Loading…
تُلزم Article 27 من GDPR المتحكمين والمعالجين من خارج الاتحاد الأوروبي الذين يعرضون سلعًا أو خدمات على أشخاص في الاتحاد الأوروبي، أو الذين يراقبون سلوك أشخاص في الاتحاد الأوروبي، بأن يعيّنوا ممثلًا كتابيًا مقيمًا في إحدى الدول الأعضاء في الاتحاد الأوروبي حيث يوجد أصحاب البيانات هؤلاء. ويُعد الممثل نقطة الاتصال الوحيدة لسلطات الإشراف ولأصحاب البيانات.
هناك إعفاءان ضيّقان: (1) المعالجة العَرَضية منخفضة المخاطر التي تستثني بيانات الفئات الخاصة وبيانات الإدانات الجنائية، و(2) السلطات والهيئات العامة. ويُعد سوء فهم هذه الإعفاءات أكثر الأخطاء كلفةً التي ترتكبها الشركات من خارج الاتحاد الأوروبي.
يُعد التخلّف عن تعيين ممثل مخالفة من الفئة الرابعة بموجب Article 83(4) — وتصل الغرامات إلى 10 ملايين يورو أو 2% من حجم الأعمال السنوي العالمي، أيهما أعلى. وقد طبّقت عدة سلطات إشراف (CNIL، وسلطة حماية البيانات في هامبورغ، وهيئة AEPD الإسبانية) هذا الالتزام فعليًا منذ عام 2021.
تنص Article 27(1) من GDPR على ما يلي:
"حيثما تنطبق Article 3(2)، يجب على المتحكم أو المعالج أن يعيّن كتابيًا ممثلًا في الاتحاد."
تُنشئ هذه الجملة القصيرة التزامًا تشغيليًا كبيرًا. فبند Article 3(2) — وهو بند النطاق خارج الإقليمي — ينطبق كلما تعلّقت المعالجة بـ: (أ) عرض سلع أو خدمات على أصحاب البيانات في الاتحاد الأوروبي، أو (ب) مراقبة سلوك أصحاب البيانات في الاتحاد الأوروبي.
ولذلك فإن الممثل هو ارتباط هيكلي بالمعالجة من خارج الاتحاد الأوروبي: صندوق بريد داخل الاتحاد، ونقطة اتصال، ومرتكز للمساءلة. فهو يقع بين عملياتك خارج الاتحاد الأوروبي وسلطات الإشراف الوطنية السبع والعشرين في الاتحاد الأوروبي.
تحتاج إلى ممثل إذا انطبقت عليك جميع هذه الشروط الأربعة:
هناك توضيحان مهمان من الناحية العملية:
تنص Article 27(2) على إعفاءين ضيّقين:
تُعفى المعالجة التي تكون (أ) عَرَضية، و(ب) لا تتضمن، على نطاق واسع، بيانات الفئات الخاصة بموجب Article 9 أو بيانات الإدانات الجنائية بموجب Article 10، و(ج) من غير المرجح أن تؤدي إلى خطر على حقوق وحريات الأشخاص الطبيعيين، مع مراعاة طبيعتها وسياقها ونطاقها وأغراضها.
يجب استيفاء الشروط الثلاثة جميعها. وتتشدّد إرشادات EDPB رقم 3/2018 بشأن مصطلح "عَرَضية" — فهي تعني مرة واحدة أو متقطعة، وليست أبدًا عمليات تجارية منتظمة. ونادرًا ما يندرج التتبّع المستمر، أو التحليلات المتكررة، أو أي تدفق بيانات مستمر ضمن هذا الإعفاء.
السلطات العامة والهيئات العامة غير ملزمة بتعيين ممثل. ونادرًا ما يكون هذا الإعفاء ساريًا على الشركات التجارية، لكنه وثيق الصلة بالوكالات الحكومية الأجنبية والبنوك المركزية والمنظمات الدولية.
تحدّد Article 27(4) دور الممثل:
"يجب أن يكون الممثل مفوّضًا من المتحكم أو المعالج ليُخاطَب، بالإضافة إلى المتحكم أو المعالج أو بدلًا منهما، ولا سيّما من جانب سلطات الإشراف وأصحاب البيانات، في جميع المسائل المتعلقة بالمعالجة، بغرض ضمان الامتثال لهذه اللائحة."
والأهم من ذلك أن الممثل ليس بديلًا عن DPO. فيمكن أن يتولّى الدورين طرفان مختلفان، كما أن التزام تعيين DPO (Art. 37) تُفعّله معايير مختلفة.
تتطلب Article 27(3) أن يكون مقر الممثل في إحدى الدول الأعضاء حيث يوجد أصحاب البيانات الذين تُعالَج بياناتهم الشخصية. ومن الناحية العملية، لديك مرونة: إذا كان مستخدموك في الاتحاد الأوروبي موزّعين على عدة دول أعضاء، فيمكنك اختيار الدولة التي تتوافق سلطة الإشراف فيها على نحو أفضل مع نموذج تشغيلك.
الخيارات الشائعة: أيرلندا (ناطقة بالإنجليزية، ودودة تجاه التقنية)، وألمانيا (عدد أكبر من سلطات الإشراف يلزم التنسيق معها لكنها متشددة)، وهولندا (هيئة تنظيمية متمكنة من الإنجليزية)، وفرنسا (تتمتع CNIL بسمعة قوية في الإنفاذ)، وإسبانيا (هيئة AEPD ذات الإنفاذ النشط).
الآلية:
يجب إبلاغ أصحاب البيانات بهوية الممثل وبيانات الاتصال به (Articles 13(1)(a) و14(1)(a)). وعمليًا، يعني هذا تضمين اسم الممثل وعنوانه البريدي وبريده الإلكتروني للتواصل في:
يُعد التخلّف عن نشر الممثل بحد ذاته مخالفة لالتزامات الشفافية (Article 12)، وتخضع لغرامات الفئة الأدنى بموجب Article 83(4).
نص Article 27(5) لا لبس فيه: تعيين الممثل لا يؤثر على الإجراءات القانونية التي يمكن اتخاذها ضد المتحكم أو المعالج نفسه. فالممثل لا يتحمّل المسؤولية عن المخالفات الأساسية للمتحكم.
ومع ذلك، قد يخضع الممثل لإجراءات إنفاذ تتعلق بالتزاماته الخاصة — أي إتاحة السجلات، والتعاون مع سلطات الإشراف، وإمكانية الوصول إليه. والممثل الذي يتخلّف عن أداء وظيفته المفوّضة يخاطر بالتعليق من جانب المتحكم المعيِّن وبالإضرار بسمعته في سوق خدمات الممثلين.
يُعد التخلّف عن تعيين ممثل مخالفة لـ Article 27 نفسها — وهي مخالفة من الفئة الرابعة بموجب Article 83(4) من GDPR. والحد الأقصى للغرامة المطبّقة هو:
ظل الإنفاذ ثابتًا منذ عام 2021. ومن القضايا البارزة إجراءات CNIL ضد شركات تقنية الإعلان الأمريكية، وتحقيق هامبورغ بشأن مزوّدي التحليلات الأجانب، ونتائج AEPD ضد شبكات الإعلان الدولية. وحتى عندما لا يكون غياب الممثل الأساس الوحيد للغرامة، فإنه غالبًا ما يشير إلى فجوة امتثال أوسع تُفاقم العقوبات.
تعكس Article 27 من UK GDPR التزام الاتحاد الأوروبي لكنها تنطبق على المتحكمين والمعالجين من خارج المملكة المتحدة الذين يستهدفون أفرادًا في المملكة المتحدة. ومنذ 1 يناير 2021، أصبح الممثل في الاتحاد الأوروبي والممثل في المملكة المتحدة دورين منفصلين — فأنت بحاجة إلى كليهما إذا كنت تستهدف الجهتين معًا.
نصيحة تشغيلية: تعيّن كثير من الشركات مزوّد خدمة ممثل يقدّم التمثيل في الاتحاد الأوروبي والمملكة المتحدة معًا من خلال كيانات قانونية متوافقة، ما يتفادى ازدواجية العمليات في الإبلاغ عن الخروقات، والتواصل مع ICO/EDPB، واستفسارات أصحاب البيانات.
لا. يجب أن يكون مقر الممثل في الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية. وتقع سويسرا (رغم تكافؤ قانون FADP لديها) خارج المنطقة الاقتصادية الأوروبية لهذا الغرض. وتُعد آيسلندا وليختنشتاين والنرويج مؤهلة.
قبل أن تبدأ المعالجة المشمولة بالنطاق، من حيث المبدأ. وعمليًا، تعامل سلطات الإشراف التعيين بصفته شرطًا يجب توفّره قبل المعالجة الموضوعية لبيانات أصحاب البيانات في الاتحاد الأوروبي. والتعيين بأثر رجعي ليس دفاعًا ضد عدم الامتثال السابق.
فقط إذا استوفى الكيان متطلبات الاستقلالية والخبرة في Article 37–39. ويقدّم معظم مزوّدي خدمات الممثلين المتخصصين كلا الدورين بصفتهما خدمتين منفصلتين عبر فرق منفصلة لتفادي تضارب المصالح.
يجب أن تعيّن بديلًا وأن تحدّث إشعاراتك المنشورة على الفور. وأي فجوة في تغطية الممثل أثناء استمرار معالجة بيانات أصحاب البيانات في الاتحاد الأوروبي تُعد مخالفة.
لا. يغطي ممثل واحد جميع عمليات المعالجة في الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية. ويكون مقر الممثل في دولة عضو واحدة؛ ويعتمد اختيار الدولة العضو على المكان الذي يوجد فيه أصحاب بياناتك بشكل غالب.
ليس بحد ذاتها — فمزوّد CDN معالج يخضع لالتزاماته الخاصة. والسؤال هو ما إذا كان نشاطك التجاري الأساسي يستهدف مستخدمي الاتحاد الأوروبي أو يراقبهم. ومعظم الأنشطة كذلك.
تقدّم RegulatoryBridge خدمات الممثل في الاتحاد الأوروبي والممثل في المملكة المتحدة بموجب Article 27 عبر جميع الدول الأعضاء السبع والعشرين في الاتحاد الأوروبي. نقطة اتصال وحيدة، ودعم متعدد اللغات، وتسعير ثابت وشفاف، وتغطية كاملة لسلطات الإشراف.