GDPR представник в ЄС: чи потрібен вашій компанії?

Відповідь на це питання залежить від місця реєстрації компанії та її діяльності.

Обов’язок призначення представника з’являється, коли компанія не зареєстрована у ЄС, але на неї поширюються норми GDPR

Це випадки, коли такі компанії:

• постачають товари чи надають послуги суб’єктам даних, які перебувають в ЄС,
• або моніторять поведінку суб’єктів, яка має місце в ЄС.

Виняток, який дозволяє не призначати представника, навіть за наявності вказаних вище умов:

• опрацювання персональних даних, призначено для окремого випадку, 
• і воно не передбачає у великих обсягах опрацювання спеціальних категорій даних або даних про судимості і кримінальні злочини,
• та ймовірно не призведе до виникнення ризику для прав і свобод фізичних осіб, з огляду на специфіку, контекст, масштаб і цілі опрацювання.

Також цей обов’язок не застосовується до органів чи установ публічної влади.

Компанія НЕ зареєстрована у ЄС + на неї поширюється GDPR + відсутність винятків = потрібен представник у ЄС

Хто може бути представником, як його призначити та яка відповідальність за порушення цього обов’язку — читайте далі.

Хто такий GDPR представник?

Відповідно до Регламенту, представник (або representative) — це фізична або юридична особа, яка зареєстрована у ЄС, і призначена контролером або процесором для їх представництва у питаннях, що стосується їх обов’язків за GDPR.

Хто може бути представником?

На практиці функція представника може здійснюватись на підставі договору про надання послуг (service contract). Ця послуга може надаватись різними комерційними/некомерційними організаціями, такими як юридичні фірми, консалтингові компанії чи інші приватні компанії, зареєстровані у ЄС. Ним може бути як юридична, так і фізична особа.

При цьому, один представник може діяти від імені декількох контролерів чи процесорів.

Чи може роль представника виконувати DPO?

Європейська рада із захисту даних (EDPB) у Гайдлайні 3/2018 зазначає, що ці ролі не сумісні між собою. DPO має мати належний рівень автономії під час виконання своїх обов’язків. Така вимога не є співмірною із роллю представника, який діє від імені контролера чи процесора, та керується їхніми вказівками. 

Конфлікт інтересів може також виникнути, коли зовнішньому DPO потрібно представляти контролера чи процесора у справі щодо захисту персональних даних.

DPO ≠ представник

Чи можна призначити представника у будь-якій державі ЄС?

GDPR прямо вимагає, що представник має бути зареєстрованим в одній з держав-членів, де перебувають суб’єкти даних, чиї персональні дані опрацьовуються.

Якщо відбувається обробка персональних даних суб’єктів різних країн ЄС, то представник має бути у тій, де знаходиться значна частка суб’єктів. При цьому, потрібно забезпечити умову, що він залишається у легкому доступі для суб’єктів з інших держав-членів.

Країна реєстрації представника = локація суб’єктів, дані яких опрацьовуються

Як призначити представника?

Призначення має відбуватись у письмовій формі. Тобто це має бути письмове доручення контролера або процесора для представника діяти від його імені.

При цьому, EDPB зазначає, що призначення представника у ЄС не означає створення “осідку” контролера чи процесора у ЄС (does not constitute an “establishment”) у значенні статті 3(1) GDPR. 

Представник у ЄС ≠ реєстрація у ЄС

Що робить представник?

Представник отримує мандат від контролера або процесора, за яким до нього можуть звертатися наглядові органи і суб’єкти даних, з усіх GDPR-питань.

Представник діє лише в межах повноважень, наданих йому контролером або процесором. При цьому, призначення представника не впливає на обов’язки й відповідальність контролера або процесора за GDPR, а відповідальність самого представника обмежена тільки його прямими обов’язками.

Стаття 30 GDPR передбачає, що представник контролера та оператора повинен вести записи опрацювання даних та надавати їх на запит наглядового органу. Також представники повинні співпрацювати з наглядовим органом.

Крім того, представник має відповідати на запити суб’єктів даних особисто або забезпечувати комунікацію щодо цього між суб’єктами та контролером чи процесором.

Статті 13 та 14 GDPR, які встановлюють обов’язки щодо надання інформації суб’єкту даних, встановлюють, що контролер повинен також повідомити особу та контактні дані свого представника. Неповідомлення такої інформації буде порушенням обов’язків щодо прозорості опрацювання.

А яка відповідальність за непризначення представника?

EDPB наголошує, що контролер або процесор, який не є резидентом ЄС і на якого поширюється GDPR, не призначивши представника, порушує норми Регламенту.

На практиці є також кейси зі штрафами за порушення цього обов’язку

Наприклад, у 2021 році Нідерландський наглядовий орган наклав на компанію штраф 525 тисяч €, у тому числі за відсутність представника у ЄС.  У 2022 вже Італійський наглядовий орган оштрафував компанію на 45 тисяч €. Серед виявлених порушень також було непризначення представника у ЄС.

Отже, якщо ваша компанія не зареєстрована у ЄС, але постачає товари чи послуги суб’єктам в ЄС чи моніторить їх поведінку, то вам потрібен представник у ЄС.

За консультаціями, як належним чином обрати, призначити та забезпечити діяльність представника відповідно до вимог GDPR, звертайтесь до Legal IT Group.