Page contents Page contents Svar Den generelle forordning om databeskyttelse gælder i hele EU — ét sæt databeskyttelsesregler for alle EU-medlemsstater. Det betyder, at jeres virksomhed/organisation ikke skal sætte sig ind i flere forskellige love. På nogle områder kan EU-medlemsstaterne udspecificere anvendelsen af reglerne i den generelle forordning om databeskyttelse (f.eks. ansættelsesret, sundhedssektoren, regler om afvejning mellem ytringsfrihed og databeskyttelse). Den generelle forordning om databeskyttelse (GDPR) indfører også den såkaldte »one-stop-shop-mekanisme«, som sikrer samarbejde mellem databeskyttelsesmyndighederne i tilfælde af grænseoverskridende behandling. Hvis jeres virksomhed/organisation behandler oplysninger i forskellige lande, er den kompetente databeskyttelsesmyndighed — som vil være den ledende myndighed ved kontakt med andre berørte databeskyttelsesmyndigheder i EU — databeskyttelsesmyndigheden i den EU-medlemsstat, hvor I har hovedsæde. Hovedsædet er jeres virksomheds/organisations hovedkontor i EU, medmindre beslutninger om formål med og metoder til behandling af personoplysninger, træffes et andet sted, og beføjelsen til at gennemgøre disse beslutninger findes på dette sted. Hvis jeres virksomhed/organisation behandler oplysninger for at opfylde en forpligtelse i henhold til national ret i en EU-medlemsstat, er kun databeskyttelsesmyndigheden i det pågældende EU-land kompetent. Eksempel En tekstilvirksomheds hovedsæde (dvs. dens hovedkontor) ligger i Italien. Den har filialer i nabolande som f.eks. Frankrig, Grækenland, Malta og Østrig. I disse nabolande har filialerne oprettet databaser, som behandler kundernes personoplysninger med markedsføring som formål. Beslutningen om, »hvordan« disse kunder skal kontaktes, »hvornår« og »hvorfor« træffes dog på hovedkontoret i Italien. Derfor anses beslutningen om behandling af personoplysninger med markedsføring som formål for at blive truffet i Italien. Den italienske databeskyttelsesmyndighed er den ledende myndighed for jeres virksomhed/organisation. Referencer Det Europæiske Databeskyttelsesråds retningslinjer om den ledende tilsynsmyndighed samt bilag Artikel 4, stk. 23, artikel 55, 56, 60-70; betragtning 124-140 Example A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation. References EDPB Guidelines on the Lead Supervisory Authority and its annex Article 4(23), Articles 55, 56 and Articles 60 to70 and Recitals (124) (140) of the GDPR
