Loading…
Статья 27 GDPR требует, чтобы контролёры и обработчики за пределами ЕС, которые предлагают товары или услуги людям в ЕС или отслеживают поведение людей в ЕС, назначили представителя в письменной форме, учреждённого в одном из государств-членов ЕС, где находятся эти субъекты данных. Представитель является единой точкой контакта для надзорных органов и субъектов данных.
Есть два узких исключения: (1) эпизодическая обработка с низким риском, исключающая данные особой категории и данные о судимостях, и (2) государственные органы и учреждения. Неправильное понимание этих исключений — самая дорогостоящая ошибка, которую совершают компании за пределами ЕС.
Неназначение представителя является нарушением категории 4 по Статье 83(4) — штрафы до 10 миллионов евро или 2% от мирового годового оборота, в зависимости от того, что выше. Несколько надзорных органов (CNIL, Гамбургский орган по защите данных, испанский AEPD) активно применяют это с 2021 года.
Статья 27(1) GDPR гласит:
«Если применяется Статья 3(2), контролёр или обработчик назначает в письменной форме представителя в Союзе».
Это короткое предложение создаёт серьёзное операционное обязательство. Статья 3(2) — положение об экстерриториальном действии — применяется всякий раз, когда обработка связана с: (a) предложением товаров или услуг субъектам данных в ЕС или (b) отслеживанием поведения субъектов данных в ЕС.
Таким образом, представитель является структурным элементом обработки за пределами ЕС: почтовым ящиком в Союзе, точкой контакта и точкой подотчётности. Он находится между вашими операциями за пределами ЕС и 27 национальными надзорными органами ЕС.
Вам нужен представитель, если вы отмечаете все четыре пункта:
На практике важны два уточнения:
Статья 27(2) предусматривает два узких исключения:
Обработка, которая является (a) эпизодической, (b) не включает в больших масштабах данные особой категории по Статье 9 или данные о судимостях по Статье 10 и (c) вряд ли приведёт к риску для прав и свобод физических лиц с учётом характера, контекста, объёма и целей, освобождается.
Должны быть выполнены все три условия. Руководящие принципы EDPB 3/2018 строго трактуют «эпизодическую» — это означает разовую или спорадическую, но никогда регулярную хозяйственную деятельность. Непрерывный трекинг, повторяющаяся аналитика или любой постоянный поток данных редко соответствуют этому критерию.
Государственным органам и публичным учреждениям не требуется назначать представителя. Это исключение редко действует для коммерческих компаний, но актуально для иностранных правительственных ведомств, центральных банков и международных организаций.
Статья 27(4) определяет роль представителя:
«Представитель уполномочивается контролёром или обработчиком на то, чтобы к нему обращались, в дополнение к контролёру или обработчику или вместо них, в частности, надзорные органы и субъекты данных по всем вопросам, связанным с обработкой, в целях обеспечения соблюдения настоящего Регламента».
Важно отметить, что представитель не является заменой DPO. Эти две роли могут выполняться разными сторонами, а обязательство по DPO (Статья 37) запускается иными критериями.
Статья 27(3) требует, чтобы представитель был учреждён в одном из государств-членов, где находятся субъекты данных, чьи персональные данные обрабатываются. На практике у вас есть гибкость: если ваши пользователи из ЕС распределены по нескольким государствам-членам, вы можете выбрать то, чей надзорный орган лучше всего соответствует вашей операционной модели.
Распространённый выбор: Ирландия (англоязычная, дружелюбная к технологиям), Германия (больше надзорных органов для координации, но строгая), Нидерланды (регулятор, свободно владеющий английским), Франция (CNIL имеет сильную репутацию в правоприменении) и Испания (AEPD с активным правоприменением).
Механика процесса:
Личность и контактные данные представителя должны быть доведены до сведения субъектов данных (Статьи 13(1)(a) и 14(1)(a)). Конкретно это означает включение имени, почтового адреса и контактного адреса электронной почты представителя в:
Неопубликование данных о представителе само по себе является нарушением обязательств по прозрачности (Статья 12), подлежащим штрафам нижнего уровня по Статье 83(4).
Статья 27(5) однозначна: назначение представителя не влияет на правовые действия, которые могут быть инициированы против самого контролёра или обработчика. Представитель не принимает на себя ответственность за основные нарушения контролёра.
Однако представитель может подлежать правоприменительным мерам, связанным с его собственными обязательствами — предоставлением записей, сотрудничеством с надзорными органами и доступностью. Представитель, не выполняющий свою предписанную функцию, рискует отстранением со стороны назначающего контролёра и репутационным ущербом на рынке услуг представительства.
Неназначение представителя является нарушением самой Статьи 27 — нарушением категории 4 по Статье 83(4) GDPR. Применимый предел штрафа составляет:
Правоприменение остаётся стабильным с 2021 года. Заметные дела включают действия CNIL против американских компаний ad-tech, расследование Гамбургом иностранных поставщиков аналитики и решения AEPD против международных рекламных сетей. Даже когда отсутствие представителя не является единственным основанием для штрафа, оно часто сигнализирует о более широком пробеле в соответствии, усугубляющем наказания.
Статья 27 UK GDPR отражает обязательство ЕС, но применяется к контролёрам и обработчикам за пределами Великобритании, ориентированным на лиц в Великобритании. С 1 января 2021 года представители в ЕС и Великобритании являются отдельными ролями — вам нужны обе, если вы ориентируетесь на оба рынка.
Операционный совет: многие компании назначают поставщика услуг представительства, который предлагает как представительство в ЕС, так и в Великобритании через согласованные юридические структуры, избегая дублирования процессов для отчётности о нарушениях, коммуникации с ICO/EDPB и запросов субъектов данных.
Нет. Представитель должен быть учреждён в ЕС/ЕЭЗ. Швейцария (несмотря на эквивалентность её FADP) находится за пределами ЕЭЗ для этой цели. Исландия, Лихтенштейн и Норвегия подходят.
В принципе, до начала обработки, подпадающей под действие. На практике надзорные органы рассматривают назначение как обязательное для наличия до существенной обработки данных субъектов из ЕС. Ретроактивное назначение не является защитой от прошлого несоблюдения.
Только если субъект удовлетворяет требованиям независимости и компетентности Статей 37–39. Большинство специализированных поставщиков услуг представительства предлагают обе услуги как отдельные, через отдельные команды, чтобы избежать конфликтов.
Вы должны назначить замену и оперативно обновить опубликованные уведомления. Пробел в охвате представительства во время продолжающейся обработки данных субъектов из ЕС является нарушением.
Нет. Один представитель охватывает всю обработку в ЕС/ЕЭЗ. Представитель учреждается в одном государстве-члене; выбор того, в каком именно государстве-члене, зависит от того, где преимущественно находятся ваши субъекты данных.
Не сама по себе — поставщик CDN является обработчиком в рамках своих собственных обязательств. Вопрос в том, ориентирована ли ваша основная хозяйственная деятельность на пользователей ЕС или отслеживает ли их. Большинство — да.
RegulatoryBridge предоставляет услуги представителя в ЕС по Статье 27 и представителя в Великобритании во всех 27 государствах-членах ЕС. Единая точка контакта, многоязычная поддержка, прозрачное фиксированное ценообразование, полный охват надзорных органов.