Atsakymas
Bendrasis duomenų apsaugos reglamentas (BDAR) taikomas visoje ES. Tai yra vienas duomenų apsaugos taisyklių rinkinys, skirtas visoms ES valstybėms narėms. Taigi, jūsų įmonei ar organizacijai nereikia nagrinėti kelių skirtingų teisės aktų. Kai kuriose srityse ES valstybės barės gali sukonkretinti BDAR taisyklių (pvz., taisyklių dėl užimtumo, visuomenės sveikatos sektoriaus ir saviraiškos laisvės bei duomenų apsaugos suderinimo) taikymą. BDAR taip pat nustatomas vadinamasis „vieno langelio“ mechanizmas, kuriuo užtikrinamas duomenų apsaugos institucijų (DAI) bendradarbiavimas tarpvalstybinio duomenų tvarkymo atveju.
Jeigu jūsų įmonė ar organizacija tvarko duomenis skirtingose šalyse, kompetentinga DAI, kuri bus vadovaujanti institucija palaikant ryšį su kitomis susijusiomis DAI Europos Sąjungoje, yra ES valstybės narės, kurioje yra jos pagrindinė buveinė, DAI. Pagrindinė buveinė yra jūsų įmonės ar organizacijos centrinė administracija ES, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų bei priemonių priimami kitoje buveinėje ir ta buveinė turi įgaliojimus nurodyti, kad tokie sprendimai būtų įgyvendinti.
Jeigu jūsų įmonė ar organizacija tvarko duomenis tam, kad įvykdytų ES valstybės narės nacionalinėje teisėje nustatytą prievolę, kompetenciją turi tik tos ES valstybės narės DAI.
Pavyzdys
Tekstilės įmonės pagrindinė buveinė (t. y. būstinė) yra Italijoje, tačiau jos parduotuvių yra ir kaimynėse šalyse, kaip antai Maltoje, Graikijoje, Prancūzijoje ir Austrijoje. Šių kaimyninių šalių parduotuvėse yra duomenų bazės, kurios tvarko klientų asmens duomenis rinkodaros tikslais. Tačiau sprendimai dėl to, kaip, kada ir kodėl susisiekti su šiais klientais, yra priimami įmonės būstinėje Italijoje. Taigi šiuo atveju laikoma, kad sprendimas dėl asmens duomenų tvarkymo rinkodaros tikslais yra priimamas Italijoje. Vadinasi, jūsų įmonei ar organizacijai vadovaujanti institucija yra Italijos DAI.
Nuorodos
Example
A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.