Κατευθυντήριες γραμμές Ομάδας Εργασίας Άρθρου 29 για τον προσδιορισμό της επικεφαλής εποπτικής αρχής των υπευθύνων επεξεργασίας ή των εκτελούντων την επεξεργασία
WP 244 rev.01 Ομάδας για την προστασία των προσώπων έναντι της επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα
Πίνακας περιεχομένων
1. Προσδιορισμός της επικεφαλής εποπτικής αρχής: βασικές έννοιες
1.1 «Διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα»
1.1.1 «Επηρεάζει ουσιωδώς»
1.2 Επικεφαλής εποπτική αρχή
1.3 Κύρια εγκατάσταση
2. Βήματα για τον προσδιορισμό της επικεφαλής εποπτικής αρχής
2.1 Προσδιορισμός της «κύριας εγκατάστασης» των υπευθύνων επεξεργασίας
2.1.1 Κριτήρια για τον προσδιορισμό της κύριας εγκατάστασης του υπευθύνου επεξεργασίας στις περιπτώσεις στις οποίες δεν είναι ο τόπος της κεντρικής του διοίκησης στην ΕΕ
2.1.2 Όμιλοι επιχειρήσεων
2.1.3 Από κοινού υπεύθυνοι επεξεργασίας των δεδομένων
2.2 Οριακές περιπτώσεις
2.3 Εκτελών την επεξεργασία
3. Άλλα συναφή ζητήματα
3.1 Ο ρόλος της «ενδιαφερόμενης εποπτικής αρχής»
3.2 Επεξεργασία σε τοπικό επίπεδο
3.3 Εταιρείες μη εγκατεστημένες στην ΕΕ
ΠΑΡΑΡΤΗΜΑ - Ερωτήσεις για την καθοδήγηση του προσδιορισμού της επικεφαλής εποπτικής αρχής
1. Προσδιορισμός της επικεφαλής εποπτικής αρχής: βασικές έννοιες.
1.1 «Διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα».
Ο προσδιορισμός της επικεφαλής εποπτικής αρχής έχει νόημα μόνο στην περίπτωση που o υπεύθυνος επεξεργασίας ή o εκτελών την επεξεργασία πραγματοποιεί δραστηριότητες διασυνοριακής επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Το άρθρο 4 σημείο 23) του γενικού κανονισμού για την προστασία δεδομένων παρέχει διαζευκτικά τους ακόλουθους ορισμούς όσον αφορά τη «διασυνοριακή επεξεργασία»:
- η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη· ή
- η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη.
Τούτο σημαίνει ότι εάν, για παράδειγμα, ένας οργανισμός διαθέτει εγκαταστάσεις στη Γαλλία και τη Ρουμανία και γίνεται επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων και των δύο εγκαταστάσεων, τότε αυτό θα συνιστά διασυνοριακή επεξεργασία.
Εναλλακτικά, ο οργανισμός ενδέχεται να διενεργεί δραστηριότητες επεξεργασίας αποκλειστικά στο πλαίσιο της εγκατάστασής του στη Γαλλία. Εντούτοις, εάν η εν λόγω επεξεργασία επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων τόσο στη Γαλλία όσο και στη Ρουμανία, τότε επίσης θα συνιστά διασυνοριακή επεξεργασία.
1.1.1 «Επηρεάζει ουσιωδώς».
Ο γενικός κανονισμός για την προστασία δεδομένων δεν παρέχει ορισμό σχετικά με τους όρους «ουσιωδώς» ή «επηρεάζει». Με την εν λόγω διατύπωση σκοπείται να διασφαλιστεί ότι δεν θα εμπίπτουν στον ορισμό της «διασυνοριακής επεξεργασίας» όλες οι δραστηριότητες επεξεργασίας με οποιοδήποτε αποτέλεσμα που πραγματοποιούνται στο πλαίσιο μίας μόνης εγκατάστασης.
Οι πιο συνήθεις σημασίες στην αγγλική γλώσσα του όρου «substantial» (ουσιώδης) είναι οι εξής: «of ample or considerable amount or size» (που έχει μεγάλη ή σημαντική ποσότητα ή μέγεθος), «sizeable, fairly large» (ευμεγέθης, αρκετά μεγάλος) ή «having solid worth or value» (που έχει σημαντική αξία, είναι πραγματικής σημασίας), «solid» (στέρεος), «weighty, important» (βαρυσήμαντος, σημαντικός) (Oxford English Dictionary).
Η πιο σημαντική σημασία του ρήματος «affect» (επηρεάζω) είναι «to influence» (ασκώ επίδραση) ή «to make a material impression on» (κάνω ουσιαστική εντύπωση). Το παράγωγο ουσιαστικό «effect» (επιρροή) σημαίνει, μεταξύ άλλων, «a result» (αποτέλεσμα) ή «a consequence» (συνέπεια) (Oxford English Dictionary). Τούτο σημαίνει ότι για να επηρεάζει κάποιον η επεξεργασία δεδομένων πρέπει να έχει κάποιο είδος αντικτύπου σ’ αυτόν. Η επεξεργασία που δεν επηρεάζει ουσιωδώς φυσικά πρόσωπα δεν εμπίπτει στο δεύτερο τμήμα του ορισμού της «διασυνοριακής επεξεργασίας». Εντούτοις, θα μπορούσε να εμπίπτει στο πρώτο τμήμα του ορισμού βάσει του οποίου η επεξεργασία δεδομένων προσωπικού χαρακτήρα γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη.
Η επεξεργασία μπορεί να θεωρηθεί ότι εμπίπτει στο δεύτερο τμήμα του ορισμού εάν υφίσταται ενδεχόμενο ουσιώδους επιρροής, χωρίς να υπάρχει απαραίτητα πραγματική ουσιώδης επιρροή. Επισημαίνεται ότι η έκφραση «ενδέχεται» δεν συμπεριλαμβάνει τη μακρινή πιθανότητα ουσιώδους επιρροής. Η ουσιώδης επιρροή πρέπει να είναι περισσότερο πιθανό να συμβεί από το να μη συμβεί. Αφετέρου, σημαίνει επίσης ότι δεν απαιτείται να έχουν πράγματι επηρεαστεί τα φυσικά πρόσωπα: το ενδεχόμενο της ουσιώδους επιρροής αρκεί για τη συμπερίληψη της επεξεργασίας στον ορισμό της «διασυνοριακής επεξεργασίας».
Το γεγονός ότι μια πράξη επεξεργασίας δεδομένων μπορεί να συνεπάγεται την επεξεργασία ενός αριθμού —ακόμη και μεγάλου— δεδομένων προσωπικού χαρακτήρα φυσικών προσώπων σε περισσότερα κράτη μέλη δεν σημαίνει κατ’ ανάγκη ότι η επεξεργασία έχει ή ενδέχεται να έχει ουσιώδη επιρροή. Η επεξεργασία που δεν έχει ουσιώδη επιρροή δεν συνιστά διασυνοριακή επεξεργασία για τους σκοπούς του δεύτερου τμήματος του ορισμού, ανεξαρτήτως του αριθμού των επηρεαζόμενων φυσικών προσώπων.
Οι εποπτικές αρχές θα ερμηνεύουν τη φράση «επηρεάζει ουσιωδώς» κατά περίπτωση. Θα συνεκτιμώνται το πλαίσιο της επεξεργασίας, το είδος των δεδομένων, ο σκοπός της επεξεργασίας και παράγοντες όπως το αν η επεξεργασία:
- προκαλεί ή ενδέχεται να προκαλέσει ζημία, απώλεια ή ταλαιπωρία σε φυσικά πρόσωπα·
- έχει ή ενδέχεται να έχει πραγματική επιρροή όσον αφορά τον περιορισμό των δικαιωμάτων ή τη στέρηση ευκαιριών·
- επηρεάζει ή ενδέχεται να επηρεάσει την υγεία, την ευεξία ή την ψυχική ηρεμία των φυσικών προσώπων·
- επηρεάζει ή ενδέχεται να επηρεάσει την οικονομική ή χρηματοπιστωτική κατάσταση ή συνθήκες των φυσικών προσώπων·
- καθιστά τα φυσικά άτομα ευάλωτα σε διακρίσεις ή άνιση μεταχείριση·
- συνεπάγεται την ανάλυση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ή άλλων αδιάκριτων δεδομένων, ιδίως δε των δεδομένων προσωπικού χαρακτήρα παιδιών·
- προκαλεί ή ενδέχεται να προκαλέσει σημαντική μεταβολή της συμπεριφοράς των φυσικών προσώπων·
- έχει αβέβαιες, απρόβλεπτες ή ανεπιθύμητες συνέπειες για τα φυσικά πρόσωπα·
- φέρνει το πρόσωπο σε δύσκολη θέση ή έχει άλλες αρνητικές συνέπειες, μεταξύ άλλων βλάβη της φήμης· ή
- συνεπάγεται την επεξεργασία ευρέος φάσματος δεδομένων προσωπικού χαρακτήρα.
Τέλος, η δοκιμή της «ουσιώδους επιρροής» αποσκοπεί στη διασφάλιση ότι οι εποπτικές αρχές υποχρεούνται να συνεργαστούν επισήμως μέσω του μηχανισμού συνεκτικότητας του γενικού κανονισμού για την προστασία δεδομένων μόνο «όταν μια εποπτική αρχή σκοπεύει να θεσπίσει μέτρο που πρόκειται να παραγάγει έννομες συνέπειες όσον αφορά πράξεις επεξεργασίας που επηρεάζουν ουσιωδώς σημαντικό αριθμό υποκειμένων των δεδομένων σε περισσότερα κράτη μέλη». (αιτιολογική σκέψη 135)
1.2 Επικεφαλής εποπτική αρχή.
Με απλά λόγια, η «επικεφαλής εποπτική αρχή» είναι η αρχή που έχει την πρωταρχική ευθύνη για τη διαχείριση των δραστηριοτήτων διασυνοριακής επεξεργασίας, για παράδειγμα, σε περίπτωση υποβολής καταγγελίας από υποκείμενο δεδομένων σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του.
Η επικεφαλής εποπτική αρχή θα συντονίζει το σύνολο των ερευνών, στις οποίες συμμετέχουν άλλες «ενδιαφερόμενες» εποπτικές αρχές.
Ο προσδιορισμός της επικεφαλής εποπτικής αρχής εξαρτάται από τον προσδιορισμό του τόπου της «κύριας εγκατάστασης» ή της «μόνης εγκατάστασης» του υπευθύνου επεξεργασίας στην ΕΕ. Το άρθρο 56 του γενικού κανονισμού για την προστασία δεδομένων ορίζει τα εξής:
- η εποπτική αρχή της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική αρχή για τις διασυνοριακές πράξεις επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με τη διαδικασία [συνεργασίας] που προβλέπεται στο άρθρο 60.
1.3 Κύρια εγκατάσταση.
Το άρθρο 4 σημείο 16) του γενικού κανονισμού για την προστασία δεδομένων ορίζει την «κύρια εγκατάσταση» ως εξής:
- όταν πρόκειται για υπεύθυνο επεξεργασίας με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση και η εγκατάσταση αυτή έχει την εξουσία εφαρμογής των αποφάσεων αυτών, οπότε ως κύρια εγκατάσταση θεωρείται η εγκατάσταση στην οποία έλαβε τις αποφάσεις αυτές,
- όταν πρόκειται για εκτελούντα την επεξεργασία με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην Ένωση, η εγκατάσταση του εκτελούντος την επεξεργασία στην Ένωση στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων εγκατάστασης του εκτελούντος την επεξεργασία, στον βαθμό που ο εκτελών την επεξεργασία υπόκειται σε ειδικές υποχρεώσεις δυνάμει του παρόντος κανονισμού.
2. Βήματα για τον προσδιορισμό της επικεφαλής εποπτικής αρχής
2.1 Προσδιορισμός της «κύριας εγκατάστασης» των υπευθύνων επεξεργασίας
Ο προσδιορισμός της κύριας εγκατάστασης προϋποθέτει καταρχάς τον προσδιορισμό της κεντρικής διοίκησης του υπευθύνου επεξεργασίας των δεδομένων στην ΕΕ, εφόσον συντρέχει περίπτωση1. Η προσέγγιση που προτείνεται στον γενικό κανονισμό για την προστασία δεδομένων είναι ότι η κεντρική διοίκηση στην ΕΕ είναι ο τόπος στον οποίο λαμβάνονται οι αποφάσεις που αφορούν τους σκοπούς και τα μέσα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και ο οποίος έχει την εξουσία εφαρμογής των αποφάσεων αυτών.
Η ουσία της θέσπισης της επικεφαλής αρχής στον γενικό κανονισμό για την προστασία δεδομένων έγκειται στο γεγονός ότι υπεύθυνη για την εποπτεία των δραστηριοτήτων διασυνοριακής επεξεργασίας θα πρέπει να είναι μόνο μία εποπτική αρχή στην ΕΕ. Στις περιπτώσεις στις οποίες οι αποφάσεις που αφορούν διαφορετικές δραστηριότητες διασυνοριακής επεξεργασίας λαμβάνονται εντός της κεντρικής διοίκησης της ΕΕ, θα υπάρχει μία ενιαία επικεφαλής εποπτική αρχή για τις διάφορες δραστηριότητες επεξεργασίας δεδομένων που πραγματοποιούνται από την πολυεθνική εταιρεία. Εντούτοις, ενδέχεται να υπάρχουν περιπτώσεις στις οποίες μια εγκατάσταση άλλη από εκείνη του τόπου κεντρικής διοίκησης λαμβάνει αυτόνομες αποφάσεις όσον αφορά τους σκοπούς και τα μέσα μιας συγκεκριμένης δραστηριότητας επεξεργασίας. Αυτό συνεπάγεται ότι ενδέχεται να υπάρχουν περιπτώσεις στις οποίες μπορούν να προσδιοριστούν περισσότερες από μία επικεφαλής αρχές, ήτοι σε περιπτώσεις όπου μια πολυεθνική εταιρεία αποφασίζει να έχει ξεχωριστά κέντρα λήψης αποφάσεων σε διαφορετικές χώρες και για διαφορετικές δραστηριότητες επεξεργασίας.
Αξίζει να επισημανθεί ότι όταν μια πολυεθνική εταιρεία διαθέτει κεντρικοποιημένο σύστημα λήψης αποφάσεων όσον αφορά τους σκοπούς και τα μέσα των δραστηριοτήτων επεξεργασίας σε μία από τις εγκαταστάσεις της στην ΕΕ (και η εν λόγω εγκατάσταση έχει την εξουσία εφαρμογής των εν λόγω αποφάσεων), θα προσδιορίζεται μόνο μία επικεφαλής εποπτική αρχή για την πολυεθνική εταιρεία.
Στις εν λόγω περιπτώσεις είναι ουσιώδους σημασίας για τις εταιρείες να προσδιορίζουν επακριβώς τον τόπο λήψης αποφάσεων που αφορούν τους σκοπούς και τα μέσα της επεξεργασίας. Ο ορθός προσδιορισμός της κύριας εγκατάστασης είναι προς όφελος των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, καθώς εξασφαλίζει σαφήνεια ως προς την εποπτική αρχή στην οποία υπάγονται αναφορικά με τα διάφορα καθήκοντα συμμόρφωσης που απορρέουν από τον γενικό κανονισμό για την προστασία δεδομένων. Τα εν λόγω καθήκοντα μπορεί να περιλαμβάνουν, κατά περίπτωση, τον ορισμό υπευθύνου προστασίας δεδομένων ή τη διαβούλευση σχετικά με δραστηριότητες επεξεργασίας υψηλού κινδύνου που δεν μπορεί να μετριάσει ο υπεύθυνος επεξεργασίας με εύλογα μέτρα. Οι σχετικές διατάξεις του γενικού κανονισμού για την προστασία δεδομένων αποσκοπούν να καταστήσουν διαχειρίσιμα τα εν λόγω καθήκοντα συμμόρφωσης.
Τα κατωτέρω παραδείγματα είναι αρκετά διαφωτιστικά:
Παράδειγμα 1: Ένας έμπορος λιανικής πώλησης τροφίμων έχει την έδρα του (ήτοι τον «τόπο της κεντρικής διοίκησής» του) στο Ρότερνταμ στις Κάτω Χώρες. Διαθέτει εγκαταστάσεις σε διάφορες άλλες χώρες της ΕΕ, οι οποίες έρχονται σε επαφή με φυσικά πρόσωπα σ’ αυτές τις χώρες. Το σύνολο των εγκαταστάσεων χρησιμοποιούν το ίδιο λογισμικό για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των καταναλωτών για σκοπούς μάρκετινγκ. Όλες οι αποφάσεις που αφορούν τους σκοπούς και τα μέσα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των καταναλωτών λαμβάνονται στα κεντρικά γραφεία του Ρότερνταμ. Αυτό συνεπάγεται ότι η επικεφαλής εποπτική αρχή της εταιρείας για τη δραστηριότητα διασυνοριακής επεξεργασίας είναι η εποπτική αρχή των Κάτω Χωρών.
Παράδειγμα 2: Μια τράπεζα έχει την εταιρική έδρα της στη Φρανκφούρτη και όλες2 οι δραστηριότητες επεξεργασίας τραπεζικών στοιχείων οργανώνονται από εκεί, ενώ το τμήμα ασφαλίσεων βρίσκεται στη Βιέννη. Αν η εγκατάσταση στη Βιέννη έχει την εξουσία λήψης αποφάσεων σχετικά με όλες τις δραστηριότητες επεξεργασίας ασφαλιστικών δεδομένων και εφαρμογής των εν λόγω αποφάσεων για το σύνολο της ΕΕ, τότε, όπως προβλέπεται στο άρθρο 4 σημείο 16) του γενικού κανονισμού για την προστασία δεδομένων, η αυστριακή εποπτική αρχή θα είναι η επικεφαλής αρχή για τις διασυνοριακές πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα για ασφαλιστικούς σκοπούς, ενώ οι γερμανικές αρχές (εποπτική αρχή του Hessen) θα έχει την εποπτεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τραπεζικούς σκοπούς, οπουδήποτε και αν βρίσκονται οι πελάτες3.
2.1.1 Κριτήρια για τον προσδιορισμό της κύριας εγκατάστασης του υπευθύνου επεξεργασίας στις περιπτώσεις στις οποίες δεν είναι ο τόπος της κεντρικής του διοίκησης στην ΕΕ.
Η αιτιολογική σκέψη 36 του γενικού κανονισμού για την προστασία δεδομένων αποσαφηνίζει κατά τρόπο χρήσιμο τον κύριο παράγοντα που χρησιμοποιείται για τον προσδιορισμό της κύριας εγκατάστασης του υπευθύνου επεξεργασίας σε περίπτωση που δεν ισχύει το κριτήριο της κεντρικής διοίκησης. Αυτό συνεπάγεται τον προσδιορισμό του τόπου ουσιαστικής και πραγματικής άσκησης δραστηριοτήτων διαχείρισης οι οποίες καθορίζουν τις κύριες αποφάσεις ως προς τους σκοπούς και τα μέσα της επεξεργασίας μέσω σταθερών ρυθμίσεων. Η αιτιολογική σκέψη 36 διευκρινίζει επίσης ότι «[η] ύπαρξη και η χρήση τεχνικών μέσων και τεχνολογιών για την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή δραστηριοτήτων επεξεργασίας δεν αποτελούν αφ’ εαυτών κύρια εγκατάσταση και, επομένως, δεν συνιστούν καθοριστικά κριτήρια της κύριας εγκατάστασης».
O ίδιος ο υπεύθυνος επεξεργασίας προσδιορίζει πού βρίσκεται η κύρια εγκατάστασή του και, συνεπώς, ποια εποπτική αρχή είναι η επικεφαλής αρχή. Εντούτοις, η διαπίστωση αυτή μπορεί να προσβληθεί μεταγενέστερα από την αντίστοιχη ενδιαφερόμενη εποπτική αρχή.
Οι κατωτέρω παράγοντες είναι χρήσιμοι για τον προσδιορισμό του τόπου της κύριας εγκατάστασης του υπευθύνου επεξεργασίας, σύμφωνα με τους όρους του γενικού κανονισμού για την προστασία δεδομένων, στις περιπτώσεις που δεν ταυτίζεται με τον τόπο της κεντρικής του διοίκησης στην ΕΕ.
- Πού λαμβάνεται η τελική «έγκριση» των αποφάσεων όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας;
- Πού λαμβάνονται οι αποφάσεις σχετικά με επιχειρηματικές δραστηριότητες που περιλαμβάνουν επεξεργασία δεδομένων;
- Πού βρίσκεται στην πραγματικότητα η εξουσία εφαρμογής των αποφάσεων;
- Πού είναι εγκατεστημένος ο διευθυντής (ή οι διευθυντές) που έχει τη γενική ευθύνη διαχείρισης για τις δραστηριότητες διασυνοριακής επεξεργασίας;
- Πού είναι καταχωρισμένοι ως εταιρεία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, εάν πρόκειται για μία επικράτεια;
Σημειώνεται ότι η παράθεση αυτή είναι απλώς ενδεικτική. Ανάλογα με τον εκάστοτε υπεύθυνο επεξεργασίας ή τη δραστηριότητα επεξεργασίας, ενδέχεται να έχουν σημασία και άλλοι παράγοντες. Εάν η εποπτική αρχή έχει λόγους να αμφιβάλει ότι η εγκατάσταση που έχει προσδιοριστεί από τον υπεύθυνο επεξεργασίας είναι στην πραγματικότητα η κύρια εγκατάσταση για τους σκοπούς του γενικού κανονισμού για την προστασία δεδομένων, μπορεί, φυσικά, να απαιτήσει από τον υπεύθυνο επεξεργασίας να παράσχει τυχόν απαιτούμενες πρόσθετες πληροφορίες προκειμένου να αποδειχθεί πού βρίσκεται η κύρια εγκατάστασή του.
2.1.2 Όμιλοι επιχειρήσεων
Όταν η επεξεργασία διενεργείται από όμιλο επιχειρήσεων που έχει την έδρα του στην ΕΕ, η εγκατάσταση της επιχείρησης που ασκεί τον πλήρη έλεγχο τεκμαίρεται ότι είναι το κέντρο λήψης αποφάσεων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και, συνεπώς, θα πρέπει να θεωρείται η κύρια εγκατάσταση του ομίλου επιχειρήσεων, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας λαμβάνονται από άλλη εγκατάσταση. Η έδρα της μητρικής επιχείρησης ή το κέντρο διοίκησης του ομίλου επιχειρήσεων στην ΕΕ ενδέχεται να είναι η κύρια εγκατάσταση, διότι συνιστά τον τόπο της κεντρικής του διοίκησης.
Η αναφορά στον ορισμό του τόπου της κεντρικής διοίκησης του υπευθύνου επεξεργασίας καλύπτει επίσης οργανισμούς που διαθέτουν κεντρικό σύστημα λήψης αποφάσεων και διάρθρωση υπό μορφή υποκαταστημάτων. Στις περιπτώσεις αυτές είναι σαφές ότι η εξουσία λήψης και εφαρμογής αποφάσεων σχετικά με τη διασυνοριακή επεξεργασία δεδομένων ανήκει στα κεντρικά γραφεία της εταιρείας. Στις περιπτώσεις αυτές, ο προσδιορισμός του τόπου της κύριας εγκατάστασης και, συνεπώς, της εποπτικής αρχής που είναι η επικεφαλής εποπτική αρχή αποτελεί απλό ζήτημα. Εντούτοις, το σύστημα λήψης αποφάσεων του ομίλου εταιρειών ενδέχεται να είναι πιο περίπλοκο και να παρέχει σε διάφορες εγκαταστάσεις ανεξαρτησία ως προς τη λήψη αποφάσεων σχετικά με τη διασυνοριακή επεξεργασία. Τα κριτήρια που ορίζονται ανωτέρω θα βοηθήσουν τους ομίλους επιχειρήσεων στον προσδιορισμό της κύριας εγκατάστασής τους.
2.1.3 Από κοινού υπεύθυνοι επεξεργασίας των δεδομένων
Ο γενικός κανονισμός για την προστασία δεδομένων δεν περιέχει ειδική αναφορά στο ζήτημα του προσδιορισμού της επικεφαλής αρχής σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας που είναι εγκατεστημένοι στην ΕΕ καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, ήτοι στην περίπτωση από κοινού υπευθύνων επεξεργασίας. Το άρθρο 26 παράγραφος 1 και η αιτιολογική σκέψη 79 καθιστούν σαφές ότι, στις περιπτώσεις των από κοινού υπευθύνων επεξεργασίας, οι υπεύθυνοι επεξεργασίας καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις τους που απορρέουν από τον κανονισμό. Ως εκ τούτου, προκειμένου να επωφεληθούν από την αρχή του μηχανισμού «μίας στάσης», οι από κοινού υπεύθυνοι επεξεργασίας θα πρέπει να προσδιορίζουν (μεταξύ των εγκαταστάσεων στις οποίες λαμβάνονται οι αποφάσεις) ποια εγκατάσταση των από κοινού υπευθύνων επεξεργασίας θα έχει την εξουσία εφαρμογής των αποφάσεων σχετικά με την επεξεργασία ως προς το σύνολο των από κοινού υπευθύνων επεξεργασίας. Η εγκατάσταση αυτή θα θεωρείται τότε η κύρια εγκατάσταση για τις πράξεις επεξεργασίας που πραγματοποιούνται στις περιπτώσεις των από κοινού υπευθύνων. Οι συμφωνίες των από κοινού υπευθύνων επεξεργασίας δεν θίγουν τους κανόνες ευθύνης που προβλέπονται στον γενικό κανονισμό για την προστασία δεδομένων, ιδίως στο άρθρο 82 παράγραφος 4.
2.2 Οριακές περιπτώσεις
Υπάρχουν οριακές και σύνθετες περιπτώσεις στις οποίες αποδεικνύεται δυσχερής ο προσδιορισμός της κύριας εγκατάστασης ή ο προσδιορισμός του τόπου στον οποίο λαμβάνονται οι αποφάσεις σχετικά με την επεξεργασία δεδομένων. Αυτό μπορεί να ισχύει στην περίπτωση που πραγματοποιούνται δραστηριότητες διασυνοριακής επεξεργασίας και ο υπεύθυνος επεξεργασίας είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη, αλλά δεν υπάρχει κεντρική διοίκηση στην ΕΕ και καμία από τις εγκαταστάσεις στην ΕΕ δεν λαμβάνει αποφάσεις σχετικά με την επεξεργασία (δηλαδή οι αποφάσεις λαμβάνονται αποκλειστικά εκτός της ΕΕ).
Στην ως άνω περίπτωση, η εταιρεία που πραγματοποιεί δραστηριότητες διασυνοριακής επεξεργασίας ενδέχεται να προτιμά να υπόκειται στην εποπτεία μιας επικεφαλής αρχής προκειμένου να επωφελείται από την αρχή του «μηχανισμού μίας στάσης». Εντούτοις, ο γενικός κανονισμός για την προστασία δεδομένων δεν προσφέρει λύση σε περιπτώσεις όπως η αναφερόμενη. Στις εν λόγω περιστάσεις, η εταιρεία θα πρέπει να προσδιορίζει ως κύρια εγκατάστασή της την εγκατάσταση που έχει την εξουσία εφαρμογής των αποφάσεων σχετικά με τη δραστηριότητα επεξεργασίας και ανάληψης ευθύνης για την επεξεργασία, συμπεριλαμβανόμενης της διάθεσης επαρκών περιουσιακών στοιχείων. Εάν η εταιρεία δεν προσδιορίσει την κύρια εγκατάστασή της κατά τον τρόπο αυτό, δεν θα είναι δυνατός ο προσδιορισμός της επικεφαλής αρχής. Οι εποπτικές αρχές θα είναι πάντα σε θέση να προβαίνουν σε περαιτέρω έρευνα στις περιπτώσεις που κρίνεται αναγκαίο.
Ο γενικός κανονισμός για την προστασία δεδομένων δεν επιτρέπει την άγρα αρμόδιου δικαστηρίου (forum shopping). Εάν η εταιρεία διατείνεται ότι έχει την κύρια εγκατάστασή της σε ένα κράτος μέλος, αλλά στην εν λόγω εγκατάσταση δεν πραγματοποιείται ουσιαστική και πραγματική άσκηση δραστηριοτήτων διαχείρισης ή λήψη αποφάσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, οι αρμόδιες εποπτικές αρχές (ή, σε τελική ανάλυση, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων) θα αποφασίζουν ποια εποπτική αρχή είναι η «επικεφαλής», χρησιμοποιώντας αντικειμενικά κριτήρια και συνεκτιμώντας τα σχετικά αποδεικτικά στοιχεία. Η διαδικασία προσδιορισμού του τόπου της κύριας εγκατάστασης ενδέχεται να απαιτεί ενεργό έρευνα και συνεργασία μεταξύ των εποπτικών αρχών. Δεν μπορούν να εξαχθούν συμπεράσματα αποκλειστικά με βάση δηλώσεις που προέρχονται από τον υπό εξέταση οργανισμό. Το βάρος της απόδειξης του τόπου λήψης των σχετικών αποφάσεων επεξεργασίας και του τόπου που έχει την εξουσία εφαρμογής των αποφάσεων αυτών, έναντι των αρμόδιων εποπτικών αρχών, φέρουν εν τέλει οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία. Η τήρηση πραγματικών αρχείων σχετικά με τις δραστηριότητες επεξεργασίας δεδομένων θα βοηθούσε τόσο τους οργανισμούς όσο και τις εποπτικές αρχές στον προσδιορισμό της επικεφαλής αρχής. Η επικεφαλής εποπτική αρχή ή οι ενδιαφερόμενες αρχές μπορούν να αντικρούσουν την ανάλυση του υπευθύνου επεξεργασίας βάσει αντικειμενικής εξέτασης των σχετικών πραγματικών περιστατικών, ζητώντας παράλληλα περαιτέρω πληροφορίες όπου απαιτείται.
Σε ορισμένες περιπτώσεις, οι σχετικές εποπτικές αρχές ζητούν από τον υπεύθυνο επεξεργασίας να παράσχει σαφή αποδεικτικά στοιχεία, σύμφωνα με τυχόν κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, σχετικά με τον τόπο της κύριας εγκατάστασής του ή τον τόπο λήψης αποφάσεων όσον αφορά συγκεκριμένη δραστηριότητα επεξεργασίας δεδομένων. Στα εν λόγω αποδεικτικά στοιχεία θα αποδίδεται η δέουσα βαρύτητα και οι σχετικές εποπτικές αρχές θα συνεργάζονται για να αποφασίζουν ποια εξ αυτών θα τεθεί επικεφαλής στις έρευνες. Τέτοιες περιπτώσεις θα παραπέμπονται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων για να αποφανθεί δυνάμει του άρθρου 65 παράγραφος 1 στοιχείο β) μόνο όταν υπάρχουν αντικρουόμενες απόψεις μεταξύ των εποπτικών αρχών σχετικά με τον προσδιορισμό της επικεφαλής εποπτικής αρχής. Εντούτοις, στις περισσότερες περιπτώσεις, αναμένεται ότι οι σχετικές εποπτικές αρχές θα είναι σε θέση να συμφωνούν επί μιας αμοιβαία ικανοποιητικής πορείας δράσης.
2.3 Εκτελών την επεξεργασία
Ο γενικός κανονισμός για την προστασία δεδομένων προβλέπει επίσης το σύστημα μίας στάσης για τους εκτελούντες την επεξεργασία που υπόκεινται στον εν λόγω κανονισμό και διαθέτουν εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη.
Το άρθρο 4 σημείο 16) στοιχείο β) του γενικού κανονισμού για την προστασία δεδομένων ορίζει ότι η κύρια εγκατάσταση του εκτελούντος την επεξεργασία είναι ο τόπος της κεντρικής διοίκησης του εκτελούντος την επεξεργασία στην ΕΕ ή, εάν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην ΕΕ, η εγκατάσταση του εκτελούντος την επεξεργασία στην ΕΕ στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας (του εκτελούντος την επεξεργασία).
Εντούτοις, σύμφωνα με την αιτιολογική σκέψη 36, σε περιπτώσεις που αφορούν τόσο τον υπεύθυνο επεξεργασίας όσο και τον εκτελούντα την επεξεργασία, αρμόδια επικεφαλής εποπτική αρχή θα πρέπει να είναι η εποπτική αρχή του υπευθύνου επεξεργασίας. Στην περίπτωση αυτή, η εποπτική αρχή του εκτελούντος την επεξεργασία θα είναι «ενδιαφερόμενη εποπτική αρχή» και θα πρέπει να μετέχει στη διαδικασία συνεργασίας. Ο ως άνω κανόνας εφαρμόζεται αποκλειστικά στην περίπτωση που ο υπεύθυνος επεξεργασίας είναι εγκατεστημένος στην ΕΕ. Στις περιπτώσεις στις οποίες οι υπεύθυνοι επεξεργασίας υπόκεινται στον γενικό κανονισμό για την προστασία δεδομένων βάσει του άρθρου 3 παράγραφος 2, δεν θα υπόκεινται στον μηχανισμό μίας στάσης. Ο εκτελών την επεξεργασία μπορεί να παρέχει υπηρεσίες σε πολλαπλούς υπευθύνους επεξεργασίας που βρίσκονται σε διαφορετικά κράτη μέλη, για παράδειγμα, έναν μεγάλο πάροχο υπηρεσιών υπολογιστικού νέφους. Στις εν λόγω περιπτώσεις, η επικεφαλής εποπτική αρχή θα είναι η εποπτική αρχή που είναι αρμόδια να ενεργεί ως επικεφαλής για τον υπεύθυνο επεξεργασίας. Στην πραγματικότητα, αυτό σημαίνει ότι ο εκτελών την επεξεργασία ενδεχομένως να υπόκειται στην εποπτεία πολλαπλών εποπτικών αρχών.
3. Άλλα συναφή ζητήματα
3.1 Ο ρόλος της «ενδιαφερόμενης εποπτικής αρχής»
Το άρθρο 4 σημείο 22) του γενικού κανονισμού για την προστασία δεδομένων ορίζει τα εξής:
«ενδιαφερόμενη εποπτική αρχή»: εποπτική αρχή την οποία αφορά η επεξεργασία δεδομένων προσωπικού χαρακτήρα, διότι: α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στο έδαφος του κράτους μέλους της εν λόγω εποπτικής αρχής, β) τα υποκείμενα των δεδομένων που διαμένουν στο κράτος μέλος της εν λόγω εποπτικής αρχής επηρεάζονται ή ενδέχεται να επηρεαστούν ουσιωδώς από την επεξεργασία ή γ) έχει υποβληθεί καταγγελία στην εν λόγω εποπτική αρχή.
Η έννοια της ενδιαφερόμενης εποπτικής αρχής αποσκοπεί να διασφαλίσει ότι το σύστημα της «επικεφαλής αρχής» δεν εμποδίζει το δικαίωμα λόγου άλλων εποπτικών αρχών ως προς τον τρόπο χειρισμού υποθέσεων, για παράδειγμα, σε περιπτώσεις όπου φυσικά πρόσωπα που διαμένουν εκτός της δικαιοδοσίας της επικεφαλής αρχής επηρεάζονται ουσιωδώς από δραστηριότητες επεξεργασίας δεδομένων. Όσον αφορά το ως άνω στοιχείο α), ισχύουν οι ίδιες προϋποθέσεις που εφαρμόζονται στον προσδιορισμό της επικεφαλής αρχής. Ως προς το στοιχείο β), επισημαίνεται ότι το υποκείμενο των δεδομένων πρέπει απλώς να διαμένει στο εν λόγω κράτος μέλος· δεν χρειάζεται να είναι πολίτης του εν λόγω κράτους. Στην περίπτωση του στοιχείου γ) ανωτέρω, είναι γενικά εύκολο να προσδιοριστεί αν μια συγκεκριμένη εποπτική αρχή έλαβε —πράγματι— σχετική καταγγελία.
Το άρθρο 56 παράγραφοι 2 και 5 του γενικού κανονισμού για την προστασία δεδομένων προβλέπει τη δυνατότητα της ενδιαφερόμενης εποπτικής αρχής να επιλαμβάνεται υποθέσεων χωρίς να είναι η επικεφαλής εποπτική αρχή. Αν η επικεφαλής εποπτική αρχή αποφασίσει να μην επιληφθεί της υπόθεσης, η ενδιαφερόμενη εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή επιλαμβάνεται της υπόθεσης. Τα ως άνω συνάδουν με τις διαδικασίες του άρθρου 61 (αμοιβαία συνδρομή) και του άρθρου 62 (κοινές επιχειρήσεις αρχών ελέγχου) του γενικού κανονισμού για την προστασία δεδομένων. Αυτό μπορεί να ισχύει στην περίπτωση κατά την οποία μια εταιρεία μάρκετινγκ με κύρια εγκατάσταση στο Παρίσι προωθεί ένα προϊόν που επηρεάζει μόνο υποκείμενα των δεδομένων που διαμένουν στην Πορτογαλία. Στην περίπτωση αυτή, η γαλλική και η πορτογαλική εποπτική αρχή ενδέχεται να συμφωνήσουν ότι πρέπει να τεθεί επικεφαλής και να επιληφθεί της υπόθεσης η πορτογαλική εποπτική αρχή. Οι εποπτικές αρχές ενδέχεται να ζητήσουν από τους υπευθύνους επεξεργασίας να παράσχουν στοιχεία για την αποσαφήνιση των εταιρικών συμφωνιών τους. Δεδομένου ότι η δραστηριότητα επεξεργασίας έχει αμιγώς τοπικό αντίκτυπο, ήτοι σε φυσικά πρόσωπα στην Πορτογαλία, η γαλλική και η πορτογαλική εποπτική αρχή έχουν τη διακριτική ευχέρεια να αποφασίσουν ποια εποπτική αρχή θα πρέπει να επιληφθεί της υπόθεσης σύμφωνα με την αιτιολογική σκέψη 127.
Ο γενικός κανονισμός για την προστασία δεδομένων απαιτεί τη συνεργασία μεταξύ των επικεφαλής και ενδιαφερόμενων εποπτικών αρχών, με αμοιβαίο σεβασμό για τις απόψεις εκάστης, με σκοπό να διασφαλίζεται ότι η διερεύνηση και η επίλυση των υποθέσεων γίνεται κατά τρόπο ικανοποιητικό για κάθε αρχή και παρέχει το δικαίωμα πραγματικής προσφυγής στα υποκείμενα των δεδομένων. Οι εποπτικές αρχές θα πρέπει να αποσκοπούν να επιτύχουν αμοιβαίως αποδεκτή πορεία δράσης. Ο επίσημος μηχανισμός συνεκτικότητας θα πρέπει να χρησιμοποιείται μόνο όταν δεν επιτυγχάνεται αμοιβαίως αποδεκτό αποτέλεσμα μέσω της συνεργασίας.
Η αμοιβαία αποδοχή των αποφάσεων μπορεί να εφαρμόζεται σε συμπεράσματα επί της ουσίας, αλλά και στην πορεία δράσης που αποφασίζεται, συμπεριλαμβανομένων των μέτρων επιβολής (π.χ. πλήρης έρευνα ή έρευνα με περιορισμένο πεδίο). Μπορεί να εφαρμόζεται ομοίως σε αποφάσεις περί μη ανάληψης υποθέσεων σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων, για παράδειγμα, λόγω επίσημης πολιτικής περί ιεράρχησης προτεραιοτήτων ή επειδή υπάρχουν άλλες ενδιαφερόμενες αρχές όπως περιγράφεται ανωτέρω.
Η επίτευξη συναίνεσης και η επίδειξη καλής θέλησης μεταξύ των εποπτικών αρχών είναι αποφασιστικής σημασίας για την επιτυχία της διαδικασίας συνεργασίας και συνεκτικότητας του γενικού κανονισμού για την προστασία δεδομένων.
3.2 Επεξεργασία σε τοπικό επίπεδο.
Οι δραστηριότητες επεξεργασίας δεδομένων σε τοπικό επίπεδο δεν εμπίπτουν στο πεδίο εφαρμογής των διατάξεων περί συνεργασίας και συνεκτικότητας του γενικού κανονισμού για την προστασία δεδομένων. Οι εποπτικές αρχές οφείλουν να σέβονται αμοιβαίως την αρμοδιότητα της καθεμίας να επιλαμβάνεται σε τοπικό επίπεδο των δραστηριοτήτων επεξεργασίας τοπικών δεδομένων. Η επεξεργασία που διενεργείται από δημόσιες αρχές θα πραγματοποιείται επίσης πάντοτε σε τοπικό επίπεδο.
3.3 Εταιρείες μη εγκατεστημένες στην ΕΕ.
Ο μηχανισμός συνεργασίας και συνεκτικότητας του γενικού κανονισμού για την προστασία δεδομένων εφαρμόζεται μόνο στους υπευθύνους επεξεργασίας με εγκατάσταση (ή εγκαταστάσεις) στην Ευρωπαϊκή Ένωση. Εάν η εταιρεία δεν διαθέτει εγκατάσταση στην ΕΕ, απλώς και μόνο η παρουσία εκπροσώπου σε κράτος μέλος δεν αρκεί για την ενεργοποίηση του συστήματος μίας στάσης. Από τα ανωτέρω προκύπτει ότι οι υπεύθυνοι επεξεργασίας χωρίς εγκατάσταση στην ΕΕ οφείλουν να συνεργάζονται με τις οικείες εποπτικές αρχές σε κάθε κράτος μέλος στο οποίο δραστηριοποιούνται, μέσω του τοπικού τους εκπροσώπου.
ΠΑΡΑΡΤΗΜΑ - Ερωτήσεις για την καθοδήγηση του προσδιορισμού της επικεφαλής εποπτικής αρχής
1. O υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πραγματοποιεί δραστηριότητες διασυνοριακής επεξεργασίας δεδομένων προσωπικού χαρακτήρα;
α. Ναι, αν:
- ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη και
- η επεξεργασία δεδομένων προσωπικού χαρακτήρα γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη.
Στην περίπτωση αυτή, μεταβείτε στην ενότητα 2.
β. Ναι, αν:
- η επεξεργασία δεδομένων προσωπικού χαρακτήρα γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, αλλά:
- επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη.
Στην περίπτωση αυτή, η επικεφαλής αρχή είναι η αρχή για τη μόνη εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε ένα μόνο κράτος μέλος. Η εν λόγω εγκατάσταση λογικά είναι η κύρια εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία καθώς είναι η μοναδική του εγκατάσταση.
2. Τρόπος προσδιορισμού της επικεφαλής εποπτικής αρχής
α. Σε περίπτωση που αφορά μόνο τον υπεύθυνο επεξεργασίας:
i. προσδιορισμός του τόπου της κεντρικής διοίκησης του υπευθύνου επεξεργασίας στην ΕΕ·
ii. η εποπτική αρχή της χώρας στην οποία βρίσκεται ο τόπος της κεντρικής διοίκησης είναι η επικεφαλής αρχή του υπευθύνου επεξεργασίας.
Όμως:
iii. αν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας λαμβάνονται σε άλλη εγκατάσταση στην ΕΕ και η εν λόγω εγκατάσταση έχει την εξουσία εφαρμογής των εν λόγω αποφάσεων, τότε η επικεφαλής αρχή είναι εκείνη που βρίσκεται στη χώρα του τόπου της εγκατάστασης αυτής.
β. Σε περίπτωση που αφορά τόσο τον υπεύθυνο επεξεργασίας όσο και τον εκτελούντα την επεξεργασία:
i. έλεγχος του αν ο υπεύθυνος επεξεργασίας είναι εγκατεστημένος στην ΕΕ και υπόκειται στο σύστημα μίας στάσης. Εάν ναι,
ii. προσδιορισμός της επικεφαλής εποπτικής αρχής του υπευθύνου επεξεργασίας. Η εν λόγω αρχή θα είναι επίσης η επικεφαλής εποπτική αρχή του εκτελούντος την επεξεργασία·
iii. η (μη επικεφαλής) εποπτική αρχή που είναι αρμόδια για τον εκτελούντα την επεξεργασία θα είναι «ενδιαφερόμενη αρχή» - βλ. σημείο 3 κατωτέρω.
γ. Σε περίπτωση που αφορά μόνο τον εκτελούντα την επεξεργασία:
i. προσδιορισμός του τόπου της κεντρικής διοίκησης του εκτελούντος την επεξεργασία στην ΕΕ·
ii. αν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην ΕΕ, προσδιορισμός της εγκατάστασης στην ΕΕ στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας του εκτελούντος την επεξεργασία.
δ. Σε περίπτωση που αφορά από κοινού υπευθύνους επεξεργασίας:
i. έλεγχος αν οι από κοινού υπεύθυνοι επεξεργασίας είναι εγκατεστημένοι στην ΕΕ·
ii. προσδιορισμός, μεταξύ των εγκαταστάσεων στις οποίες λαμβάνονται οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας, της εγκατάστασης που έχει την εξουσία εφαρμογής των εν λόγω αποφάσεων ως προς το σύνολο των από κοινού υπευθύνων επεξεργασίας. Η εγκατάσταση αυτή θα θεωρείται τότε η κύρια εγκατάσταση για τις πράξεις επεξεργασίας που εκτελούν οι από κοινού υπεύθυνοι επεξεργασίας. Η επικεφαλής αρχή είναι εκείνη που βρίσκεται στη χώρα του τόπου της εγκατάστασης αυτής.
3. Υπάρχουν «ενδιαφερόμενες εποπτικές αρχές»;
Μια αρχή είναι «ενδιαφερόμενη εποπτική αρχή»:
- όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στο έδαφός της ή
- όταν τα υποκείμενα των δεδομένων στο έδαφός της επηρεάζονται ή ενδέχεται να επηρεαστούν ουσιωδώς από την επεξεργασία ή
- όταν έχει υποβληθεί καταγγελία σε συγκεκριμένη αρχή.
- 1. Ο γενικός κανονισμός για την προστασία δεδομένων παρουσιάζει ενδιαφέρον για τον ΕΟΧ και θα τεθεί σε εφαρμογή μετά την ενσωμάτωσή του στη συμφωνία για τον ΕΟΧ. Η ενσωμάτωση του γενικού κανονισμού για την προστασία δεδομένων τελεί επί του παρόντος υπό εξέταση, βλ. http://www.efta.int/eea-lex/32016R0679.
- 2. Πρέπει να αναγνωριστεί ότι υπάρχουν πολλές διαφορετικές δραστηριότητες επεξεργασίας που πραγματοποιούνται στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τραπεζικούς σκοπούς. Εντούτοις, για λόγους απλούστευσης, λογίζονται ότι όλες υπηρετούν έναν ενιαίο σκοπό. Το ίδιο ισχύει και για την επεξεργασία που εκτελείται για ασφαλιστικούς σκοπούς.
- 3. Πρέπει επίσης να επισημανθεί ότι ο γενικός κανονισμός για την προστασία δεδομένων παρέχει τη δυνατότητα εποπτείας σε τοπικό επίπεδο σε συγκεκριμένες περιπτώσεις. Βλ. αιτιολογική σκέψη 127: «Κάθε εποπτική αρχή που δεν ενεργεί ως η επικεφαλής εποπτική αρχή θα πρέπει να είναι αρμόδια να επιλαμβάνεται τοπικών υποθέσεων όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη, αλλά το αντικείμενο της συγκεκριμένης επεξεργασίας αφορά μόνο επεξεργασία που πραγματοποιείται σε ένα μόνο κράτος μέλος και αφορά υποκείμενα των δεδομένων σε αυτό το κράτος μέλος μόνο, παραδείγματος χάριν, όταν το αντικείμενο αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων στο συγκεκριμένο πλαίσιο απασχόλησης ενός κράτους μέλους.» Η ως άνω αρχή συνεπάγεται ότι η εποπτεία των δεδομένων ανθρωπίνων πόρων που σχετίζονται με το τοπικό πλαίσιο απασχόλησης μπορεί να εμπίπτει στην αρμοδιότητα διαφόρων εποπτικών αρχών.