Om du har utövat dina rättigheter och du anser att dina rättigheter har kränkts kan du lämna in ett formellt klagomål till en dataskyddsmyndighet (DPA) mot ett företag. Dataskyddsmyndigheter är nationella eller regionala myndigheter som övervakar tillämpningen av dataskyddslagar och har befogenhet att utfärda böter eller andra påföljder mot företag.
Vi rekommenderar att du väljer dataskyddsmyndigheten i det land där:
- Din vanliga vistelseort (t.ex. om du vill lämna in klagomålet på ditt eget språk),
- Din arbetsplats (t.ex. om du pendlar till ett annat land för din anställning och det är mer praktiskt för dig att lämna in klagomålet där)
- Platsen för överträdelsen (om du t.ex. bor i Slovakien och dina uppgifter behandlas i Spanien kanske du vill vända dig direkt till den spanska dataskyddsmyndigheten).
Kontaktuppgifter och webbplatser för varje dataskyddsmyndighet finns här.
Hur skriver jag ett klagomål?
Den specifika inlämningsprocessen varierar mellan dataskyddsmyndigheterna; många av dem har sina egna särskilda onlineformulär eller inlämningsportaler som är avsedda för inlämning av klagomål. För mer information om den specifika inlämningsprocessen hos olika dataskyddsmyndigheter i olika länder, klicka här.
- Uppge att dina GDPR-rättigheter har kränkts. Bekräfta att den överträdelse du rapporterar gäller behandlingen av dina uppgifter och notera att detta är ett klagomål enligt artikel 77 i GDPR och relevant nationell lagstiftning.
- Ge viss information om bakgrunden till klagomålet, bland annat
- Namn och kontaktuppgifter för det företag eller personuppgiftsbiträde som sannolikt har begått överträdelsen, om du har informationen. Om ni inte har informationen, lämna all information som gör det möjligt för dataskyddsmyndigheten att avgöra vem som sannolikt kommer att motsätta sig ert klagomål.
- En lättförståelig och välstrukturerad sammanfattning av fakta.
- Bevis för att styrka ditt påstående (skärmdumpar, e-postmeddelanden från företaget, kopia av dina uppgifter etc.)
- Den specifika åtgärd som skulle tillfredsställa dig (t.ex. få en kopia av data, viss information, radering av data och liknande). Du kan också nämna vilken artikel i GDPR som enligt din mening har överträtts.
DPA:s beslut
Datainspektionen ska utan dröjsmål bekräfta mottagandet av ditt klagomål och är enligt lag skyldig att hålla dig informerad om hur ditt klagomål fortskrider och om resultatet, inklusive om det hänvisas till en annan datainspektion eller kräver ytterligare utredning.
Vissa dataskyddsmyndigheter har en strikt tidsfrist för att fatta beslut enligt sin nationella lagstiftning (vanligtvis mellan tre och sex månader, ibland ett år). Tyvärr är det många dataskyddsmyndigheter som inte uppfyller dessa skyldigheter eller så finns det ingen skyldighet enligt nationell lagstiftning.
Även om den nationella lagstiftningen inte föreskriver en strikt tidsfrist bör du kunna vända dig till en domstol för att tvinga dataskyddsmyndigheten att agera eller för att hävda dina rättigheter.
Rättsliga åtgärder mot ett dataskyddsombud
Du har rätt att vidta rättsliga åtgärder mot dataskyddsmyndigheten om den inte har behandlat ditt klagomål korrekt eller om du inte håller med om dess beslut. Detaljerna är mycket olika i varje EU-land. Vanligtvis innehåller ett beslut från en dataskyddsmyndighet också allmän information om hur man överklagar beslutet. Om du har ytterligare frågor när du letar efter information om hur man överklagar administrativa beslut i ditt land kan du kontakta noyb eller fråga en lokal advokat.
Det är enkelt att utöva sina rättigheter enligt GDPR och ett informellt e-postmeddelande räcker i de flesta fall. Det finns dock några saker att tänka på. Klicka här om du är intresserad av användbara tips!