Європейська рада із захисту даних (EDPB) ще раз наголосила, як організації повинні визначати своє «головне представництво» в ЄС і коли вони можуть покладатися на механізм «єдиного вікна» (One‑Stop‑Shop, OSS) згідно з GDPR. Для українських компаній, які обслуговують користувачів з ЄС, ці роз’яснення впливають на взаємодію з регуляторами та на те, чи може одна «головна наглядова установа» координувати транскордонні справи.

Що таке One‑Stop‑Shop (OSS)?

One‑Stop‑Shop — це процедурна система, яка дозволяє організаціям із справжнім «головним представництвом» у ЄС взаємодіяти переважно з одним органом із захисту даних — головною наглядовою установою (LSA) — у випадку транскордонної обробки даних. На практиці це може зменшити адміністративне навантаження, забезпечити більш передбачувані строки та спростити розслідування.

• Визначення: Механізм згідно з GDPR, який централізує нагляд за транскордонною обробкою даних.
• Головна наглядова установа: Орган із захисту даних тієї держави-члена, де розташоване головне представництво.
• Перевага: Менше паралельних процедур і скоординовані регуляторні результати.

Як визначити своє «головне представництво»

EDPB наголошує на суті, а не на формі. Головне представництво — це місце, де фактично приймаються стратегічні рішення щодо цілей і способів обробки, і де є повноваження для їх реалізації.

• Контролери: Повинні довести, що рішення щодо цілей і способів приймаються в ЄС.
• Обробники: Зосереджуються на тому, де в ЄС здійснюються основні адміністративні функції.
• Докази: Організаційні схеми, протоколи комітетів, затверджені політики та документи про впровадження, розташовані в ЄС.

Чим не є OSS

Призначення представника в ЄС згідно зі статтею 27 не створює «представництва» в ЄС і не дає права на використання OSS. Навіть за наявності LSA, «зацікавлені наглядові органи» з усього ЄС можуть бути залучені та висловлювати заперечення щодо проєктів рішень.

• Стаття 27 ≠ право на OSS
• OSS ≠ імунітет від інших органів
• Представництво вимагає реального прийняття рішень у ЄС

Наслідки для українських компаній

Якщо ви орієнтуєтеся на користувачів з ЄС або відстежуєте їхню поведінку в ЄС, але не маєте справжнього представництва в ЄС, ви не можете покладатися на OSS. Ви повинні призначити представника в ЄС і бути готовими взаємодіяти з кількома органами, якщо це буде потрібно.

• Представник за статтею 27: Обов’язково вказуйте у своїй політиці конфіденційності.
• Готовність до взаємодії з кількома органами: Консолідуйте записи та шаблони відповідей.
• Терміни: Узгодьте реагування на інциденти з 72-годинним строком повідомлення про порушення (ст. 33 GDPR).

Практичні кроки для відповідності

• Карта управління: Документуйте, де приймаються та впроваджуються рішення щодо захисту даних.
• Реєстр обробки (RoPA): Ведіть консолідовану, готову для перевірки версію.
• Передача даних в Україну: Використовуйте стандартні договірні положення (SCC), проводьте оцінку впливу передачі (TIA) та застосовуйте додаткові заходи.
• Публічні розкриття: Чітко вказуйте дані представника, цілі обробки та контактні точки.

Висновок

OSS спрощує нагляд для організацій, які дійсно мають представництво в ЄС. Для компаній поза межами ЄС представництво за статтею 27 та взаємодія з кількома наглядовими органами залишаються ключовими елементами відповідності GDPR.