Отговор
Общият регламент относно защитата на данните (GDPR) се прилага в целия ЕС — един набор от правила за защита на данните за всички държави. Това улеснява вашето дружество и то не трябва да се съобразява с няколко различни закона. В някои области държавите — членки на ЕС, могат допълнително да уточнят прилагането на правилата на GDPR (напр. правила за заетост, сектора на общественото здравеопазване, правила за съгласуване на свободата на изразяване със защитата на данните). Също така GDPR въвежда така наречения механизъм за обслужване на „едно гише“, който осигурява сътрудничество между органите за защита на данните (ОЗД) в случай на трансгранично обработване.
Ако обработвате данни в различни държави, компетентният ОЗД — който ще бъде водещият орган в преговорите с други заинтересовани ОЗД в ЕС — е ОЗД на държавата — членка на ЕС, в която се намира главният ви офис. Това е централната ви администрация в ЕС, където се вземат решения относно целите и средствата за обработване на лични данни и където е правомощието за изпълнение на тези решения. Ако нямате централна администрация в ЕС, главният ви офис ще бъде мястото, където се извършва ефективното и реалното осъществяване на управленски дейности, които определят основните решения относно целите и средствата за обработване.
Ако обработвате данни, за да изпълнявате национално правно задължение, компетентен е само ОЗД на тази държава от ЕС.
Пример
Главното управление на текстилно предприятие (т.е. неговото седалище) се намира в Италия. То разполага с верига от магазини в съседни държави, като Малта, Гърция, Франция и Австрия. В тези съседни държави магазините от неговата верига създават бази данни, които обработват личните данни на клиентите за маркетингови цели. Решенията за това „как“, „кога“ и „защо“ да се осъществи контакт с посочените клиенти се вземат в централата в Италия. Така, в този случай решението за обработването на лични данни за маркетингови цели се счита за направено в Италия. Италианският ОЗД е водещият орган на вашето предприятие.
Позовавания
Example
A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.