Forystustjórnvald og samræmingarkerfi
Forystustjórnvald sé sú persónuverndarstofnun sem ber höfuðábyrgð á meðferð máls sem varðar vinnslu persónuupplýsinga yfir landamæri. Eingöngu þarf að ákvarða forystustjórnvald þegar ábyrgðaraðili (sá sem vinnur með upplýsingarnar) stundar vinnslu yfir landamæri.
Hvað er forystustjórnvald?
Í stuttu máli má segja að forystustjórnvald sé sú persónuverndarstofnun sem ber höfuðábyrgð á meðferð máls sem varðar vinnslu persónuupplýsinga yfir landamæri, til dæmis ef hinn skráði kvartar yfir vinnslunni. Forystustjórnvaldið sér um að samræma rannsóknaraðgerðir m.a. í samvinnu við persónuverndarstofnanir í öðrum aðildarríkjum eftir því sem þurfa þykir.
Ákvörðun um forystustjórnvald fer eftir staðsetningu á starfsstöð ábyrgðaraðila. Segja má að meginreglan sé að sú persónuverndarstofnun, þar sem ábyrgðaraðili eða vinnsluaðili hefur höfuðstöðvar, komi fram sem forystustjórnvald vegna vinnslu yfir landamæri.
Auk þess skal sérhver persónuverndarstofnun teljast til þess bær að fjalla um framborna kvörtun og mögulegt brot gegn Evrópureglugerðinni um persónuvernd ef viðfangsefnið er eingöngu tengt þeirri starfsstöð eða hefur veruleg áhrif á einstaklinga í því landi sem starfsstöðin er. Í þeim tilvikum skal stofnunin tilkynna forystustjórnvaldinu um málavöxtu án tafar. Forystustjórnvaldið skal vera eini tengiliður ábyrgðaraðila eða vinnsluaðila vegna vinnslu hans yfir landamæri.
Reglurnar um forystustjórnvald gilda ekki þegar stjórnvöld eða einkaaðilar annast vinnslu í þágu almannahagsmuna. Í þeim tilvikum er persónuverndarstofnun þess aðildarríkis, þar sem stjórnvaldið eða einkaaðilinn hefur staðfestu, eina persónuverndarstofnunin sem er til þess bær að beita valdheimildum samkvæmt áðurnefndri Evrópureglugerð.
Hvað er samræmingarkerfi?
Samræmingarkerfi á að stuðla að samræmdri beitingu persónuverndarreglugerðarinnar. Kerfinu á einkum að beita þegar ráðstafanirnar munu hafa áhrif á fjölda skráðra einstaklinga í nokkrum aðildarríkjum. Þá eiga persónuverndarstofnanirnar samstarf sín á milli og við framkvæmdastjórnina ef við á með hjálp kerfisins.
Þegar samræmingarkerfið er notað ætti persónuverndarráðið, innan tiltekins tíma, að gefa út álit ef meirihluti fulltrúa þess ákveður það. Einnig getur einhver hlutaðeigandi persónuverndarstofnana eða framkvæmdastjórnin farið fram á það.
Þá er tekið fram að einnig megi nota samræmingarkerfið til að stuðla að samræmdri beitingu stjórnvaldssekta.
Hvenær þarf að huga að reglum um forystustjórnvald?
Eingöngu þarf að ákvarða forystustjórnvald þegar ábyrgðaraðili stundar vinnslu yfir landamæri. Vinnsla yfir landamæri felur annaðhvort í sér að:
(a) vinnsla persónuupplýsinga fer fram í tengslum við starfsemi starfsstöðva ábyrgðaraðila eða vinnsluaðila innan Sambandsins í fleiri en einu aðildarríki, eða
(b) vinnsla persónuupplýsinga fer fram í tengslum við starfsemi einnar starfsstöðvar ábyrgðaraðila eða vinnsluaðila innan Sambandsins en hefur veruleg áhrif eða líklegt er að hafi veruleg áhrif á skráða einstaklinga í fleiri en einu aðildarríki.
Meta þarf í hvoru tilviki fyrir sig hvort þessi skilyrði séu uppfyllt.
Hvert er hlutverk forystustjórnvalds?
Forystustjórnvald skal starfa með öðrum hlutaðeigandi persónuverndarstofnunum í samræmi við ákvæði Evrópureglugerðarinnar með það fyrir augum að ná samstöðu. Forystustjórnvaldið og aðrar hlutaðeigandi persónuverndarstofnanir skulu skiptast á öllum viðeigandi upplýsingum.
Forystustjórnvaldið getur hvenær sem er óskað eftir því að aðrar hlutaðeigandi persónuverndarstofnanir veiti gagnkvæma aðstoð og getur átt frumkvæði að sameiginlegum aðgerðum, einkum við rannsóknir.
Forystustjórnvaldið skal án tafar senda viðeigandi upplýsingar um málið til hinna persónuverndarstofnananna sem í hlut eiga. Það skal einnig senda þeim drög að ákvörðun til að fá álit þeirra og skal taka tilhlýðilegt tillit til sjónarmiða þeirra. Ef einhver þeirra leggur fram viðeigandi og rökstudd andmæli gegn drögum að ákvörðuninni innan fjögurra vikna frá því að samráð fer fram skal forystustjórnvaldið vísa málinu til samræmingarkerfisins sé það ekki fylgjandi andmælunum eða telji þau ekki viðeigandi eða rökstudd. Berist engin andmæli skal líta svo á að forystustjórnvaldið og aðrar hlutaðeigandi persónuverndarstofnanir séu sammála um fyrirliggjandi drög að ákvörðun og skulu þau bundin af þeim.
Forystustjórnvaldið skal samþykkja ákvörðun og tilkynna hana starfsstöð ábyrgðaraðilans eða vinnsluaðilans, nánar tiltekið aðalstöðvum hans hafi hann starfsstöð í fleiri en einu aðildarríki, og veita öðrum hlutaðeigandi persónuverndarstofnunum og Evrópska persónuverndarráðinu upplýsingar um viðkomandi ákvörðun, þ.m.t. samantekt um þær staðreyndir og ástæður sem máli skipta. Persónuverndarstofnunin, sem kvartað hefur verið til, skal síðan tilkynna kvartandanum um ákvörðunina.