GDPR и представитель в ЕС

Европейское общее положение о защите данных (GDPR) содержит требование по назначению представителя в ЕС — контактного лица для граждан ЕС и органов надзора.

test2

Два ответа "Да" — представитель в ЕС нужен.

Требования к представителю

Представителем по GDPR назначают человека или компанию, базирующуюся в ЕС. Если бизнес собирает информацию от субъектов данных, например, во Франции — представитель должен находиться во Франции. 

Однако, если личные данные собирают в нескольких странах, то представителя выбирают в одной из этих стран. Например, если обрабатываются данные парижан и жителей Стокгольма, представитель должен жить (или иметь юр. адрес) во Франции или Швеции. 

Если собирают по всей территории ЕС — представитель может быть в любой стране ЕС.
Поскольку представитель — главное контактное лицо, минимальное требование — знать язык и владеть законодательством.

Обязанности представителя ЕС

  1. взаимодействие между субъектами данных и надзорными органами;
  2. ведение записей о деятельности по обработке данных и предоставление этих записей в распоряжение надзорного органа (по требованию).

Компании, которые назначили представителя в ЕС и расположены за пределами Европейского Союза не освобождаются от обязанностей, прописанных в GDPR.

Назначение представителя

Устное назначение представителя исключается. В письменном соглашении или договоре должны быть указаны права и обязанности представителя. 

Исключения

GDPR предусмотрел исключения из обязательств по назначению представителя для контроллеров или процессоров, которые не находятся в ЕС, например, представитель не требуется, когда:

  • персональные данные обрабатываются не на постоянной основе, или
  • обработка не включает в себя крупномасштабную обработку специальных категорий персональных данных или персональных данных, касающихся уголовных приговоров и преступлений, и обработка вряд ли приведет к риску для прав и свобод субъектов данных.

Ответственность

Если статья 27 GDPR, которая регулирует деятельность представителя, применима к бизнесу, а представитель не назначен — появляется риск штрафа в 10,000,000 EUR.

Отличия между представителем и DPO

Представитель — контактное лицо, а DPO — независимый эксперт, который отвечает за соблюдение компанией Закона о защите персональных данных, проводит аудит деятельности, выявляет категории персональных данных, обрабатываемых компанией, предлагает меры безопасности и т.д.

Соблюдение GDPR — это уважение базовых европейских ценностей и прав человека, забота о репутации компании, повышение конкурентоспособности, минимизация риска быть оштрафованным.