Odpowiedź
Ogólne rozporządzenie o ochronie danych (RODO) stosowane jest w całej UE, jako wspólny pakiet przepisów o ochronie danych dla wszystkich państw członkowskich UE. Dzięki temu Twoja firma/organizacja nie musi się zapoznawać z szeregiem zróżnicowanych systemów prawnych. W niektórych kwestiach państwa członkowskie UE mogą doprecyzować stosowanie przepisów RODO (np. przepisy dotyczące prawa pracy, zdrowia publicznego, zasady godzenia wolności wypowiedzi z ochroną danych). RODO ustanawia także tzw. mechanizm kompleksowej współpracy, który zapewnia ramy współpracy między poszczególnymi organami ochrony danych w sprawach dotyczących transgranicznego przetwarzania danych.
Jeżeli Twoja firma/organizacja przetwarza dane w różnych krajach, właściwym organem ochrony danych – który będzie wiodącym organem nadzorczym podczas współpracy z innymi zaangażowanymi organami ochrony danych w UE – jest organ państwa członkowskiego UE, w którym posiadasz swoją główną jednostkę organizacyjną. Główna jednostka organizacyjna to miejsce, w którym znajduje się centralna administracja w UE Twojej firmy/organizacji, chyba że decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej, a jednostka tama prawo nakazać wykonanie takich decyzji.
Jeżeli Twoja firma/organizacja przetwarza dane, aby wypełnić obowiązek wynikający z prawa krajowego państwa członkowskiego UE, jedynym właściwym organem ochrony danych jest organ tego państwa członkowskiego UE.
Przykład
Główną jednostką organizacyjną firmy włókienniczej (czyli jej siedzibą) są Włochy. Posiada również sklepy w krajach sąsiadujących, takich jak Malta, Grecja, Francja i Austria. W tych sklepach rozlokowanych w sąsiednich krajach zainstalowano bazy danych, w których przetwarza się dane klientów do celów marketingowych. Jednakże decyzje o tym, „jak”, „kiedy” i „w jakim celu” kontaktować się z klientami, podejmowane są we Włoszech. Przyjmuje się więc, że decyzja dotycząca przetwarzania danych osobowych do celów marketingowych musi zapadać we Włoszech. W tej sytuacji włoski organ ochrony danych jest dla Twojej firmy/organizacji wiodącym organem nadzorczym.
Odnośniki
Example
A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.