Назначение представителя на территории европейского союза: почему это важно

23 сентября 2020

Необходимость назначения представителя на территории Европейского Союза компаниями, которые не являются резидентами ЕС, остается одной из основных особенностей, которая предусматривается европейским законодательством. Представители должны быть доверенными лицами компании по вопросам обработки персональных данных и прежде всего, представлять интересы компании в процессе коммуникации с европейскими контролирующими органами и физическими лицами, чьи персональные данные обрабатываются. Дополнительные же условия сотрудничества могут оговариваться между работником и компанией отдельно.

Кого касается необходимости назначения представителя?

В соответствии с требованиями статьи 27 General Data Protection Regulation (GDPR), компании, которые не зарегистрированы на территории Европейского Союза, должны назначать своего представителя на территории ЕС. Эта необходимость вызвана тем, что у компаний могут возникать трудности в процессе коммуникации с контролирующими органами, в том числе по вопросам срочного и безотлагательного устранением нарушений персональных данных.

Хотя европейская директива 95/46 / ЕС и имела требования о назначении представителя компаниями не с территории ЕС, однако, этим документом не были определены четкие границы ответственности за не назначение представителя. В то же время, GDPR определяет границы ответственности, которая может возлагаться на соответствующие компании.

Стоит отметить, что необходимость назначения представителя на территории ЕС не касается компаний, которые имеют в Европе представительство или филиал, с помощью которого или который является звеном в процессе сбора и обработки персональных данных.

Где именно должен быть назначен представитель?

Многие компании задаются вопросом относительно того, где именно должен быть назначен представитель, если деятельность компании ориентирована не на конкретную страну, а на европейский рынок в целом. Ответ неоднозначен и довольно комплексный, ведь нужно определить, в каких именно странах осуществляется деятельность, а также персональные данные какого количества физических лиц обрабатываются. Важно также определить, пропорцию количества физических лиц, чьи персональные данные обрабатываются, к количеству стран-членов ЕС, где физические лица — субъекты данных находились на момент сбора о них персональных данных.

Проанализировав указанную выше информацию, а также принимая во внимание официальные разъяснения Европейского Совета по Защите Данных (EDPB), представитель должен быть назначен в стране-члене ЕС, где находится наибольшее количество физических лиц, чьи персональные данные обрабатываются.

Например: компания «Х» с Украины, которая осуществляет разработку программного обеспечения и мобильных приложений для операционной системы Android, осуществляет реализацию продукции в Италии, Германии и Франции. Наибольшее количество физических лиц, которые загружают и используют мобильные приложения компании «Х», находятся во Франции. Соответственно, компания «Х» должна назначить представителя во Франции.

Рассматривая компанию «Х» из приведенного выше примера, стоит заметить, что важным требованием для представителя компании «Х» во Франции, остается возможность доступа к нему контролирующих органов из Италии и Германии. В свою очередь, представитель должен также иметь возможность коммуницировать с такими контролирующими органами и физическими лицами, чьи персональные данные обрабатываются, на том языке, на котором им удобно, исходя из особенностей их территориального расположения.

Особенности назначения представителя в Европейском Союзе

 

Представителем компании на территории ЕС может быть как физическое, так и юридическое лицо, которое будет действовать по указаниям компании и представлять ее интересы.

Если речь идет о юридическом лице, то EDPB, в своих официальных разъяснениях, во избежание недоразумений, рекомендует, чтобы такое юридическое лицо назначало определенного работника, который будет ответственен за взаимодействие с компанией и коммуницировать с представителями компании по вопросам обработки персональных данных в рамках взаимоотношений «компания-представитель». Вместе с тем, рекомендуется, чтобы особенности назначения конкретного работника были зафиксированы в письменном документе, который регулирует отношения между компанией и представителем-юридическим лицом.

Документом, регулирующим отношения между компанией и работником, должен быть договор, заключенный в письменной форме. Такой документ не требует дополнительной авторизации контролирующими органами, а факт назначения представителя не должен быть предметом уведомления соответствующих контролирующих европейских органов.

Однако, отсутствие необходимости уведомления о назначении представителя на территории ЕС, не должно служить основанием для каких-либо злоупотреблений со стороны компании, ведь статья 13 и 14 GDPR предусматривает необходимость компаний сообщать контактные данные представителя, если таковой назначен, субъектам данных перед началом обработки персональных данных. То есть, хотя и не контролирующим органам, но все же необходимость уведомления остается, и этим могут воспользоваться контролирующие органы, так как такие сообщения субъектов данных обычно осуществляется через публичные документы, которые размещаются на сайте.

Важно отметить, что существует необходимость в разделении ролей представителя в Европейском Союзе и офицера по защите данных (Data Protection Officer / DPO). Эта необходимость обусловлена ​​тем, что DPO имеет совсем другой перечень функций по отношению к компании, нежели функции, которые имеет представитель. В то время, когда представитель фактически действует от имени компании, которая его назначила, Data Protection Officer имеет довольно значительный объем независимости, который определен в тексте GDPR. Например, в соответствии со статьей 38 General Data Protection Regulation, никто не должен вмешиваться в работу офицера по защите данных, а также никто не должен предоставлять ему инструкции и указания по выполнению им своих профессиональных полномочий. DPO не может быть уволен и оштрафован, если это связано с выполнением им своих профессиональных полномочий. Зато, компания может предусмотреть санкции для представителя в соответствующем договоре.

Исключения, когда представитель не назначается

Статья 27 General Data Protection предусматривает, что представитель не должен назначаться в тех случаях, когда обработка персональных:

  • случайна;
  • не включает обработку в больших масштабах чувствительных персональных данных;
  • не касается обработки персональных данных, связанных с криминальными приговорами или уголовным преследованием;
  • осуществляется государственными учреждениями или органами.

Из практики, хотим отметить, что доказать тот факт, что вы не должны назначать представителя в связи с применением определенных исключений, довольно сложно и почти невозможно.

Вывод

В любом случае, перед решением вопроса назначения представителя, компания должна учесть ряд факторов, которые могут повлиять на необходимость его назначения или наоборот. Такие факторы могут касаться как персональных данных, обрабатываемых компанией, так и территорий на которых эти персональные данные собираются и обрабатываются. Компания BSO Privacy Group с радостью готова помочь вам в решении вопроса о том, нужен ли вам представитель на территории Европейского Союза.