Datatilsynet
Datatilsynet
Det østrigske datatilsyn (DSB) er den centrale tilsynsmyndighed for beskyttelse af personoplysninger i Østrig. Det kontrollerer overholdelsen af databeskyttelsesforordningen (GDPR) og den østrigske databeskyttelseslov (DSG), træffer afgørelser om klager, indleder undersøgelsesprocedurer, pålægger sanktioner og repræsenterer Østrig i Det Europæiske Databeskyttelsesråd. Dets opgave er at sikre grundlæggende rettigheder, forhindre misbrug og forpligte virksomheder og myndigheder til at overholde databeskyttelsesretlige forpligtelser.
Datatilsynet er den statslige tilsynsmyndighed for beskyttelse af personoplysninger i Østrig.
Opgaver og kompetencer
Datatilsynet varetager en bred vifte af aktiviteter, der alle har til formål at beskytte personoplysninger:
- Behandling af klager fra berørte personer
- Gennemførelse af undersøgelser af egen drift
- Afgørelse i administrative straffesager og pålæggelse af bøder
- Modtagelse og kontrol af rapporter om brud på databeskyttelsen (databrud)
- Godkendelsesprocedurer, f.eks. for adfærdskodekser eller certificeringsorganer
- Udtalelser om lovforslag
Det er således den centrale kontaktperson for berørte parter, virksomheder og databeskyttelsesrådgivere.
Definition af databeskyttelse
Databeskyttelse er den grundlæggende ret til selv at bestemme, hvem der behandler hvilke oplysninger om en person. Personoplysninger er alle oplysninger, der vedrører en bestemt person eller gør en person identificerbar, såsom navn, adresse, telefonnummer, e-mailadresse, men også fotos, IP-adresser eller helbredsoplysninger.
Databeskyttelse betyder ikke, at ingen data må behandles. Det betyder, at behandlingen kun er tilladt under klare lovmæssige forudsætninger, og at de berørte personer har omfattende rettigheder. Disse rettigheder beskytter mod misbrug og giver mulighed for at udøve kontrol over egne data.
Den registreredes rettigheder
Enhver person kan kræve, at datatilsynet respekterer deres grundlæggende rettigheder. GDPR indeholder en klar pakke af rettigheder til dette:
- Ret til information: Inden enhver databehandling skal de berørte parter informeres klart og fuldstændigt.
- Ret til indsigt: Enhver berørt person har ret til at få at vide, hvilke data der er gemt, og til hvilket formål.
- Ret til berigtigelse og sletning: Ukorrekte data skal rettes, ulovlige data skal slettes.
- Ret til begrænsning af behandlingen: Under visse forudsætninger må behandlingen kun fortsættes i begrænset omfang.
- Ret til indsigelse: Der kan til enhver tid gøres indsigelse mod visse databehandlinger.
- Ret til dataportabilitet: Berørte parter kan kræve, at deres data overføres til dem selv eller til en anden virksomhed i et almindeligt format.
- Ret til beskyttelse mod automatiserede afgørelser: Ingen bør udelukkende stilles dårligere på grund af automatiserede procedurer.
Disse rettigheder er ikke kun af teoretisk karakter, men kan håndhæves – om nødvendigt i en klagesag for datatilsynet.
Virksomhedernes forpligtelser
Virksomheder og myndigheder er forpligtet til ikke kun at implementere databeskyttelse på papiret, men også i praksis. De væsentligste forpligtelser omfatter:
- Retsgrundlag for behandlingen: Enhver databehandling skal være baseret på et lovmæssigt grundlag, f.eks. et samtykke eller en kontrakt.
- Gennemsigtighedsforpligtelser: Berørte parter skal informeres klart om, hvad der sker med deres data.
- Tekniske og organisatoriske foranstaltninger (TOM’er): IT-sikkerhed og organisatoriske processer skal være udformet således, at data er beskyttet mod tab, misbrug eller uautoriseret adgang.
- Fortegnelser over behandlingsaktiviteter: Virksomheder skal dokumentere på en forståelig måde, hvilke data de behandler.
- Anmeldelse af brud på databeskyttelsen: Sikkerhedshændelser skal anmeldes til datatilsynet inden for 72 timer.
- Gennemførelse af databeskyttelseskonsekvensvurderinger: Ved risikofyldte behandlinger skal der foretages en detaljeret analyse.
Brud på beskyttelsen af personoplysninger
I henhold til GDPR foreligger der brud på beskyttelsen af personoplysninger, hvis der på grund af mangelfuld sikkerhed sker en uautoriseret ændring, sletning, videregivelse eller tab af data. Dette kan opstå ved:
- Tilintetgørelse, tab eller ændring af personoplysninger
- Uautoriseret adgang eller videregivelse – f.eks. ved hackerangreb, forsendelse af databærere til forkerte modtagere eller usikker opbevaring
- Utilsigtet datafrigivelse – f.eks. ved usikker opbevaring eller overførsel
- Dette gælder uanset om hændelsen skete forsætligt eller utilsigtet
Eksempler, der kan udgøre en sådan overtrædelse:
- Datatab på grund af sikkerhedsunverschlüsselte filer eller USB-stik
- Hackerangreb på kundedatabaser
- Fejladresserede e-mails med personoplysninger
- Utilsigtet offentligt tilgængelige personlige dokumenter
Disse forhold kan umiddelbart føre til risici, herunder identitetstyveri, skade på omdømme eller økonomisk skade for de berørte parter
Procedure for datatilsynet
Proceduren for datatilsynet er formaliseret og kan have forskellige former:
Klagesag
Berørte personer kan indgive en klage til datatilsynet, hvis de mener, at nogen behandler deres personoplysninger uretmæssigt. Denne procedure er relativt lavtærskel.
Forløbet:
- Den berørte person indgiver en skriftlig klage – enten via formular, e-mail eller post.
- Datatilsynet undersøger, om klagen er formelt tilladt.
- Klagemodtageren – normalt en virksomhed eller en myndighed – opfordres til at fremsætte en udtalelse.
- Herefter følger fastlæggelsen af sagens faktiske forhold, eventuelt med supplerende spørgsmål eller høringer.
- I sidste ende er der en afgørelse fra datatilsynet, hvorved det enten afviser klagen eller giver den medhold og pålægger afhjælpende foranstaltninger.
For berørte parter er denne procedure den vigtigste mulighed for at håndhæve deres rettigheder i henhold til GDPR.
Undersøgelser af egen drift
Datatilsynet er ikke kun afhængig af klager, men kan også handle af egen drift. Dette sker især, hvis der er tegn på systematiske overtrædelser eller sikkerhedshuller.
Særlige forhold:
- Proceduren starter uden anmodning fra en berørt person.
- Anmeldende personer har ingen partsstatus og informeres ikke om resultatet.
- Datatilsynet undersøger selvstændigt, om der foreligger overtrædelser, og træffer eventuelt foranstaltninger.
Undersøgelser af egen drift har en stærk forebyggende virkning, da de øger presset på virksomheder og myndigheder for ikke kun at sikre databeskyttelse reaktivt, men løbende.
Administrativ straffesag
Hvis datatilsynet konstaterer en overtrædelse, kan det indlede en administrativ straffesag. Formålet er at forpligte virksomheder og offentlige myndigheder til at afhjælpe overtrædelser og pålægge mærkbare sanktioner.
Mulige sanktioner er:
- Bøder på op til 20 millioner euro eller 4 % af den globale årlige omsætning,
- Påbud om at indstille eller tilpasse databehandlinger,
- Advarsler og pålæg.
Størrelsen af en bøde afhænger af overtrædelsens grovhed, varighed og forsætlighed. Tidligere overtrædelser eller samarbejdsvillig adfærd i proceduren spiller også en rolle.
Peter HarlanderHarlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“
Retsmidler
Afgørelser fra datatilsynet træffes ved afgørelse. Mod disse afgørelser har de berørte parter mulighed for at gå til Bundesverwaltungsgericht (BVwG).
- BVwG undersøger afgørelsen i juridisk og faktisk henseende.
- Mod dens afgørelse er det under visse omstændigheder muligt at indgive en appel til Verwaltungsgerichtshof (VwGH) eller en klage til Verfassungsgerichtshof (VfGH).
Dette sikrer, at afgørelser fra datatilsynet er underlagt en flertrins domstolskontrol.
Vælg ønsket tidspunkt nu:Gratis første konsultationInternational dimension
Databeskyttelse er ikke længere et nationalt anliggende. Datatilsynet samarbejder med andre europæiske tilsynsmyndigheder og er en del af Det Europæiske Databeskyttelsesråd (EDSA). Det deltager i grænseoverskridende sager, koordinerer afgørelser inden for rammerne af kohærensproceduren og tager stilling til internationale dataoverførsler, f.eks. til USA.
Informationsfrihed
Ud over databeskyttelse vinder informationsfriheden også frem. Med den nye informationsfrihedslov (IFG) overtager datatilsynet fremover rollen som kontaktperson for spørgsmål om gennemsigtighed og adgang til officielle oplysninger.
Disse forpligtelser er ikke valgfrie. Manglende overholdelse fører regelmæssigt til undersøgelser og i yderste konsekvens til betydelige bøder.
Dine fordele med advokatbistand
En procedure for datatilsynet er forbundet med betydelige udfordringer for både berørte personer og virksomheder. Berørte parter risikerer ikke at kunne håndhæve deres rettigheder fuldt ud uden professionel assistance. Virksomheder står derimod ikke kun over for høje bøder, men også skade på omdømmet og omkostningskrævende tilpasninger af deres processer. Dertil kommer, at procedurerne er stærkt formaliserede og indeholder komplekse juridiske krav, som er vanskelige at håndtere uden faglig bistand.
Juridisk bistand fra et specialiseret advokatfirma giver sikkerhed og sikrer, at dine interesser varetages professionelt fra starten. Du drager fordel af solid erfaring inden for databeskyttelsesret og en konsekvent repræsentation over for myndigheden.
- undersøger, om det pågældende juridiske emne er relevant i din sag
- følger dig gennem hele proceduren eller afviklingen
- sørger for en retssikker udformning og gennemførelse af alle nødvendige skridt
- støtter ved beregning, håndhævelse eller afværgelse af krav
- beskytter dine rettigheder og interesser over for alle involverede parter
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“
