Privalexx Ukraine

DATA PRIVACY EXPERTS

📞
Call Support
+49 3843 229 133
✉️
Email Support
info(at)privalexx.com.ua
Make Appointment

Обов’язки та відповідальність представника ЄС

EU Representative

Представники ЄС стають важливим питанням для компаній, які не мають власного представництва в Європейському Союзі, як тільки вони обробляють персональні дані громадян ЄС або пропонують послуги на європейському ринку. Зокрема, малі та середні компанії за межами ЄС стикаються з питанням, коли необхідно призначати представника ЄС, які завдання та обов’язки він виконує та чим відрізняється від офіцера із захисту даних. Призначення представника ЄС відповідно до GDPR є обов’язковим, якщо діяльність з обробки даних спрямована на ринок ЄС, а також стосується провайдерів, що базуються за межами Європи. Питання про те, хто виступає в ролі контролера, які існують юридичні ризики та як організувати передачу даних до третіх країн відповідно до правил захисту даних, є особливо актуальним для компаній, які не мають представництва в ЄС. Наведена нижче інформація допоможе вам зрозуміти законодавчі вимоги та на практиці забезпечити дотримання вимог ст. 27 GDPR.

GDPR: Вимоги до міжнародних компаній

Компанії за межами ЄС стикаються з проблемою дотримання вимог GDPR, як тільки вони обробляють персональні дані громадян ЄС. Стаття 27 GDPR зобов’язує такі компанії призначити представника в ЄС, якщо вони пропонують свої товари чи послуги в ЄС або здійснюють моніторинг поведінки фізичних осіб в ЄС. Практичний наслідок: навіть не маючи власної філії в ЄС, компанії повинні виконувати європейські вимоги щодо захисту даних і призначити відповідну контактну особу в ЄС. Метою цього регламенту є забезпечення ефективного виконання GDPR та захист прав суб’єктів даних. Існують лише окремі винятки з цього зобов’язання, якщо обробка персональних даних є випадковою або незначною. Призначення представника ЄС відповідно до ст. 27 GDPR допомагає створити прозорість та уможливити прямий зв’язок з органами захисту даних та суб’єктами даних у будь-який час.

Уповноважений із захисту даних та представник ЄС – розуміння відмінностей

Представник ЄС відповідно до GDPR – це не те саме, що уповноважений із захисту даних. Обидві функції мають різні правові підстави та координаційні центри, що особливо актуально для компаній, які не мають філії в ЄС.

важливі факти з першого погляду:

  • Представник ЄС повинен проживати в ЄС і бути призначеним компанією в письмовій формі.
  • Основним завданням є забезпечення зв’язку між відповідальною компанією та органами захисту даних або суб’єктами даних.
  • Відповідальність за порушення захисту даних у всіх випадках залишається за самою компанією.
  • З іншого боку, відповідальний за захист даних відповідає за внутрішній моніторинг і контроль, а також консультує компанію з усіх питань, пов’язаних із дотриманням GDPR.
ФункціяПредставник ЄСУповноважений із захисту даних
Обов’язковість призначенняДля компаній без філії в ЄС (ст. 27 GDPR)Залежно від обсягу та типу обробки даних
ЗавданняКонтактна особа для органів влади та суб’єктів данихМоніторинг, консультування та навчання в компанії
ВідповідальністьБез представницької відповідальності, але посередницькаБез власної відповідальності, внутрішня роль

Практичний приклад:

Американська інтернет-компанія продає програмне забезпечення клієнтам у Німеччині. Оскільки персональні дані регулярно обробляються, а громадянам ЄС робиться цільова пропозиція, призначення представника ЄС є обов’язковим. Якщо йдеться про складну обробку даних, може також знадобитися призначення відповідального за захист даних.

Актуально для передачі даних до третіх країн

Як тільки персональні дані передаються з ЄС до третьої країни, наприклад, США (передача до третьої країни), необхідний ретельний захист. Тут представник ЄС надає підтримку у дотриманні вимог GDPR. Чіткий договірний розподіл обов’язків – особливо перед наглядовими органами – залишається важливим.

Передача даних до третіх країн: успішне виконання зобов’язань щодо захисту даних

Передача персональних даних з ЄС до третіх країн, так звана передача до третіх країн, регулюється суворими вимогами GDPR. Компанії за межами Європи, які пропонують послуги або продукти для ринку ЄС, повинні вжити спеціальних технічних та організаційних заходів на додаток до призначення представника ЄС відповідно до ст. 27 GDPR.

рекомендовані кроки для вирішення проблеми:

  1. Призначення представника ЄС: Представник ЄС повинен бути призначений, якщо не застосовується один із винятків, передбачених ст. 27 GDPR. Призначення має бути чітким і письмовим. Представник діє як центральна контактна особа для наглядових органів та суб’єктів даних в ЄС. Важливо: Фактична відповідальність і зобов’язання залишаються повністю за компанією.
  2. Відмінність від уповноваженого з питань захисту даних: На відміну від уповноваженого із захисту даних, представник ЄС не має наглядових чи консультативних функцій у компанії. Його завдання обмежуються комунікацією та наданням відповідної інформації в розумінні GDPR. Незважаючи на це, залучення спеціаліста із захисту даних може бути необхідним, особливо у випадку обробки даних з високим ступенем ризику.
  3. Реєстр діяльності з обробки даних: Представник ЄС підтримує компанію у веденні обліку всіх операцій з обробки, як того вимагає ст. 30 GDPR. Цей документ повинен бути наданий європейському наглядовому органу в будь-який час на його вимогу.
  4. Підтримка при передачі даних до третіх країн: Представник ЄС допомагає виконати умови ст. 44 і далі. GDPR щодо передачі даних до третіх країн та встановлення відповідних гарантій. До них відносяться стандартні положення про захист даних, обов’язкові корпоративні правила та, за необхідності, додаткові технічні заходи.
  5. документація та доступність: Контактні дані представника ЄС повинні бути легкодоступними та опубліковані в політиці конфіденційності. Повинна бути забезпечена постійна доступність для запитів від органів влади та суб’єктів даних.
  6. Регулярний моніторинг дотримання вимог: Представник ЄС супроводжує компанію для моніторингу змін у вимогах до захисту даних. Це дозволяє компанії оперативно реагувати на нові вимоги, якщо розширюється обробка даних або змінюються законодавчі вимоги.

Призначення досвідченого представника ЄС та дотримання відповідних положень GDPR допомагають компаніям з третіх країн працювати на європейському ринку стабільно та відповідно до законодавства.

Короткий зміст

Представник ЄС необхідний для того, щоб компанія, яка не має філії в ЄС, могла надійно виконувати вимоги GDPR та ст. 27 GDPR. Він бере на себе центральну посередницьку роль між компаніями, органами захисту даних та суб’єктами даних, але залишається обмеженим зобов’язаннями щодо комунікації та документації. Відповідальність і зобов’язання залишаються за компанією. Залучення спеціаліста із захисту даних є особливо доцільним у разі передачі даних до третіх країн та складної обробки даних. Скористайтеся нашою порадою, щоб призначити відповідного представника ЄС та позиціонувати свою компанію на ринку ЄС відповідно до вимог законодавства про захист даних.

Представник в ЄС згідно з GDPR — це фізична або юридична особа, призначена компанією за межами ЄС для виконання функції центрального контактного пункту в Європейському Союзі. Представник в ЄС служить інтерфейсом між компанією, європейськими наглядовими органами захисту даних та суб’єктами даних, чиї персональні дані обробляються. Компанії, які не мають представництва в ЄС, але пропонують послуги громадянам ЄС або контролюють їхню поведінку, зазвичай повинні призначити представника в ЄС.

Представник в ЄС обробляє комунікацію з наглядовими органами захисту даних та суб’єктами даних щодо обробки даних. Вони забезпечують ведення необхідних документів, таких як реєстр операцій з обробки даних, надають інформацію про заходи захисту даних компанії та отримують запити згідно зі ст. 15 GDPR. Вони також підтримують компанію у дотриманні вимог GDPR та звітують про відповідні питання відповідним органам.

Зазвичай кожна компанія, яка пропонує послуги в ЄС або обробляє персональні дані громадян ЄС і не має представництва в ЄС, потребує лише одного представника в ЄС. Одного представника достатньо, якщо він належним чином уповноважений і може діяти як центральна контактна особа для всіх компетентних наглядових органів захисту даних постраждалих держав-членів ЄС.

Обов’язок призначити представника в ЄС застосовується до компаній без місцезнаходження в ЄС, які спеціально пропонують товари або послуги особам в ЄС або контролюють поведінку громадян ЄС. Це застосовується до постачальників інтернет-магазинів, цифрових послуг, а також аналітичних платформ та рекламних мереж, коли обробляються персональні дані осіб в ЄС.

Обов’язок призначення не застосовується, якщо обробка персональних даних є лише випадковою, не є широкою та не включає обробку чутливих даних згідно зі ст. 9 або даних про кримінальні правопорушення згідно зі ст. 10 GDPR. Аналогічно, органи влади та державні органи зазвичай звільнені від обов’язку призначити представника в ЄС.

Будь-яка фізична або юридична особа з місцем проживання або місцезнаходженням у державі-члені ЄС, де знаходяться суб’єкти даних, може бути призначена представником в ЄС. Вони повинні бути юридично уповноважені компанією обробляти комунікацію з органами та суб’єктами даних у зв’язку з GDPR. Власні працівники або зовнішні постачальники послуг можуть діяти як представники, за умови відсутності конфлікту інтересів.

Представник в ЄС зазвичай не несе відповідальності за порушення захисту даних самою компанією. Відповідальність за дотримання GDPR та правильну обробку даних повністю залишається за неєвропейською компанією. Представник діє виключно як контактна особа та комунікаційний інтерфейс для органів та суб’єктів даних.

Інспектор з захисту даних консультує компанію з усіх питань захисту даних, контролює дотримання GDPR та служить контактною особою всередині та зовні компанії. Представник в ЄС, з іншого боку, в першу чергу обробляє зовнішню комунікацію з наглядовими органами та суб’єктами даних для компаній без представництва в ЄС. Функції чітко розділені; однак одна особа може виконувати обидві ролі, якщо виконуються вимоги.

GDPR вимагає призначення інспектора з захисту даних, коли компанія широко обробляє персональні дані, коли задіяні спеціальні категорії даних згідно зі ст. 9 GDPR або коли відбувається регулярний та систематичний моніторинг. Цей обов’язок також застосовується до неєвропейських компаній, наскільки вони підпадають під сферу дії GDPR.

Суб’єкти даних мають всебічні права згідно з GDPR. Вони включають право на доступ до збережених персональних даних, виправлення неточної інформації, видалення, обмеження обробки, заперечення проти обробки даних та право на переносимість даних. Якщо будь-яке з цих прав реалізується, компанія повинна відповісти оперативно та надати прозору інформацію про обробку даних, яка відбулася.