Pāriet uz galveno saturu

Kā rīkoties, ja mans uzņēmums datus apstrādā citā ES dalībvalstī?

Atbilde

Vispārīgo datu aizsardzības regulu (VDAR) piemēro visā ES — tas ir vienots datu aizsardzības noteikumu kopums visām ES dalībvalstīm. Tādēļ jūsu uzņēmumam/organizācijai nav jātērē resursi, lai iepazītos ar vairākiem atšķirīgiem tiesību aktiem. Noteiktās jomās ES dalībvalstis VDAR noteikumu piemērošanu var noteikt sīkāk (piemēram, noteikumus attiecībā uz nodarbinātību un sabiedrības veselības aizsardzības nozari, noteikumus par vārda brīvības un datu aizsardzības saskaņošanu). Ar VDAR ievieš arī tā dēvēto “vienas pieturas aģentūras mehānismu”, kas datu pārrobežu apstrādes gadījumā nodrošina sadarbību starp datu aizsardzības iestādēm.

Ja jūsu uzņēmums/organizācija datus apstrādā dažādās valstīs, kompetentā datu aizsardzības iestāde, kura būs vadošā iestāde darbā ar citām iesaistītajām datu aizsardzības iestādēm ES, ir tās ES dalībvalsts datu aizsardzības iestāde, kura ir tā galvenā darbības vieta. Tā ir vieta, kur atrodas uzņēmuma/organizācijas galvenā pārvalde ES, izņemot gadījumus, kur  lēmumi par personas datu apstrādes nolūkiem un apstrādes līdzekļiem tiek pieņemti citā darbības vietā un uzņēmumam/organizācijai minētajā darbības vietā ir pilnvaras īstenot šos lēmumus.

Ja jūsu uzņēmums/organizācija datus apstrādā, lai izpildītu ES dalībvalstī tiesību aktā noteiktus pienākumus, kompetenta ir vienīgi attiecīgās ES dalībvalsts datu aizsardzības iestāde.

Piemērs

Kāda tekstilizstrādājumu ražošanas uzņēmuma galvenā uzņēmējdarbības vieta (tas ir, tās galvenais birojs) atrodas Itālijā. Tam ir mazi veikali kaimiņvalstīs, piemēram, Maltā, Grieķijā, Francijā un Austrijā. Šajās kaimiņvalstīs uzņēmuma veikali izveido datubāzes, kurās tirgvedības nolūkos tiek apstrādāti klientu personas dati. Tomēr lēmumi par to, kā sazināties ar minētajiem klientiem, kad un kādos nolūkos to darīt, tiek pieņemt Itālijas galvenajā birojā. Tādējādi šajā gadījumā uzskatāms, ka lēmums par personas datu apstrādi tirgvedības nolūkos tiek pieņemts Itālijā. Šim uzņēmumam/organizācijai vadošā iestāde ir Itālijas datu aizsardzības iestāde.

Atsauces

Example

A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.