Evropský systém ochrany osobních údajů, proslulé GDPR, prošel zásadní změnou v návaznosti na rozsudek Soudního dvora Evropské unie. Tato změna spočívá v částečném prolomení příslušnosti jediného kontrolního orgánu odvozeného od sídla kontrolované společnosti. Tento princip znamenal, že na dodržování, porušování a případné sankce dohlížel jeden konkrétní úřad v jednom jediném státě.
V teorii se tomuto systému dalo vytknout málo, v praxi však způsoboval, že společnosti, kterým se vyplatí sídlo své společnosti optimalizovat, ať už jakýmkoli způsobem, skončily nahromaděny v jednom státě - Irsku. Vzhledem k tomu že se jednalo o společnosti jako např. Meta, Google či Twitter, irský kontrolní úřad je dlouhodobě a beznadějně zavalen.
Soud proto rozhodl, že v případech obzvláště zřetele hodných a při výskytu porušení GDPR přímo v konkrétním státě, je možné tuto příslušnost prolomit a vykonávat dohled prostřednictvím lokálních úřadů i v jiných členských státech. Pozitiva tohoto rozhodnutí nepochybně jsou, že státy teď budou moci efektivněji koordinovat své dohledové povinnosti mezi orgány více států (jak samotný soud zmiňuje). Druhou stranou mince však je skutečnost, že pro subjekty povinné podle GDPR, kterými nejsou jen obří technologické společnosti, to přináší potenciál pro paralyzující množství dohledových řízení.
I český Úřad pro ochranu osobních údajů se tak může zabývat podněty o porušení ochrany osobních údajů, došlo-li k nim v České republice (nejen při každodenně využívaných službách jako Facebook nebo Google).
