Răspuns
Regulamentul general privind protecția datelor (RGPD) se aplică în întreaga UE – același set de norme privind protecția datelor pentru toate statele membre ale UE. Astfel, societatea/organizația dvs. nu este nevoită să se familiarizeze cu mai multe legi diferite. În unele domenii, statele membre UE pot adăuga precizări privind aplicarea normelor RGPD (de exemplu, norme privind ocuparea forței de muncă; sectorul sănătății publice; norme privind reconcilierea dintre libertatea de exprimare și protecția datelor). De asemenea, RGPD introduce așa-numitul mecanism al „ghișeului unic”, care asigură cooperarea între autoritățile de protecție a datelor (APD) în cazul prelucrării transfrontaliere.
Dacă societatea/organizația dvs. prelucrează date în diferite țări, APD competentă – care va fi autoritatea principală în relațiile sale cu alte APD-uri din UE – este APD din statele membre ale UE în care are sediul principal. Aceasta este identificată drept administrația centrală în UE a societății/organizației dvs., dacă deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal nu se iau în alt sediu, iar acel sediu are puterea de a pune în aplicare aceste decizii.
Dacă societatea/organizația dvs. prelucrează date pentru a îndeplini o obligație în temeiul dreptului național al unui stat membru al UE, APD din respectivul stat membru al UE are competență unică.
Exemplu
Sediul principal (adică sediul central) al unei fabrici de textile este în Italia. Aceasta are magazine-satelit în țări învecinate, cum ar fi Malta, Grecia, Franța și Austria. În aceste țări învecinate, magazinele sale satelit creează baze de date care prelucrează date cu caracter personal ale clienților în scopuri de marketing. Cu toate acestea, deciziile privind „cum” trebuie contactați clienții respectivi, „când” și „de ce” se iau la sediul central din Italia. Astfel, în acest caz, se consideră că decizia privind prelucrarea datelor cu caracter personal în scopuri de marketing se ia în Italia. APD din Italia este autoritatea principală pentru societatea/organizația dvs.
Referințe
Example
A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.