Artikel 29-gruppen publicerar processuella regler och formulär för Privacy Shield-relaterade klagomål
Den 20 februari i år publicerade Artikel 29-gruppen ett mallformulär för registrerade att använda för att klaga till sin nationella tillsynsmyndighet på problem relaterade till EU-U.S. Privacy Shield-certifierade organisationers personuppgiftsbehandling. Samtidigt publicerades processuella regler i syfte att klargöra de nationella tillsynsmyndigheternas roll vid hanteringen av Privacy Shield-relaterade klagomål.
Enligt de processuella reglerna ska en nationell tillsynsmyndighet, d.v.s. Datainspektionen i Sveriges fall, när ett klagomål mottas, först ta ställning till om en panel bestående av tillsynsmyndigheter från olika EU-länder (”panelen”) är behörig att ta ställning till klagomålet. Panelen är behörig om den Privacy Shield-certifierade organisation som klagomålet riktar sig mot har förbundit sig att samarbeta med panelen eller om den behandlar HR-data insamlad inom ramen för ett anställningsförhållande. Om panelen inte är behörig ska den mottagande tillsynsmyndigheten ta ställning till om den är mest lämpad att hantera klagomålet mot bakgrund av tillsynsansvar i förhållande till den personuppgiftsexporterande organisationen och/eller se över om det är möjligt att lämna över fallet till amerikanska myndigheter. Det ska även nämnas att enligt de processuella reglerna kan både den registrerade och den Privacy Shield-certifierade organisationen hänskjuta ett olöst klagomål till panelen.
Om panelen är behörig ska den enligt de processuella reglerna i princip vara sammansatt inom två veckor från att klagomålet i fråga lämnats in. Panelen ska bestå av en ansvarig tillsynsmyndighet och i regel två medgranskande tillsynsmyndigheter från andra EU-länder. Panelen har som målsättning att utfärda en bindande rekommendation inom 60 dagar från att klagomål från en registrerad har lämnats in. Alla inblandade parter ska dock beredas rimlig möjlighet och tid att kommentera och tillhandahålla eventuell bevisning i sakfrågan.
Den tillsynsmyndighet som mottagit klagomålet kommer typiskt sett vara ansvarig tillsynsmyndighet enligt de processuella reglerna. Ansvarig tillsynsmyndighet har huvudansvaret för processen och ska bl.a. utfärda den bindande rekommendationen – inklusive de eventuella åtgärder som den Privacy Shield-certifierade organisationen ska vidta – efter att ha låtit medgranskande tillsynsmyndigheter lämna kommentarer och synpunkter. Om den amerikanska organisationen inte hörsammar panelens rekommendation inom 25 dagar från tillhandahållande och inte kan lämna någon tillfredställande förklaring ska den ansvariga tillsynsmyndigheten antingen underrätta organisationen om att panelen avser att överlämna fallet till amerikanska myndigheter med befogenhet att framtvinga hörsamhet eller ogiltigförklara samarbetsavtalet med panelen och informera USAs Handelsdepartementet om att Privacy Shield-förteckningen kan uppdateras i enlighet därmed.
Avslutningsvis ska kort nämnas att det framgår av det publicerade mallformuläret att det står de registrerade fritt att använda sig av andra medel för att klaga till sin nationella tillsynsmyndighet. Det framgår dock att informationen som efterfrågas i formuläret är nödvändig för att tillsynsmyndigheten ska kunna handlägga klagomålet. Artikel 29-gruppen påpekar även att den registrerade i de flesta fall bör försöka lösa situationen genom att själv kontakta det Privacy Shield-certifierade företaget.