Vastaus
Yleistä tietosuoja-asetusta sovelletaan koko EU:ssa – samat tietosuojasäännöt ovat voimassa kaikissa EU-maissa. Näin yrityksesi/organisaatiosi ei tarvitse tutustua moniin eri lakeihin. Joillain erityisillä aloilla EU-maat saattavat tarkentaa yleisen tietosuoja-asetuksen sääntöjen soveltamista (esimerkiksi työlainsäädäntö, kansanterveysala, sananvapauden ja tietosuojan yhteensovittaminen). Yleisellä tietosuoja-asetuksella otetaan käyttöön niin sanottu 'yhden luukun järjestelmä', jolla varmistetaan tietosuojaviranomaisten välinen yhteistyö rajatylittävän käsittelyn alalla.
Jos yrityksesi/organisaatiosi käsittelee tietoja eri maissa, toimivaltainen tietosuojaviranomainen – joka toimii johtavana viranomainen yrityksesi/organisaatiosi yhteydenpidossa muihin tietosuojaviranomaisiin EU:ssa -on sen EU-maan tietosuojaviranomainen, jossa yrityksesi/organisaatiosi päätoimipaikka sijaitsee. Tämä katsotaan yrityksen/organisaation keskushallinnoksi EU:ssa, jollei henkilötietojen käsittelyn tarkoituksia tai keinoja koskevaa päätöstä tehdä muussa toimipaikassa valtuuksin panna päätös täytäntöön.
Jos yritys/organisaatio käsittelee tietoja EU-maan kansallisen lainsäädännön velvoittamana, vain sen EU-maan tietosuojaviranomainen on toimivaltainen.
Esimerkki
Tekstiilialan yrityksen päätoimipaikka (eli pääkonttori) on Italiassa. Sillä on liikkeitä naapurimaissa, kuten Maltalla, Kreikassa, Ranskassa ja Itävallassa. Naapurimaissa sijaitsevissa liikkeissä on tietokantoja, joissa käsitellään asiakkaiden henkilötietoja markkinointitarkoituksiin. Päätökset siitä, miten, milloin ja miksi asiakkaisiin voidaan ottaa yhteyttä, tehdään kuitenkin pääkonttorissa Italiassa. Tässä tapauksessa henkilötietojen käsittelyä markkinointitarkoituksiin koskeva päätös on tehtävä Italiassa. Italian tietosuojaviranomainen on yrityksesi/organisaatiosi johtava viranomainen.
Viitteet
Example
A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.