Τι γίνεται στην περίπτωση που επεξεργαζόμαστε δεδομένα σε διαφορετικές χώρες της ΕΕ;

Απάντηση

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) εφαρμόζεται σε όλη την ΕΕ —μια δέσμη κανόνων για την προστασία των δεδομένων για όλα τα κράτη μέλη της ΕΕ. Αυτό απαλλάσσει την εταιρεία ή τον οργανισμό σας από την ανάγκη να κατανοήσει πολλές και διαφορετικές νομοθεσίες. Σε ορισμένους τομείς, τα κράτη μέλη της ΕΕ μπορούν να καθορίσουν περαιτέρω την εφαρμογή των κανόνων του ΓΚΠΔ (τούτο ισχύει, π.χ., για τους κανόνες που αφορούν την απασχόληση, τη δημόσια υγεία και τον συγκερασμό της ελευθερίας έκφρασης και της προστασίας των δεδομένων). Ο ΓΚΠΔ θεσπίζει επίσης τον καλούμενο μηχανισμό «μίας στάσης», ο οποίος διασφαλίζει τη συνεργασία μεταξύ των αρχών προστασίας δεδομένων (ΑΠΔ) στην περίπτωση διασυνοριακής επεξεργασίας.

Εάν η εταιρεία ή ο οργανισμός σας επεξεργάζεται δεδομένα σε διαφορετικές χώρες, η αρμόδια ΑΠΔ —που θα είναι η επικεφαλής αρχή στις συναλλαγές με άλλες σχετικές ΑΠΔ στην ΕΕ— είναι η ΑΠΔ του κράτους μέλους της ΕΕ όπου βρίσκεται η κύρια εγκατάσταση της εταιρείας ή του οργανισμού σας. Αυτή αναγνωρίζεται ως η οικεία κεντρική διοίκηση στην ΕΕ, εκτός εάν οι αποφάσεις σχετικά με τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση, η οποία και νομιμοποιείται να τις εφαρμόζει.

Εάν η εταιρεία ή ο οργανισμός σας επεξεργάζεται δεδομένα με σκοπό την εκπλήρωση υποχρέωσης προβλεπόμενης από την εθνική νομοθεσία κράτους μέλους της ΕΕ, αποκλειστικώς αρμόδια είναι η ΑΠΔ του εν λόγω κράτους μέλους της ΕΕ.

Παράδειγμα

 Η κύρια εγκατάσταση μιας κλωστοϋφαντουργίας (δηλαδή τα κεντρικά γραφεία της) βρίσκεται στην Ιταλία. Διαθέτει «καταστήματα-δορυφόρους» σε γειτονικές χώρες όπως η Μάλτα, η Ελλάδα, η Γαλλία και η Αυστρία. Στις εν λόγω γειτονικές χώρες, τα καταστήματα-δορυφόροι της δημιουργούν βάσεις δεδομένων που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα των πελατών για σκοπούς εμπορικής προώθησης. Ωστόσο, οι αποφάσεις σχετικά με το «πώς», «πότε» και «γιατί» θα γίνεται η επικοινωνία με τους εν λόγω πελάτες λαμβάνονται στα κεντρικά γραφεία στην Ιταλία. Κατά συνέπεια, σε αυτήν την περίπτωση, η απόφαση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για σκοπούς εμπορικής προώθησης θεωρείται ότι λαμβάνεται στην Ιταλία. Η ιταλική ΑΠΔ είναι η επικεφαλής αρχή για την εταιρεία ή τον οργανισμό σας.

Παραπομπές

• Κατευθυντήριες οδηγίες του ΕΣΠΔ σχετικά με την επικεφαλής εποπτική αρχή και το παράρτημά τους
• Άρθρο 4 παράγραφος 23, άρθρο 55, άρθρο 56, άρθρα 60-70 και αιτιολογικές σκέψεις 124-140 του ΓΚΠΔ

A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.

• EDPB Guidelines on the Lead Supervisory Authority and its annex
• Article 4(23), Articles 55, 56 and Articles 60 to70 and Recitals (124) (140) of the GDPR