Open in app

Sign in

Write

Sign in

Представитель в ЕС — скрытое обязательство GDPR

Illia Shenheliia
LawGeek by Aurum
Published in
5 min readFeb 26, 2019

В мае 2018 года в Европейском Союзе вступил в силу Регламент по защите персональных данных, более известный как “GDPR”. Нормы GDPR применяются к европейским компаниям (резидентам), а в некоторых случаях — и к компаниям, находящимся за пределами ЕС (нерезидентам).

Например, некоторые компании-нерезиденты, которые собирают или обрабатывают персональные данные лиц, находящихся на территории Европейского Союза, обязаны назначить своего представителя в одной из стран ЕС.

В этом материале мы рассмотрим, какие украинские компании обязаны назначить представителя в ЕС, кто может быть таким представителем, а также ряд других вопросов, тесно связанных с этим обязательством.

Украинские компании, которые работают на экспорт услуг в ЕС, зачастую попадают под обязательство назначить представителя в Союзе. Среди юристов это обязательство даже называют «скрытым», так как многие о нем просто не знают.

Вопрос с назначением представителя в ЕС стал вновь актуальным после того, как Европейский совет по защите персональных данных (EDPB) подготовил Руководство 3/2018 о территориальных рамках GDPR, последний раздел которого посвящен как раз этому вопросу. EDPB — это орган ЕС, ответственный за единую политику применения законодательства о защите персональных данных. Его разъяснения используются контролирующими органами при применении GDPR, поэтому относиться к ним стоит серьезно.

Напомним, персональными данными считается любая информация, которая прямо или косвенно идентифицирует физическое лицо (имя, email, IP адрес, фото и т.д.).

Кто обязан назначить представителя в ЕС?

Физическое или юридическое лицо, которое: (1) собирает или обрабатывает персональные данные физических лиц, находящихся в ЕС, (2) не находится в ЕС и (3) предлагает товары или услуги, или отслеживает поведение физических лиц, находящихся в ЕС. Соблюдаться должны все три условия одновременно.

При этом, если большая часть лиц, данные которых собираются или обрабатываются, находятся в одной стране Евросоюза, рекомендуется назначить представителя именно в ней. Например, если украинская компания без представительства в ЕС продает товары потребителям из Италии (20%), Испании (30%) и Франции (50%), представителя рекомендуется назначить именно во Франции.

Однако, есть и исключение. Представителя не нужно назначать, если обработка данных: (1) нерегулярная, не включает в себя обработку крупных объемов специальных данных (например, о расе, религии) или данных об уголовных правонарушениях, и такая обработка (2) маловероятно создаст риск для прав и свобод физических лиц.

Обработка считается нерегулярной, если она не является частью нормальной деятельности компании, происходит при случайных обстоятельствах и в произвольных временных промежутках. Например, если украинская компания проводит разовую конференцию в Берлине, для чего собирает персональные данные граждан Германии, назначать представителя в ЕС не нужно.

Кто может быть представителем нерезидента в ЕС?

Представителем может быть любое физическое или юридическое лицо с местом пребывания или регистрации в ЕС, например, работник, консультант, агент, юридическая фирма или другая компания. Обязательным условием является подписание договора или другого документа, так как GDPR требует назначить представителя в письменном виде (“in writing”). Одно лицо может одновременно выступать представителем неограниченного числа нерезидентов.

Нужно подчеркнуть, что представитель нерезидента в ЕС не может одновременно быть лицом, ответственным за защиту персональных данных (Data Protection Officer, DPO), — соответствующее мнение высказало EDPB в своем Руководстве 3/2018. В связи с этим, рекомендуем разделять вышеупомянутые роли. В противном случае орган защиты персональных данных может трактовать такое “совмещение” как отсутствие DPO или представителя.

Обязанности представителя

Представитель в ЕС выступает контактным лицом нерезидента на территории Союза. Ему могут быть адресованы любые обращения касательно соблюдения нерезидентом требований GDPR, например, запросы физических лиц (субъектов персональных данных) или государственных органов. Другими словами, роль представителя пассивна, так как на деле он выступает лишь передаточным звеном в коммуникациях с нерезидентом, которого он представляет.

Единственное “активное” обязательство представителя — ведение реестра обработки данных (“register of processing activities”). К слову, EDPB считает это совместным обязательством нерезидента и его представителя в ЕС.

Ответственность представителя

Назначение представителя не освобождает нерезидента от ответственности за нарушение норм GDPR и не перекладывает его ответственность на представителя. Вместе с тем, текущая редакция GDPR не дает возможности однозначно утверждать, в каких конкретно случаях и в каком объеме представитель будет нести ответственность за нарушение требований Регламента.

Ввиду отсутствия практики, до последнего времени существовало два мнения касательно ответственности представителя за нарушение GDPR:

  • Первое основывалось на том, что цель штрафов — это наказание за правонарушение. Следовательно, если представитель не нарушил свои обязательства (а именно — контакт с государственными органами и физическими лицами, а также ведение реестра обработок) — он не должен нести какой-либо ответственности.
  • Второе мнение основывалось на дословном толковании декларативной нормы GDPR (recital 80), в которой предусмотрено, что в случае нарушения правил GDPR относительно представителя может быть открыто исполнительное производство.

EDPB разъяснил, что представитель должен нести ответственность в той же степени, что и нерезидент, которого он представляет. Следовательно, представитель — это ответственное лицо для целей GDPR.

Стоит отметить, что более ранняя версия GDPR прямо предусматривала ответственность представителя наравне с нерезидентом, которого он представляет. В конечной редакции GDPR эту норму смягчили по отношению к представителям и это давало основания полагать, что законодатель все же решил не наказывать представителей за “чужие” ошибки.

В конечном итоге, интерпретация EDPB ставит представителя под удар, в то время как GDPR не предоставляет ему достаточных прав и полномочий, при помощи которых он мог бы предотвратить негативные последствия в виде штрафов, хотя бы для себя.

А если не назначить представителя в ЕС?

За нарушение обязательства по назначению представителя предусмотрен штраф в размере до 10 миллионов евро или до 2% общемирового годового оборота за предыдущий финансовый год.

В соответствии с GDPR нерезидент обязан предусмотреть в Privacy Notice (например, в политике конфиденциальности на сайте) контактные данные своего представителя в ЕС. EDPB заявил, что если компания-нерезидент, которая обязана предоставить в Privacy Notice контактные данные своего представителя в ЕС, нарушает принцип прозрачности, предусмотренный GDPR, на нее может быть наложен штраф в размере до 20 миллионов евро или до 4% общемирового годового оборота за предыдущий финансовый год. Стоит отметить, что фактический размер штрафа за такое нарушение, вероятнее всего, будет далек от максимального размера.

Привлечение к ответственности без представителя в ЕС

Может показаться, что представитель в ЕС — это единственный способ привлечения компании-нерезидента к ответственности за нарушение требований GDPR.

Несмотря на то, что контролирующие органы стран ЕС действительно делают ставку на этот способ, существуют и другие методы борьбы с нарушителями. Не стоит забывать про возможность признания и исполнения решений иностранных судов в Украине, как и в любой другой стране мира.

Учитывая текущее политическое и правовое направление Украины, а также всемирный тренд на ужесточение правил в сфере защиты персональных данных, можно с большой долей уверенности утверждать, что решение компетентного органа страны ЕС о применении штрафа за нарушение GDPR будет признано и исполнено в Украине.

Сам GDPR в части ответственности лиц, которые находятся за пределами ЕС, не многословен. Предусмотрено, что Европейская Комиссия, а также национальные органы защиты персональных данных должны предпринять необходимые меры для развития международных механизмов кооперации в части исполнения законодательства по защите персональных данных. Этот подход звучит как “разберемся позже”.

В заключение стоит отметить, что роль представителя в ЕС противоречива. С одной стороны, GDPR называет представителя контактным лицом нерезидента и не наделяет его правами или полномочиями в части обработки персональных данных. С другой стороны, если потребуется, GDPR готов применить к нему штрафы за нарушения, которые представитель фактически не совершал. Такая роль “груши для битья”, очевидно, не стимулирует нерезидентов соблюдать данное требование.

Несмотря на противоречивую роль представителя, обязательство есть обязательство, и при соответствии критериям выше компании-нерезиденты все же обязаны назначить представителя в ЕС, ведь даже такое нарушение может повлечь за собой штраф в довольно крупных размерах.

Gdpr
Персональные Данные
Персональні Дані
Аурум
Data Protection

--

--

Illia Shenheliia
LawGeek by Aurum

Written by Illia Shenheliia

13 Followers
Writer for

Associate at Aurum law firm

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams