Artikkel 56. Den ledende tilsynsmyndighets kompetanse

• Artikkel 4. Definisjoner, se punkt 23 «grenseoverskridende behandling»
• Artikkel 51. Tilsynsmyndighet
• Artikkel 55. Kompetanse
• Artikkel 63. Konsistensmekanisme
• Artikkel 64. Uttalelse fra Personvernrådet
• Artikkel 65. Tvisteløsning gjennom Personvernrådet
• Artikkel 66. Fremgangsmåte for behandling av hastesaker
• Artikkel 67. Utveksling av informasjon

Ledende tilsynsmyndighet når behandlingsansvarlig/databehandler er etablert i flere land (ettstedsmekanismen)*

124. Dersom behandlingen av personopplysninger utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller databehandler i Unionen, og den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller dersom behandlingen som utføres i forbindelse med aktivitetene ved den eneste virksomheten til en behandlingsansvarlig eller databehandler i Unionen, i vesentlig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat, bør tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet fungere som ledende tilsynsmyndighet. Den bør samarbeide med de andre berørte myndighetene dersom den behandlingsansvarlige eller databehandleren har en virksomhet på territoriet til deres medlemsstat, dersom registrerte bosatt på deres territorium i vesentlig grad berøres, eller dersom det er inngitt klage til dem. Også dersom en registrert som ikke er bosatt i nevnte medlemsstat, har inngitt klage, bør tilsynsmyndigheten som klagen er inngitt til, også være en berørt tilsynsmyndighet. Personvernrådet bør innenfor rammen av sine oppgaver med å utstede retningslinjer for eventuelle spørsmål som omfatter anvendelsen av denne forordning, særlig kunne utstede retningslinjer for kriteriene som skal tas i betraktning for å vurdere om den aktuelle behandlingen i vesentlig grad berører registrerte i mer enn én medlemsstat, og for hva som utgjør en relevant og begrunnet innsigelse.
_{*ikke offisiell overskrift}

Ledende tilsynsmyndighets avgjørelser*

125. Den ledende myndigheten bør ha kompetanse til å treffe bindende avgjørelser om tiltak innenfor rammen av den myndighet den gis i samsvar med denne forordning. I egenskap av å være ledende myndighet bør tilsynsmyndigheten sørge for at de berørte tilsynsmyndighetene involveres tett og samordnes i avgjørelsesprosessen. Dersom det besluttes helt eller delvis å avslå den registrertes klage, bør avgjørelsen treffes av tilsynsmyndigheten som klagen er inngitt til.
_{*ikke offisiell overskrift}

Avgjørelse av flere tilsynsmyndigheter*

126. Avgjørelsen bør treffes i fellesskap av den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene og bør rettes til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet, og den bør være bindende for den behandlingsansvarlige og databehandleren. Den behandlingsansvarlige eller databehandleren bør treffe de nødvendige tiltak for å sikre samsvar med denne forordning samt gjennomføring av avgjørelsen som den ledende tilsynsmyndigheten har meddelt den behandlingsansvarliges eller databehandlerens hovedvirksomhet med hensyn til behandlingsaktiviteter i Unionen.
_{*ikke offisiell overskrift}

Unntak fra regler om ledende tilsynsmyndighet og ettstedsmekanismen*

128. Reglene for den ledende tilsynsmyndigheten og ettstedsmekanismen bør ikke få anvendelse dersom behandlingen utføres av offentlige myndigheter eller private organer i allmennhetens interesse. I slike tilfeller bør bare tilsynsmyndigheten i medlemsstaten der den offentlige myndigheten eller det private organet er etablert, ha kompetanse til å utøve myndigheten den er gitt i henhold til denne forordning.
_{*ikke offisiell overskrift}

Samarbeid mellom ledende tilsynsmyndighet og tilsynsmyndighet som har mottatt klage*

130. Dersom tilsynsmyndigheten som klagen er inngitt til, ikke er den ledende tilsynsmyndigheten, bør den ledende tilsynsmyndigheten samarbeide tett med tilsynsmyndigheten som klagen er inngitt til, i samsvar med bestemmelsene om samarbeid og ensartet anvendelse fastsatt i denne forordning. I slike tilfeller bør den ledende tilsynsmyndigheten, når den treffer tiltak som skal ha rettsvirkning, herunder ilegging av overtredelsesgebyr, ta størst mulig hensyn til synspunktene til tilsynsmyndigheten som klagen er inngitt til, og som fortsatt skal ha kompetanse til å foreta undersøkelser på sin egen medlemsstats territorium sammen med vedkommende tilsynsmyndighet.
_{*ikke offisiell overskrift}

Behandling av tilsynsmyndighet som mottar klage om det foreligger ledende tilsynsmyndighet*

131. Dersom en annen tilsynsmyndighet bør fungere som ledende tilsynsmyndighet for den behandlingsansvarliges eller databehandlerens behandlingsaktiviteter, men det konkrete innholdet i en klage eller den mulige overtredelsen bare gjelder behandlingsaktiviteter som utføres av den behandlingsansvarlige eller databehandleren i medlemsstaten der klagen er inngitt eller den mulige overtredelsen er oppdaget, og forholdet ikke i vesentlig grad berører eller sannsynligvis ikke i vesentlig grad vil berøre registrerte i andre medlemsstater, bør tilsynsmyndigheten som mottar en klage eller oppdager eller på annen måte blir underrettet om situasjoner som innebærer mulige overtredelser av denne forordning, søke å komme fram til en minnelig løsning sammen med den behandlingsansvarlige og dersom dette ikke lykkes, utøve sin myndighet fullt ut. Dette bør omfatte spesifikk behandling som utføres på territoriet til tilsynsmyndighetens medlemsstat, eller når det gjelder registrerte, på territoriet til nevnte medlemsstat, behandling som utføres i forbindelse med tilbud av varer eller tjenester som er særlig rettet mot registrerte på territoriet til tilsynsmyndighetens medlemsstat, eller behandling som skal vurderes i henhold til relevante rettslige forpliktelser i medlemsstatenes nasjonale rett.
_{*ikke offisiell overskrift}

Behandlingsansvarliges hovedvirksomhet*

36. En behandlingsansvarliges hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarliges hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.
_{*ikke offisiell overskrift}

Håndtering av saker for ikke-ledende tilsynsmyndighet*

127. Hver tilsynsmyndighet som ikke fungerer som ledende tilsynsmyndighet, bør ha kompetanse til å håndtere lokale saker dersom den behandlingsansvarlige eller databehandleren er etablert i flere enn én medlemsstat, men gjenstanden for den spesifikke behandlingen bare gjelder behandling utført i én medlemsstat, og bare omfatter registrerte i nevnte ene medlemsstat, f.eks. dersom det gjelder behandling av arbeidstakeres personopplysninger i forbindelse med spesifikke ansettelsesforhold i en medlemsstat. I slike tilfeller bør tilsynsmyndigheten uten opphold underrette den ledende tilsynsmyndigheten om forholdet. Etter å ha blitt underrettet bør den ledende tilsynsmyndigheten beslutte om den skal behandle saken i henhold til bestemmelsen om samarbeid mellom den ledende tilsynsmyndigheten og andre berørte tilsynsmyndigheter («ettstedsmekanismen»), eller om tilsynsmyndigheten som underrettet den, bør behandle saken på lokalt plan. Når den ledende tilsynsmyndigheten skal beslutte om den skal behandle saken, bør den ta hensyn til om den behandlingsansvarlige eller databehandleren har en virksomhet i medlemsstaten til tilsynsmyndigheten som underrettet den, for å sikre en effektiv gjennomføring av en avgjørelse overfor den behandlingsansvarlige eller databehandleren. Dersom den ledende tilsynsmyndigheten beslutter å behandle saken, bør tilsynsmyndigheten som underrettet den, ha mulighet til å legge fram et forslag til avgjørelse som den ledende tilsynsmyndigheten bør ta størst mulig hensyn til ved utarbeiding av sitt utkast til avgjørelse i nevnte ettstedsmekanisme.
_{*ikke offisiell overskrift}

Konsistensmekanisme for å sikre ensartet anvendelse av GDPR*

135. For å sikre ensartet anvendelse av denne forordning i hele Unionen bør det opprettes en konsistensmekanisme for samarbeid mellom tilsynsmyndighetene. Nevnte mekanisme bør særlig få anvendelse dersom en tilsynsmyndighet akter å treffe et tiltak som skal ha rettsvirkning, når det gjelder behandlingsaktiviteter som i vesentlig grad berører et betydelig antall registrerte i flere medlemsstater. Den bør også få anvendelse dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om at et slikt forhold behandles innenfor rammen av konsistensmekanismen. Nevnte mekanisme bør ikke berøre eventuelle tiltak som Kommisjonen kan treffe som ledd i utøvelsen av sin myndighet i henhold til traktatene.
_{*ikke offisiell overskrift}

Uttalelse fra EUs personvernråd (EDPB) ved konsistensmekanismen*

136. Ved anvendelse av konsistensmekanismen bør Personvernrådet innen en fastsatt frist avgi uttalelse dersom et flertall av dets medlemmer beslutter det, eller dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om det. Personvernrådet bør også gis myndighet til å treffe rettslig bindende beslutninger dersom det oppstår tvister mellom tilsynsmyndighetene. For dette formål bør det, i prinsippet med to tredels flertall blant dets medlemmene, treffe rettslig bindende beslutninger i tydelig angitte tilfeller der det foreligger motstridende synspunkter blant tilsynsmyndighetene, særlig i mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om en saks fakta, særlig om hvorvidt det foreligger en overtredelse av denne forordning.
_{*ikke offisiell overskrift}

Konsistensmekanismen som vilkår for tiltak av tilsynsmyndighet*

138. Anvendelsen av en slik mekanisme bør være et vilkår for lovligheten av et tiltak som er truffet av en tilsynsmyndighet, og som er ment å ha rettsvirkning, i tilfeller der anvendelsen av den er obligatorisk. I andre tilfeller som har en grenseoverskridende dimensjon, bør mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anvendes, og gjensidig bistand kan ytes og felles aktiviteter kan gjennomføres mellom de berørte tilsynsmyndighetene på et bilateralt eller multilateralt grunnlag uten at det utløser konsistensmekanismen.
_{*ikke offisiell overskrift}

Article 56. Competence of the lead supervisory authority

1. Without prejudice to Article 55, the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the cross-border processing carried out by that controller or processor in accordance with the procedure provided in Article 60.

2. By derogation from paragraph 1, each supervisory authority shall be competent to handle a complaint lodged with it or a possible infringement of this Regulation, if the subject matter relates only to an establishment in its Member State or substantially affects data subjects only in its Member State.

3. In the cases referred to in paragraph 2 of this Article, the supervisory authority shall inform the lead supervisory authority without delay on that matter. Within a period of three weeks after being informed the lead supervisory authority shall decide whether or not it will handle the case in accordance with the procedure provided in Article 60, taking into account whether or not there is an establishment of the controller or processor in the Member State of which the supervisory authority informed it.

4. Where the lead supervisory authority decides to handle the case, the procedure provided in Article 60 shall apply. The supervisory authority which informed the lead supervisory authority may submit to the lead supervisory authority a draft for a decision. The lead supervisory authority shall take utmost account of that draft when preparing the draft decision referred to in Article 60 (3).

5. Where the lead supervisory authority decides not to handle the case, the supervisory authority which informed the lead supervisory authority shall handle it according to Articles 61 and 62.

6. The lead supervisory authority shall be the sole interlocutor of the controller or processor for the cross-border processing carried out by that controller or processor.