Antwoord
De Algemene Verordening Gegevensbescherming (AVG) geldt in de hele EU: één geheel van gegevensbeschermingsregels voor alle EU-lidstaten. Dit voorkomt dat uw onderneming/organisatie zich met verschillende wetten moet bezighouden. Op sommige gebieden mogen EU-lidstaten de toepassing van de regels van de AVG verder specificeren (bijvoorbeeld regels inzake werkgelegenheid, volksgezondheid, regels inzake de combinatie van vrijheid van meningsuiting en gegevensbescherming). De AVG introduceert ook het zogeheten „éénloketsysteem” dat de samenwerking tussen de gegevensbeschermingsautoriteiten bij grensoverschrijdende verwerking moet waarborgen.
Als uw onderneming/organisatie gegevens in verschillende landen verwerkt, is de leidende autoriteit voor de andere betrokken gegevensbeschermingsautoriteiten in de EU de bevoegde gegevensbeschermingsautoriteit van de EU-lidstaat waar u uw onderneming/organisatie haar hoofdvestiging heeft. Die gegevensbeschermingsautoriteit is de centrale administratie in de EU voor uw onderneming/organisatie, tenzij een andere vestiging beslissingen neemt over de doeleinden en middelen voor persoonsgegevensverwerking en die vestiging de bevoegdheid heeft om die beslissingen uit te voeren.
Als uw onderneming/organisatie gegevens verwerkt om te voldoen aan een nationale wettelijke verplichting van een EU-lidstaat, is alleen de gegevensbeschermingsautoriteit van die EU-lidstaat bevoegd.
Voorbeeld
De hoofdvestiging van een textielbedrijf (dus het hoofdkantoor) bevindt zich in Italië. Het heeft satellietwinkels in buurlanden zoals Malta, Griekenland, Frankrijk en Oostenrijk. In die buurlanden zetten de satellietwinkels databases op waarin voor reclamedoeleinden de persoonsgegevens van klanten worden verwerkt. De beslissingen over „de wijze waarop” contact kan worden opgenomen met de klanten, „wanneer” en „met welk doel”, worden echter op het hoofdkantoor in Italië genomen. In dat geval wordt het besluit over de verwerking van persoonsgegevens voor reclamedoeleinden geacht te zijn genomen in Italië genomen. De Italiaanse gegevensbeschermingsautoriteit is de leidende autoriteit voor uw onderneming/organisatie.
Referenties
Example
A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.