Datatilsynet
Datatilsynet
Det østerrikske datatilsynet (DSB) er den sentrale tilsynsmyndigheten for beskyttelse av personopplysninger i Østerrike. Det kontrollerer overholdelsen av den generelle databeskyttelsesforordningen (GDPR) og den østerrikske databeskyttelsesloven (DSG), avgjør klager, initierer undersøkelser, ilegger sanksjoner og representerer Østerrike i det europeiske databeskyttelsesrådet. Dets oppgave er å sikre grunnleggende rettigheter, forhindre misbruk og forplikte selskaper og myndigheter til å overholde databeskyttelsesplikter.
Datatilsynet er den statlige tilsynsmyndigheten for beskyttelse av personopplysninger i Østerrike.
Oppgaver og ansvarsområder
Datatilsynet påtar seg et bredt spekter av aktiviteter, som alle tjener til å beskytte personopplysninger:
- Behandling av klager fra berørte personer
- Gjennomføring av offisielle undersøkelser
- Avgjørelse i administrative straffesaker og ileggelse av bøter
- Mottak og kontroll av rapporter om brudd på personopplysningssikkerheten (Data Breaches)
- Godkjenningsprosedyrer, for eksempel for atferdsregler eller sertifiseringsorganer
- Uttalelser om lovforslag
Dette gjør det til en sentral kontaktperson for berørte parter, selskaper og databeskyttelsesansvarlige.
Definisjon av personvern
Personvern er den grunnleggende retten til å bestemme selv hvem som behandler hvilken informasjon om en person. Personopplysninger er all informasjon som refererer til en bestemt person eller gjør en person identifiserbar, for eksempel navn, adresse, telefonnummer, e-postadresse, men også bilder, IP-adresser eller helsedata.
Personvern betyr ikke at ingen data kan behandles. Det betyr at behandlingen bare er tillatt under klare juridiske forutsetninger, og at berørte personer har omfattende rettigheter. Disse rettighetene beskytter mot misbruk og gir muligheten til å utøve kontroll over egne data.
Rettigheter for de berørte personene
Enhver person kan kreve at datatilsynet respekterer deres grunnleggende rettigheter. GDPR gir et klart sett med rettigheter for dette:
- Rett til informasjon: Før enhver databehandling må berørte parter informeres klart og fullstendig.
- Rett til innsyn: Enhver berørt person kan få vite hvilke data som er lagret og til hvilket formål.
- Rett til retting og sletting: Feilaktige data må rettes, ulovlige data må slettes.
- Rett til begrensning av behandlingen: Under visse forutsetninger kan behandlingen bare fortsettes i begrenset grad.
- Rett til innsigelse: Innsigelse kan reises når som helst mot visse databehandlinger.
- Rett til dataportabilitet: Berørte parter kan kreve at deres data overføres til dem selv eller til et annet selskap i et vanlig format.
- Rett til beskyttelse mot automatiserte beslutninger: Ingen skal ugunstiggjøres utelukkende på grunnlag av automatiserte prosedyrer.
Disse rettighetene er ikke bare av teoretisk art, men kan håndheves – om nødvendig i klagesaksgangen for datatilsynet.
Selskapers plikter
Selskaper og myndigheter er forpliktet til å implementere databeskyttelse ikke bare på papiret, men også i praksis. De viktigste pliktene inkluderer:
- Rettslig grunnlag for behandlingen: Enhver databehandling må være basert på et juridisk grunnlag, for eksempel samtykke eller en kontrakt.
- Åpenhetsplikter: Berørte parter må informeres tydelig om hva som skjer med deres data.
- Tekniske og organisatoriske tiltak (TOM): IT-sikkerhet og organisatoriske prosesser må utformes slik at data er beskyttet mot tap, misbruk eller uautorisert tilgang.
- Register over behandlingsaktiviteter: Selskaper må dokumentere på en forståelig måte hvilke data de behandler.
- Rapportering av brudd på personopplysningssikkerheten: Sikkerhetshendelser må rapporteres til datatilsynet innen 72 timer.
- Gjennomføring av personvernkonsekvensvurderinger: En detaljert analyse må utføres for risikofylte behandlinger.
Brudd på beskyttelsen av personopplysninger
I henhold til GDPR foreligger det brudd på beskyttelsen av personopplysninger hvis mangelfull sikkerhet fører til uautorisert endring, sletting, avsløring eller tap av data. Dette kan oppstå gjennom:
- Ødeleggelse, tap eller endring av personopplysninger
- Uautorisert tilgang eller avsløring – for eksempel gjennom hackerangrep, sending av databærere til feil mottakere eller usikker lagring
- Utilsiktet datadeling – f.eks. gjennom usikker lagring eller overføring
- Dette gjelder uavhengig av om hendelsen skjedde forsettlig eller utilsiktet
Eksempler som kan utgjøre et slikt brudd:
- Datatap gjennom sikkerhetsukrypterte filer eller USB-minnepinner
- Hackerangrep på kundedatabaser
- Feilrettede e-poster med personopplysninger
- Utilsiktet offentlig tilgjengelige personlige dokumenter
Disse fakta kan føre direkte til risikoer, inkludert identitetstyveri, skade på omdømme eller økonomisk skade for berørte parter
Saksgang for datatilsynet
Saksgangen for datatilsynet er formalisert og kan ha forskjellige former:
Klagesaksgang
Berørte personer kan klage til datatilsynet hvis de mener at noen behandler deres personopplysninger ulovlig. Denne prosedyren er relativt lett tilgjengelig.
Fremgangsmåten:
- Den berørte personen sender inn en skriftlig klage – enten via skjema, e-post eller post.
- Datatilsynet vurderer om klagen er formelt tillatt.
- Klagemotparten – vanligvis et selskap eller en myndighet – blir bedt om å uttale seg.
- Deretter følger etterforskning av fakta, eventuelt med supplerende spørsmål eller høringer.
- Til slutt foreligger det et vedtak fra datatilsynet, der det enten avviser klagen eller gir den medhold og beordrer korrigerende tiltak.
For berørte parter er denne prosedyren den viktigste måten å håndheve sine rettigheter i henhold til GDPR.
Offisielle undersøkelser
Datatilsynet er ikke bare avhengig av klager, men kan også handle av eget tiltak. Dette skjer spesielt når det er indikasjoner på systematiske brudd eller sikkerhetshull.
Spesielle forhold:
- Prosedyren starter uten søknad fra en berørt person.
- Meldende personer har ingen partsstatus og blir ikke informert om resultatet.
- Datatilsynet vurderer uavhengig om det foreligger brudd og beordrer eventuelt tiltak.
Offisielle undersøkelser har en sterk forebyggende effekt, da de øker presset på selskaper og myndigheter til ikke bare å sikre databeskyttelse reaktivt, men kontinuerlig.
Administrative straffesaker
Hvis datatilsynet finner et brudd, kan det innlede en administrativ straffesak. Målet er å forplikte selskaper og offentlige organer til å rette opp brudd og ilegge merkbare sanksjoner.
Mulige sanksjoner er:
- Bøter på opptil 20 millioner euro eller 4 % av den globale årlige omsetningen,
- Pålegg om å stanse eller tilpasse databehandlinger,
- Advarsler og pålegg.
Størrelsen på en bot avhenger av alvorlighetsgraden, varigheten og forsettligheten av bruddet. Tidligere brudd eller samarbeidsvillig oppførsel i prosedyren spiller også en rolle.
Peter HarlanderHarlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“
Rettsmidler
Avgjørelser fra datatilsynet tas ved vedtak. Mot disse vedtakene kan de berørte partene anke til Bundesverwaltungsgericht (BVwG).
- BVwG vurderer avgjørelsen i juridisk og faktisk henseende.
- Mot dets avgjørelse er det under visse omstendigheter mulig å anke til Verwaltungsgerichtshof (VwGH) eller å klage til Verfassungsgerichtshof (VfGH).
Dette sikrer at avgjørelser fra datatilsynet er underlagt en flertrinns rettslig kontroll.
Velg ønsket tidspunkt nå:Gratis første konsultasjonInternasjonal dimensjon
Databeskyttelse er ikke lenger et nasjonalt tema. Datatilsynet samarbeider med andre europeiske tilsynsmyndigheter og er en del av Det europeiske databeskyttelsesrådet (EDSA). Det deltar i grenseoverskridende saker, samordner beslutninger som en del av kohærensprosedyren og uttaler seg om internasjonale dataoverføringer, for eksempel til USA.
Informasjonsfrihet
I tillegg til databeskyttelse vinner også informasjonsfriheten betydning. Med den nye informasjonsfrihetsloven (IFG) vil datatilsynet i fremtiden overta rollen som kontaktperson for spørsmål om åpenhet og tilgang til offisiell informasjon.
Disse pliktene er ikke valgfrie. Manglende overholdelse fører regelmessig til etterforskning og i ekstreme tilfeller til betydelige bøter.
Dine fordeler med advokatbistand
En prosedyre foran datatilsynet er forbundet med betydelige utfordringer både for berørte personer og for selskaper. Berørte parter risikerer å ikke fullt ut håndheve sine rettigheter uten profesjonell assistanse. Selskaper står igjen overfor ikke bare høye bøter, men også skade på omdømme og kostbare tilpasninger av sine prosesser. I tillegg er prosedyrene sterkt formalisert og inneholder komplekse juridiske krav som er vanskelige å håndtere uten faglig støtte.
Juridisk bistand fra et spesialisert advokatfirma gir sikkerhet og sikrer at dine interesser blir representert profesjonelt fra begynnelsen. Du drar nytte av solid erfaring innen databeskyttelsesrett og en konsekvent representasjon overfor myndighetene.
- vurderer om det respektive juridiske temaet er aktuelt i ditt tilfelle
- følger deg gjennom hele prosedyren eller avviklingen
- sikrer en juridisk sikker utforming og implementering av alle nødvendige trinn
- støtter beregning, håndhevelse eller avvisning av krav
- ivaretar dine rettigheter og interesser overfor alle involverte parter
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“
