuella reglerna ska en nationell tillsynsmyndighet, d.v.s. Datainspektionen i Sveriges fall, när ett klagomål mottas, först ta ställning till om en panel bestående av tillsynsmyndigheter från olika EU-länder (”panelen”) är behörig att ta ställning till klagomålet. Panelen är behörig om den Privacy Shield-certifierade organisation som klagomålet riktar sig mot har förbundit sig att samarbeta med panelen eller om den behandlar HR-data insamlad inom ramen för ett anställningsförhållande. Om panelen inte är behörig ska den mottagande tillsynsmyndigheten ta ställning till om den är mest lämpad att hantera klagomålet mot bakgrund av tillsynsansvar i förhållande till den personuppgiftsexporterande organisationen och/eller se över om det är möjligt att lämna över fallet till amerikanska myndigheter. Det ska även nämnas att enligt de processuella reglerna kan både den registrerade och den Privacy Shield-certifierade organisationen hänskjuta ett olöst klagomål till panelen.

Om panelen är behörig ska den enligt de processuella reglerna i princip vara sammansatt inom två veckor från att klagomålet i fråga lämnats in. Panelen ska bestå av en ansvarig tillsynsmyndighet och i regel två medgranskande tillsynsmyndigheter från andra EU-länder. Panelen har som målsättning att utfärda en bindande rekommendation inom 60 dagar från att klagomål från en registrerad har lämnats in. Alla inblandade parter ska dock beredas rimlig möjlighet och tid att kommentera och tillhandahålla eventuell bevisning i sakfrågan.

Den tillsynsmyndighet som mottagit klagomålet kommer typiskt sett vara ansvarig tillsynsmyndighet enligt de processuella reglerna. Ansvarig tillsynsmyndighet har huvudansvaret för processen och ska bl.a. utfärda den bindande rekommendationen – inklusive de eventuella åtgärder som den Privacy Shield-certifierade organisationen ska vidta – efter att ha låtit medgranskande tillsynsmyndigheter lämna kommentarer och synpunkter. Om den amerikanska organisationen inte hörsammar panelens rekommendation inom 25 dagar från tillhandahållande och inte kan lämna någon tillfredställande förklaring ska den ansvariga tillsynsmyndigheten antingen underrätta organisationen om att panelen avser att överlämna fallet till amerikanska myndigheter med befogenhet att framtvinga hörsamhet eller ogiltigförklara samarbetsavtalet med panelen och informera USAs Handelsdepartementet om att Privacy Shield-förteckningen kan uppdateras i enlighet därmed.

Avslutningsvis ska kort nämnas att det framgår av det publicerade mallformuläret att det står de registrerade fritt att använda sig av andra medel för att klaga till sin nationella tillsynsmyndighet. Det framgår dock att informationen som efterfrågas i formuläret är nödvändig för att tillsynsmyndigheten ska kunna handlägga klagomålet. Artikel 29-gruppen påpekar även att den registrerade i de flesta fall bör försöka lösa situationen genom att själv kontakta det Privacy Shield-certifierade företaget.

This entry was posted in Internationellt, Nyheter. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment .

Kommentera

  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.