Svar
Den allmänna dataskyddsförordningen gäller i hela EU – en enda uppsättning dataskyddsregler för samtliga medlemsstater i EU. Det besparar ert företag/er organisation behovet av att behärska flera olika lagstiftningar. Inom vissa områden kan medlemsstaterna i EU ytterligare specificera tillämpningen av bestämmelserna i förordningen (t.ex. arbetsrättsliga regler, den offentliga vårdsektorn och regler för avvägning mellan yttrandefrihet och dataskydd). Genom förordningen införs också en så kallad gemensam kontaktpunkt (one-stop-shop), som säkerställer samarbete mellan dataskyddsmyndigheternai händelse av gränsöverskridande behandling.
Om ert företag/er organisation behandlar uppgifter i olika länder, så är den behöriga dataskyddsmyndigheten – som blir den ansvariga myndigheten i kontakterna med andra berörda dataskyddsmyndigheter i EU – dataskyddsmyndigheten i den medlemsstat i EU där företaget/organisationen har sitt huvudsakliga verksamhetsställe. Detta verksamhetsställe är den plats där företaget/organisationen har sin centrala förvaltning i EU, såvida inte beslut om ändamålen med och metoderna för behandling av personuppgifter tas vid ett annat verksamhetsställe och det finns befogenhet vid det verksamhetsstället att genomföra dessa beslut.
Om ert företag/er organisation behandlar uppgifter för att uppfylla en skyldighet enligt lagstiftningen i en medlemsstat i EU, så är endast dataskyddsmyndigheten i den medlemsstaten behörig.
Exempel
Ett textilföretag har sitt huvudsakliga verksamhetsställe (d.v.s. sitt huvudkontor) i Italien. Det har filialer i grannländer som Malta, Grekland, Frankrike och Österrike. I dessa grannländer sätter filialerna upp databaser som behandlar kundernas personuppgifter i marknadsföringssyfte. Besluten om ”hur”, ”när” och ”varför” man kontaktar dessa kunder tas emellertid på huvudkontoret i Italien. Därför anses i detta fall beslutet om behandling av personuppgifter i marknadsföringssyfte fattas i Italien. Den italienska dataskyddsmyndigheten är då den ansvariga myndigheten för ert företag/er organisation.
Referenser
Example
A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.