Odpoveď
Všeobecné nariadenie o ochrane údajov (GDPR) sa uplatňuje v celej EÚ – jeden súbor pravidiel na ochranu údajov pre všetky členské štáty EÚ. Vaša spoločnosť /organizácia sa vďaka tomu nemusí vyrovnávať s niekoľkými odlišnými právnymi predpismi. V niektorých oblastiach môžu členské štáty EÚ ďalej spresniť uplatňovanie pravidiel GDPR (napr. pravidlá v oblasti zamestnanosti; sektor verejného zdravia; pravidlá o zosúladení slobody prejavu a ochrany údajov). Vo všeobecnom nariadení sa zavádza aj tzv. mechanizmus jednotného kontaktného miesta, ktorým sa zabezpečuje spolupráca medzi úradmi na ochranu údajov (DPA) v prípade cezhraničného spracúvania.
Ak vaša spoločnosť/organizácia spracúva údaje v rôznych krajinách, príslušný úrad na ochranu údajov, ktorý bude hlavným orgánom vo vzťahu s ostatnými príslušnými DPA v EÚ, je úrad na ochranu údajov v členskom štáte EÚ, v ktorom má spoločnosť/organizácia hlavné sídlo. To sa označuje ako ústredný orgán spoločnosti/organizácie v EÚ, pokiaľ sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov neprijímajú v inom sídle a tomuto sídlu neprináleží právomoc vykonávať tieto rozhodnutia.
Ak vaša spoločnosť/organizácia spracúva údaje, aby splnila záväzky podľa vnútroštátneho práva členského štátu EÚ , kompetenciu má len úrad na ochranu údajov toho členského štátu EÚ.
Príklad
Hlavné miesto podnikateľskej činnosti textilnej spoločnosti (t. j. jej sídlo) je v Taliansku. V susedných krajinách, ako sú Malta, Grécko, Francúzsko a Rakúsko, má satelitné obchody. V týchto susedných krajinách si satelitné obchody vytvorili databázy, v ktorých spracúvajú osobné údaje zákazníkov na marketingové účely. Rozhodnutia o tom, „ako“, „kedy“ a „prečo“ kontaktovať daných zákazníkov, sa však prijímajú v talianskom sídle. V tomto prípade sa teda usudzuje, že rozhodnutia o spracúvaní osobných údajov na marketingové účely sa prijímajú v Taliansku. Taliansky úrad na ochranu údajov je hlavný orgán pre vašu spoločnosť/organizáciu.
Odkazy
Example
A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.