Odpověď
Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) se použije po celé EU – jeden soubor pravidel pro ochranu osobních údajů ve všech členských státech EU. Vaše společnost/organizace se proto nemusí vypořádávat s několika různými právními předpisy. V některých oblastech mohou členské státy EU dále konkretizovat uplatňování pravidel GDPR (např. pravidla v oblasti zaměstnání; zdravotnictví; pravidla o zajištění souladu mezi právem na svobodu projevu a právem na ochranu osobních údajů). GDPR také zavádí tzv. „mechanismus jediného kontaktního místa“, který zajišťuje spolupráci mezi úřady pro ochranu osobních údajů v případě přeshraničního zpracování.
Pokud vaše společnost/organizace zpracovává osobní údaje v různých zemích, příslušným úřadem pro ochranu údajů, což bude vedoucí úřad ve svých jednáních s dalšími dotčenými úřady pro ochranu údajů v EU, je úřad pro ochranu osobních údajů v členském státě EU, v němž má společnost/organizace hlavní provozovnu. Ta se označuje jako ústřední správa vaší společnosti/organizace v EU, pokud se rozhodnutí o účelech a způsobech zpracovávání osobních údajů nepřijímají v jiné provozovně a tato provozovna nemá pravomoc provádět tato rozhodnutí.
Pokud vaše společnost/organizace zpracovává osobní údaje s cílem splnit povinnost podle vnitrostátních právních předpisů členského státu EU, je příslušný pouze úřad pro ochranu osobních údajů v daném členském státě EU.
Příklad
Hlavní provozovna textilní společnosti (tj. její ústředí) je v Itálii. Přidružené provozovny má v sousedních zemích, jako je Malta, Řecko, Francie a Rakousko. V těchto sousedních zemích přidružené provozovny vytvářejí databáze, které zpracovávají osobní údaje zákazníků pro marketingové účely. Nicméně rozhodnutí o tom, „jak“, „kdy“ a „proč“ tyto zákazníky kontaktovat, se přijímají v ústředí v Itálii. Proto se má za to, že v tomto případě rozhodnutí o zpracovávání osobních údajů pro marketingové účely se provádějí v Itálii. Vedoucím úřadem pro vaši společnost/organizaci je italský úřad pro ochranu osobních údajů.
Odkazy
Example
A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.