I vissa fall, ska en privatperson lämna in klagomål till en tillsynsmyndighet i ett annat land där GDPR gäller. Många företag bedriver sin verksamhet i ett flertal länder där GDPR gäller (EU/EES-länderna). Enligt huvudregeln ska ett företag endast stå till svars gentemot en dataskyddsmyndighet inom EU och inte flera. Ett företag behöver veta vilken nationell myndighet de ska vända sig till vid exempelvis anmälningar av personuppgiftsincidenter. I Sverige är det IMY (Integritetsskyddsmyndigheten) som är tillsynsmyndighet och myndigheten hette tidigare Datainspektionen.
Klagomål till tillsynsmyndighet i annat land
Huvudsakligt verksamhetsställe
Det land där företaget har sin centrala förvaltning eller där företaget fattar beslut om behandling av personuppgifter, är kallat för ”huvudsakligt verksamhetsställe”. För företag som fattar beslut från ett huvudkontor är detta enklare att avgöra, än för de företag som har utspridda ansvarsområden i olika länder.
Om ett företag har sitt huvudkontor i ett land och fattar alla beslut därifrån, är det tillsynsmyndigheten i det landet som är relevant. Däremot kan det vara mer komplicerat om beslutsfattandet är uppdelat över flera länder. Då kan olika tillsynsmyndigheter vara relevanta för olika ärenden.
Europeiska dataskyddsstyrelsen
Olika tillsynsmyndigheter från de olika länderna där GDPR gäller, möter varandra i den så kallade Europeiska dataskyddsstyrelsen. Där diskuterar de frågor om personuppgifter och dataskydd. Det är en myndighet från EU. Den Europeiska dataskyddsstyrelsen arbetar bland annat med att se till att det finns en enhetlighet vid tillämpningen av regelverket. Dessutom arbetar de med att främja samarbetet mellan tillsynsmyndigheterna inom EU.
