AVIZUL 4/2024 – CEPD PRIVIND NOȚIUNEA DE SEDIU PRINCIPAL AL UNUI OPERATOR ÎN UE
De Mugurel Olariu, RPD protectie date
Autoritatea franceză de supraveghere a solicitat Comitetului European pentru Protecția Datelor să emită un aviz cu privire la noțiunea de sediu principal al unui operator în temeiul articolului 4 alineatul (16) litera (a) din GDPR și asupra criteriilor de aplicare a mecanismului ghișeului unic, în special în ceea ce privește noțiunea de „locul administrației centrale” al operatorului în Uniune.
Astfel, Comitetul clarifică modul în care autoritățile de supraveghere ar trebui să aplice în practică articolul 4 alineatul (16) litera (a) din GDPR pentru a asigura aplicarea sa consecventă. În special, consiliul de administrație reiterează că sarcina probei în legătură cu locul în care sunt luate deciziile relevante de prelucrare și unde există puterea de a pune în aplicare astfel de decizii în Uniune revine în cele din urmă operatorilor și că aceștia au obligația de a coopera cu autoritățile de supraveghere.
Având în vedere interpretarea literală a dispoziției legale, Comitetul observă că articolul 4 alineatul (16) litera (a) GDPR se împarte în trei părți. Există mai întâi condiția ca un operator să aibă unități în mai mult de un stat membru din Uniune (prima parte). În plus, dacă această condiție este îndeplinită, partea a doua și a treia prevăd două posibilități în care una dintre aceste unități se poate califica ca sediul principal al controlorului. Acesta este cazul când sediul corespunde „locul administrației centrale în Uniune” al operatorului (partea a doua), cu excepția cazului în care „o altă unitate a operatorului din Uniune” ia „deciziile privind scopurile și mijloacele a prelucrării datelor cu caracter personal” și „are puterea de a pune în aplicare astfel de decizii” (partea a treia).
Comitetul consideră că, pentru a da un răspuns la cererea FR SA, trebuie răspuns la 2 întrebări:
– Întrebarea 1: Pentru ca „locul administrației centrale în Uniune” al unui operator să fie calificat ca unitate principală în temeiul articolului 4 alineatul (16) litera (a) din GDPR, în cazul în care această unitate ia decizii cu privire la scopurile și mijloacele prelucrării și are puterea de a le pune în aplicare?
– Întrebarea 2: Se aplică mecanismul ghișeului unic numai dacă există dovezi că una dintre unități din Uniunea controlorului (sediul controlorului „locul central administrație” sau nu) ia decizii cu privire la scopurile și mijloacele privind operațiunile de prelucrare în cauză și are puterea de a pune în aplicare astfel de decizii?
Comitetul concluzionează în acest aviz că „locul administrației centrale” al unui operator în Uniune poate fi considerat ca o unitate principală în temeiul articolului 4 alineatul (16) litera (a) din GDPR numai dacă ia decizii cu privire la scopurile și mijloacele de prelucrare a datelor personale și are puterea de a pune în aplicare aceste decizii.
În plus, Comitetul consideră că mecanismul ghișeului unic se poate aplica numai dacă există dovezi că una dintre unitățile din Uniune ale operatorului ia deciziile privind scopurile și mijloacele pentru operațiunile de prelucrare relevante și are puterea de a pune în aplicare aceste decizii. Prin urmare, atunci când deciziile privind scopurile și mijloacele și puterea de a pune astfel de decizii în aplicare sunt exercitate în afara Uniunii, nu ar trebui să existe nicio unitate principală în temeiul articolului 4 alineatul (16) litera (a) din GDPR și mecanismul ghișeului unic nu ar trebui să se aplice.
În sfârșit, Comitetul clarifică faptul că autoritățile de supraveghere își păstrează capacitatea de a contesta afirmația operatorului pe baza unei examinări obiective a faptelor relevante, solicitând informații suplimentare acolo unde este necesar. Pentru această examinare, Comitetul reamintește datoria autorităților de supraveghere de a coopera și că, prin urmare, acestea ar trebui să cadă de comun acord asupra nivelului de detaliere adecvat, în funcție de cazul concret. În special, determinarea unui loc de conducere centrală în Uniune (de exemplu, sediul regional) constituie un punct de plecare care ajută autoritățile de supraveghere să identifice unde sunt eventual luate deciziile privind scopurile și mijloacele de prelucrare și puterea de a pune aceste decizii în aplicare. Cu toate acestea, va exista în continuare necesitatea ca autoritățile de supraveghere să evalueze locul în care sunt luate deciziile privind scopurile și mijloacele și unde există puterea de a pune în aplicare astfel de decizii în Uniune înainte de a califica respectiva unitate (sau orice altă unitate din uniune) ca stabiliment principal.
- „locul administrației centrale” al unui operator în Uniune poate fi considerat ca o unitate principală în temeiul articolului 4 alineatul (16) litera (a) din GDPR numai dacă ia decizii cu privire la scopurile și mijloacele de prelucrare a datelor cu caracter personal și are puterea de a pune în aplicare aceste decizii.
- mecanismul ghișeului unic se poate aplica numai în cazul în care există dovezi că una dintre unitățile din Uniunea operatorului ia decizii cu privire la scopurile și mijloacele pentru operațiunile de prelucrare relevante și are puterea de a pune în aplicare aceste decizii.