Što se događa ako moje društvo podatke obrađuje u različitim državama članicama EU-a?

Odgovor

Opća uredba o zaštiti podataka (OUZP) primjenjuje se u cijelom EU-u – riječ je o jednom skupu pravila o zaštiti podataka za sve države članice EU-a. Time je vaše društvo/organizacija pošteđeno potrebe ulaganja napora kako bi shvatio nekoliko različitih prava. U određenim područjima države članice EU-a mogu dodatno urediti primjenu pravila OUZP-a (primjer: pravila o zapošljavanju, sektor javnog zdravlja, pravila o usklađivanju slobode izražavanja sa zaštitom podataka). OUZP-om se također uvodi takozvani „jedinstveni mehanizam” kojim se osigurava suradnja među tijelima za zaštitu podataka (TZP-ovi) u slučaju prekogranične obrade.

Ako vaše društvo/organizacija podatke obrađuje u različitim zemljama, nadležni TZP, koji će biti vodeće tijelo u svojem djelovanju s drugim dotičnim TZP-ovima u EU-u, jest TZP države članice EU-a u kojoj je vaš glavni poslovni nastan. To se utvrđuje kao društvo/organizacija vaše središnje uprave u EU-u osim ako se  odluke o svrhama i načinima obrade osobnih podataka ne donose u drugom poslovnom nastanu u  kojemu postoje ovlasti za provedbu tih odluka.

Ako vaše društvo/organizacija podatke obrađuje kako bi zadovoljilo obvezu nacionalnog prava države članice EU-a, nadležan je samo TZP te države članice EU-a.

Primjer

Glavni poslovni nastan (odnosno sjedište) tekstilnog društva nalazi se u Italiji. Ima trgovine „satelite” u susjednim zemljama kao što su Malta, Grčka, Francuska i Austrija. U tim susjednim zemljama te trgovine „sateliti” postavljaju bazu podataka koja obrađuje osobne podatke klijenata za marketinške svrhe. No odluke o tome „kako”, „kada” i „zašto” se obratiti navedenim klijentima donose se u sjedištu u Italiji. Stoga se u ovom slučaju smatra da se odluka o obradi osobnih podataka u marketinške svrhe donosi u Italiji. Vodeće tijelo za vaše društvo/organizaciju je talijanski TZP.

Upućivanja

• Smjernice Europskog odbora za zaštitu podatak o vodećem nadzornom tijelu i prilog Smjernicama
• Članak 4. stavak 23., članci 55., 56. i članci 60. do 70. i uvodne izjave (124) (140) OUZP-a

A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.

• EDPB Guidelines on the Lead Supervisory Authority and its annex
• Article 4(23), Articles 55, 56 and Articles 60 to70 and Recitals (124) (140) of the GDPR