Bir ay önce, Avrupa Veri Koruma Kurulu’nun Ana Kuruluşun belirlenmesine ilişkin kabul ettiği son görüşlerden biri gözden kaçmıştı. Herhangi bir şirket, kişisel verileri işlerken ana kuruluşunun bulunduğu Devletin Gizlilik Garantörü ile irtibat halinde olur. Ürün ve hizmetlerinin birden fazla eyalette mevcut olması durumunda, prosedürü basitleştirmek ve uyum için maliyet ve süre artışını önlemek amacıyla yasa koyucu, “tek duraklı hizmet” mekanizmasını (tek noktadan) tercih etme olanağı sunmuştur. pencere).
Ana fabrikanın referans noktası
Şirket ancak ana fabrikasının bulunduğu ülkenin otoritesiyle ilişki kurabiliyordu. Bu noktada Fransız garantör CNIL, geçtiğimiz günlerde EDPB’den bu kuruluşun tanımlanmasına ilişkin kriterlerin açıklığa kavuşturulmasını istedi. Yönetmeliğin metni (mad. 4,16 Gdpr), “kişisel verilerin işlenme amaçları ve araçlarına ilişkin kararlar alınmadığı sürece, Birlik topraklarında merkezi idarenin faaliyet gösterdiği yerin varsayıldığını belirtmektedir. kontrolörün Birlik içindeki başka bir işyerinde bulunması ve bu kararların infazını emretme yetkisinin bu sonuncu kuruluşta bulunması halinde, bu kararları alan kuruluşun asıl kuruluş olduğu kabul edilir.’
EDPB’nin yorumlanması
Bu nedenle, fabrika Paris’teyse ancak kararlar Stockholm’de alınıyorsa, İsveç Garantörü şirketin muhatabı olacak ve her durumda, kararların fiilen fabrikanın bulunduğu yerde alındığını göstermek şirkete kalmış olacaktır. ana olarak belirtilir. Komisyon tarafından önerilen metnin ilk versiyonu, EDPB’nin, “kişisel verilerin işlenmesinin amaçları, koşulları ve araçlarına ilişkin kararlar alınsa bile” bir ana kuruluşa sahip olma olasılığını açıkça öngören yönetmeliğin bu şekilde okunmasını haklı çıkarmasına yardımcı olmaktadır. veriler Birliğe alınmaz.” Ancak bu kısım kaldırıldı ve değiştirilmedi. Dolayısıyla EDPB açısından bu, yasa koyucunun tek noktadan alışveriş mekanizmasının avantajlarının uygulanmasını Birlik içindeki işleme amaçları ve araçları hakkında karar veren ve karar verme yetkisine sahip olan şirketlerle sınırlamayı amaçladığının göstergesidir. uygularlar.
Doğrulama süreci nasıl işleyecek?
Peki bu doğrulama için izlenmesi gereken süreç nedir? Yerel yönetim, şirketlerden kararların nerede alındığına dair kanıt sağlayan bilgi talep edebilecek ve analizi tamamlandıktan sonra, bunu doğrulamak için şirketin faaliyet gösterdiği diğer eyaletlerdeki meslektaşlarıyla paylaşmak zorunda kalacak. herhangi bir itiraz yoktur ve bir anlaşmazlık durumunda EDPB’nin karar vermesi istenebilir. Bu analiz, araştırmaya konu olan spesifik tedavi için yapılmalıdır. Bununla birlikte, en ilginç ve yıkıcı sonuç burada yatmaktadır: Sunulan kanıtlardan, kararların Birlik içindeki farklı bir eyalette değil, Birlik toprakları dışında alınıp uygulandığı açıkça ortaya çıkarsa, tek durak mekanizması geçerli olmayacak ve herhangi bir ulusal makam, kendi topraklarında yürütülen işleme operasyonları için yeniden yetkili hale gelecektir.
İrlanda çokuluslu şirketler açısından rolünü kaybedebilir
Veri işlemenin amaçları ve araçlarına ilişkin seçimlerin diğer enlemlerde değil Avrupa’da yapıldığını göstermek her zaman kolay olmadığından, bu yorum Avrupa dışındaki çok uluslu şirketler için pek çok sorun yaratabilir. Yetkililerin sunulan delillerle yetinmemesi durumunda, çokuluslu şirketler kendilerini, çokuluslu şirketlerin her zaman ilk tercihi olan ve yıllar boyunca kurallara uymamakla eleştirilen İrlandalı kurum dışındaki yetkililerle karşı karşıya bulabilirler. Big Tech’in kontrolünden sorumlu garantör rolü. Bu, İtalya’daki Gizlilik Garantörü ve diğer büyük AB ülkelerinin ulusal otoriteleri için de büyük çokuluslu şirketlere yönelik ilginin yenilenmesi ve Avrupa Otoriteleri arasında daha fazla koordinasyona ihtiyaç duyulduğu anlamına gelir; bu, EDPB’nin kendisini öncelikli olarak belirlediği ve öncelikli hedef olarak belirlenmiştir. Brüksel’de tartışılmakta olan önerilen düzenlemenin konusu, tam olarak ilgili birden fazla makamı ilgilendiren prosedürlerdir.