GDPR та представник в ЄС

Європейський Загальний регламент про захист даних (GDPR) містить вимогу щодо призначення представника в ЄС — контактної особи для громадян ЄС і наглядових органів.

тест1

Дві відповіді "Так" — представник в ЄС не потрібен.

Вимоги до представника

Представником з GDPR призначають людину або компанію, що базується в ЄС. Якщо бізнес збирає інформацію від суб'єктів даних, наприклад, у Франції — представник повинен перебувати у Франції.

Однак, якщо особисті дані збирають в декількох країнах, то представника обирають в одній з цих країн. Наприклад, якщо обробляються дані парижан і жителів Стокгольма, представник повинен жити (або мати юр. адресу) у Франції або Швеції.

Якщо збирають по всій території ЄС — представник може бути в будь-якій країні ЄС.
Оскільки представник — головна контактна особа, мінімальна вимога — знати мову та володіти законодавством.

Обов’язки представника в ЄС

  1. взаємодія між суб'єктами даних і наглядовими органами;

  2. ведення записів про діяльність з обробки даних та надання цих записів наглядовому органу (на вимогу).

Компанії, які призначили представника в ЄС і розташовані за межами Європейського Союзу, не звільняються від обов'язків прописаних в GDPR.

Призначення представника

Усне призначення представника не допускається. У письмовій угоді або договорі повинні бути вказані права і обов'язки представника.

Виключення

GDPR передбачив виключення із зобов’язання призначення представника для контролерів чи процесорів, які не перебувають в ЄС. Наприклад, представник не потрібен, коли:

  • персональні дані обробляються не на постійній основі, або

  • обробка не включає в себе великомасштабну обробку спеціальних категорій персональних даних або персональних даних, що стосуються кримінальних вироків і злочинів, і обробка навряд чи становитиме ризик для прав і свобод суб'єктів даних.

Відповідальність

Якщо стаття 27 GDPR, яка регулює діяльність представника, може бути застосована до бізнесу, а представника не призначено — з'являється ризик штрафу в 10,000,000 EUR.

Відмінність між представником та DPO

Представник — контактна особа, а DPO — незалежний експерт, який відповідає за дотримання компанією Загального регламенту про захист даних, проводить аудит діяльності, виявляє категорії персональних даних, які обробляються компанією, пропонує заходи безпеки і т.д.

Дотримання GDPR — це повага базових європейських цінностей і прав людини, турбота про репутацію компанії, підвищення конкурентоспроможності, мінімізація ризику бути оштрафованим.