Европейское общее положение о защите данных (GDPR) содержит требование по назначению представителя в ЕС — контактного лица для граждан ЕС и органов надзора.
Два ответа "Да" — представитель в ЕС нужен.
Требования к представителю
Представителем по GDPR назначают человека или компанию, базирующуюся в ЕС. Если бизнес собирает информацию от субъектов данных, например, во Франции — представитель должен находиться во Франции.
Однако, если личные данные собирают в нескольких странах, то представителя выбирают в одной из этих стран. Например, если обрабатываются данные парижан и жителей Стокгольма, представитель должен жить (или иметь юр. адрес) во Франции или Швеции.
Если собирают по всей территории ЕС — представитель может быть в любой стране ЕС.
Поскольку представитель — главное контактное лицо, минимальное требование — знать язык и владеть законодательством.
Обязанности представителя ЕС
- взаимодействие между субъектами данных и надзорными органами;
- ведение записей о деятельности по обработке данных и предоставление этих записей в распоряжение надзорного органа (по требованию).
Компании, которые назначили представителя в ЕС и расположены за пределами Европейского Союза не освобождаются от обязанностей, прописанных в GDPR.
Назначение представителя
Устное назначение представителя исключается. В письменном соглашении или договоре должны быть указаны права и обязанности представителя.
Исключения
GDPR предусмотрел исключения из обязательств по назначению представителя для контроллеров или процессоров, которые не находятся в ЕС, например, представитель не требуется, когда:
- персональные данные обрабатываются не на постоянной основе, или
- обработка не включает в себя крупномасштабную обработку специальных категорий персональных данных или персональных данных, касающихся уголовных приговоров и преступлений, и обработка вряд ли приведет к риску для прав и свобод субъектов данных.
Ответственность
Если статья 27 GDPR, которая регулирует деятельность представителя, применима к бизнесу, а представитель не назначен — появляется риск штрафа в 10,000,000 EUR.
Отличия между представителем и DPO
Представитель — контактное лицо, а DPO — независимый эксперт, который отвечает за соблюдение компанией Закона о защите персональных данных, проводит аудит деятельности, выявляет категории персональных данных, обрабатываемых компанией, предлагает меры безопасности и т.д.
Соблюдение GDPR — это уважение базовых европейских ценностей и прав человека, забота о репутации компании, повышение конкурентоспособности, минимизация риска быть оштрафованным.