Odgovor
Splošna uredba o varstvu podatkov se uporablja po vsej EU: gre za en sklop pravil o varstvu podatkov za vse države. Vašemu podjetju je tako prihranjeno preučevanje različnih zakonodaj. Države EU lahko na nekaterih področjih dodatno določijo uporabo pravil iz splošne uredbe o varstvu podatkov (npr. pravila v zvezi z zaposlovanjem, pravila v sektorju javnega zdravja, pravila o uskladitvi svobode izražanja in varstva podatkov). Uredba uvaja tudi tako imenovani mehanizem „vse na enem mestu“, ki zagotavlja sodelovanje med organi za varstvo podatkov v primeru čezmejne obdelave.
Če obdelujete podatke v različnih državah, je pristojni organ za varstvo podatkov – tj. vodilni organ v odnosu do drugih zadevnih organov za varstvo podatkov v EU – tisti organ za varstvo podatkov iz države EU, v kateri imate svoj glavni sedež. Ta sedež je opredeljen kot vaša osrednja uprava v EU, v kateri se sprejemajo odločitve o namenih in sredstvih obdelave osebnih podatkov in ki je pristojna za izvajanje teh odločitev. Če nimate osrednje uprave v EU, je glavni sedež kraj, kjer se dejansko in resnično izvajajo dejavnosti upravljanja, ki določajo glavne odločitve glede namenov in sredstev za obdelavo.
Če podatke obdelujete zato, da bi izpolnili nacionalno pravno obveznost, je pristojen samo organ za varstvo podatkov iz te države EU.
Primer
Glavni sedež tekstilnega podjetja je v Italiji. Svoje prodajalne ima v sosednjih državah, kot so Malta, Grčija, Francija in Avstrija. Te prodajalne v teh državah vzpostavljajo zbirko podatkov, ki obdeluje osebne podatke kupcev za namene trženja. Odločitve o tem, „kako“, „kdaj“ in „zakaj“ navezati stik z navedenimi kupci, se sprejemajo na sedežu v Italiji. V tem primeru se šteje, da se odločitve o obdelavi osebnih podatkov za namene trženja sprejemajo v Italiji. Vodilni organ za vaše podjetje je italijanski organ za varstvo podatkov.
Reference
Example
A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.