ПРИЗНАЧЕННЯ ПРЕДСТАВНИКА НА ТЕРИТОРІЇ ЄВРОПЕЙСЬКОГО СОЮЗУ: ЧОМУ ЦЕ ВАЖЛИВО

23 Вересня 2020

Необхідність призначення представника на території Європейського Союзу компаніями, які не є резидентами ЄС, залишається однією з основних особливостей, як передбачаються європейським законодавством. Представники повинні бути довіреними особами компанії по питанням обробки персональних даних. Насамперед, представляти інтереси компанії в процесі комунікації з європейськими контролюючими органами та фізичними особами, чиї персональні дані оброблюються. Додаткові ж умови співпраці можуть погоджуватися між працівником та компанією окремо.

Кого стосується необхідність призначення представника?

У відповідності до вимог статті 27 General Data Protection Regulation (GDPR), компанії, які не зареєстровані на території Європейського Союзу, повинні призначати свого представника на території ЄС. Ця необхідність викликана тим, що можуть виникати труднощі в процесі комунікації між такими компаніями та контролюючими органами, в тому числі щодо питань термінового та безвідкладного усуненням порушень персональних даних.

Хоч європейська директива 95/46/ЕС і мала вимоги щодо призначення представника компаніями не з території ЄС, однак, цим документом не було визначено чіткі межі відповідальності за непризначення представника. В той же час, GDPR визначає межі відповідальності, яка може покладатися на відповідні компанії.

Варто зазначити, що необхідність призначення представника на території ЄС не стосується компаній, які мають в Європі осідок (представництво, філію тощо), з допомогою якого або який є ланкою в процесі збирання та обробки персональних даних.

Де саме повинен бути призначений представник?

Багато компаній задаються питанням стосовного того, де саме повинен бути призначений представник, якщо діяльність компанії орієнтована не на конкретну країну, а на європейський ринок загалом. Відповідь є неоднозначною та доволі комплексною, адже потрібно визначити, в яких саме країнах здійснюється діяльність, а також, персональні дані якої кількості фізичних осіб оброблюються. Важливо також визначити, пропорцію кількості фізичних осіб, чиї персональні дані оброблюються, до кількості країн-членів ЄС, де фізичні особи – суб’єкти даних перебували на момент збирання про них персональних даних.

Проаналізувавши зазначену вище інформацію, а також беручи до уваги офіційні роз’яснення Європейської Ради по Захисту Даних (EDPB), представник повинен бути призначений в країні-членові ЄС, де знаходиться найбільші кількість фізичних осіб, чиї персональні дані оброблюються.

Наприклад: компанія «Х» з України, яка здійснює розробку програмного забезпечення та мобільних додатків для операційної системи Android, здійснює реалізації своєї продукції в Італії, Німеччині та Франції. Найбільша кількість фізичних осіб, які завантажують та використовують мобільні додатки компанії «Х» знаходяться у Франції. Відповідно, компанія «Х» повинна призначити представника у Франції.

Розглядаючи компанію «Х» з наведеного вище прикладу, варто зауважити, що важливою вимогою для представника компанії «Х» у Франції,  залишається можливість доступу до нього контролюючих органів з Італії та Німеччини. В свою чергу, представник повинен також мати можливість комунікувати з такими контролюючими органами та фізичними особами, чиї персональні дані оброблюються, тією мовою, яка їм зручна, виходячи з особливостей їхнього територіального розташування.

Особливості призначення представника в Європейському Союзі

Представником компанії на теренах ЄС може бути як фізична, так і юридична особа, що повинна діяти за вказівками компанії та представляти її інтереси.

Якщо мова йде про юридичну особу, то EDPB, у своїх офіційних роз’ясненнях, для уникнення непорозумінь, рекомендує, щоб така юридична особа призначала певного працівника, який буде відповідальний за взаємодію з компанією та комунікувати з представниками компанії по питанням обробки персональних даних в рамках взаємовідносин «компанія-представник». Разом з тим, рекомендується, щоб особливості призначення конкретного працівника були зафіксовані в письмовому документі, який регулює відносини між компанією та представником-юридичною особою.

Документом, який регулює відносини між компанією та працівником, повинен бути договір, укладений в письмовій формі. Такий документ не потребує додаткової авторизації контролюючими органами, а факт призначення представника не повинен бути предметом повідомлення відповідних контролюючих європейських органів.

Однак, відсутність необхідності повідомлення про призначення представника на території ЄС, не повинно слугувати підставою для будь-яких зловживань з боку компанії, адже стаття 13 та 14 GDPR передбачає необхідність компаній повідомляти контактні дані представника, якщо такий призначений, суб’єктам даних перед початком обробки персональних даних.  Тобто, хоча і не контролюючим органам, але все ж необхідність повідомлення залишається, і цим можуть скористатися контролюючі органи, так як такі повідомлення суб’єктів даних зазвичай здійснюється через публічні документи, які розміщуються на веб-сайті.

Важливо зауважити, , що існує необхідність у розділенні ролей представника в Європейському Союзі та офіцера із захисту даних (Data Protection Officer/DPO). Ця необхідність зумовлена тим, що DPO має зовсім інший перелік функцій по відношенню до компанії, а ніж функції, які має представник. В той час, коли представник фактично діє від імені компанії, яка його призначила, Data Protection Officer має доволі значний обсяг незалежності, який визначений в тексті GDPR. Наприклад,  у відповідності до статті 38 General Data Protection Regulation, ніхто не повинен втручатися в роботу офіцера із захисту даних, а також ніхто не повинен надавати йому інструкції та вказівки стосовно виконання ним своїх професійних повноважень. DPO не може бути звільнений та оштрафований, якщо це пов’язано з виконанням ним своїх професійних повноважень. Натомість, компанія може передбачити санкції для представника у відповідному договорі.

Винятки, коли представник не призначається

Стаття 27 General Data Protection передбачає, що представник не повинен призначатися у тих випадках, коли обробка персональних:

  • є випадковою;
  • не включає обробку у великих масштабах чутливих персональних даних;
  • не стосується обробки персональних даних, пов’язаних з кримінальними вироками чи кримінальними переслідуваннями;
  • здійснюється державними установами або органами.

З практики, хочемо зазначити, що доведення того факту, що ви не повинні призначати представника у зв’язку із застосуванням певних виключень, є доволі складною та майже неможливою процедурою.

Висновок

В будь-якому випадку, перед вирішенням питання призначення представника, компанія повинна врахувати ряд факторів, які можуть виплинути на необхідність його призначення або ж навпаки. Такі фактори можуть стосуватися як кількості персональних даних, що оброблюються, так і територій на яких ці персональні дані збираються та оброблюються. Компанія BSO Privacy Group з радістю готова допомогти вашій компанії у вирішенні питання стосовно того, чи потрібен вам представник на території Європейського Союзу.