GDPR. Назначение представителя в Европейском Союзе
08 августа 2019
Больше года прошло с момента вступления в силу Регламента (ЕС) № 2016/679 Европейского парламента и Совета ЕС от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС, — более известного как Общий pегламент по защите данных (General Data Protection Regulation), или просто GDPR. Но как показала практика, несмотря на это, вопросов по применению данного документа российскими, да и не только российскими, компаниями не стало меньше.
Экстерриториальный характер действия GDPR накладывает на компании, деятельность которых связана с обработкой персональных данных субъектов персональных данных, находящихся на территории Европейского союза, обязанность соблюдать его требования.
Одним из таких требований является назначение своего представителя контролером или оператором (в терминологии GDPR), не зарегистрированным на территории ЕС.
В настоящей статье мы бы хотели раскрыть нюансы, связанные с назначением представителя в ЕС, рассказать, кто может быть представителем, и обратить внимание на предусмотренную GDPR ответственность за несоблюдение его требований.
При подготовке статьи учитывалась официальная позиция Европейского совета по защите данных (European Data Protection Board — EDPB).
Кто обязан назначить своего представителя в ЕС?
Контролер или оператор, не учрежденный в ЕС, но обрабатывающий персональные данные на территории ЕС путем предоставления товаров и услуг субъектам данных в ЕС или путем осуществления мониторинга их деятельности при условии, что деятельность осуществляется на территории ЕС, в соответствии с частью 1 статьи 27 GDPR обязаны посредством письменного предписания на выполнение деятельности от их имени в рамках возложенных GDPR обязанностей назначить своего представителя в ЕС.
Кто может не назначать представителя в ЕС?
Частью 2 статьи 27 GDPR предусмотрены 2 исключающих случая, когда часть 1 статьи 27 GDPR не применяется:
1. Обработка персональных данных носит случайный характер и не включает в себя масштабную обработку специальной категории данных (в значении части 1 статьи 9 GDPR) или масштабную обработку персональных данных, связанных с судимостями и уголовными преступлениями (в значении статьи 10 GDPR), и с учетом характера, особенностей, объема и целей обработки предположительно не приведет к риску для прав и свобод физических лиц.
При этом никаких разъяснений относительно того, что подразумевается под «масштабной обработкой», в самой статье 27 GDPR не приводится. Тем не менее, значение термина усматривается в пункте 91 преамбулы GDPR, который гласит, что в случае «масштабной обработки, целью которой является обработка значительного количества персональных данных на региональном, национальном и наднациональному уровне, и которая может повлиять на большое количество субъектов данных и привести к риску высокой степени, например, ввиду чувствительности данных», должна быть инициирована оценка воздействия на защиту данных (Data Protection Impact Assessment − DPIA).
Термин «масштабная обработка» также используется в Методических рекомендациях Рабочей группы по статье 29 о назначении лица, ответственного за защиту данных (далее − Методические рекомендации). В Методических рекомендациях говорится, что основными критериями для рассмотрения вопроса о том, относится ли обработка данных к «масштабной», являются: количество субъектов данных, объем персональных данных, продолжительность обработки, географические масштабы обработки. В качестве практических примеров того, что может включать в себя «масштабная обработка», приводится:
— обработка больницами данных о пациентах;
— обработка данных о поездках физических лиц, использующих городскую систему общественного транспорта;
— обработка оператором, специализирующимся на предоставлении таких услуг, в режиме реального времени геолокационных данных клиентов международной сети фастфуда в целях сбора статистических данных;
— обработка данных клиентов страховыми компаниями или банками;
— обработка поисковой системой персональных данных для поведенческой рекламы;
— обработка данных (содержание, трафик, местоположение) операторами сотовой связи и интернет-провайдерами.
2. Обработка персональных данных осуществляется государственным органом или учреждением.
Кто может быть представителем?
Представителем может быть как физическое, так и юридическое лицо, зарегистрированное в одном из государств — членов ЕС, в котором находятся субъекты данных, персональные данные которых обрабатываются.
При этом, по мнению EDPB, выраженному в Руководстве 3/2018, представитель контролера или оператора, не учрежденного в ЕС, не может быть одновременно лицом, ответственным за защиту данных (Data Protection Officer — DPO). Такая позиция EDPB основывается на требованиях пункта 97 преамбулы GDPR (DPO должен исполнять свои обязанности независимо) и части 3 статьи 38 GDPR («Контролер и оператор должны гарантировать, что DPO не получает иных указаний относительно выполнения его задач»).
В случаях, когда значительная часть субъектов данных, чьи персональные данные обрабатываются, находится в одном конкретном государстве — члене ЕС, EDPB рекомендует, чтобы представитель был назначен в этом же государстве. Однако представитель должен оставаться доступным для связи для субъектов персональных данных в государствах — членах ЕС, где он не назначен и где предлагаются услуги или товары или где осуществляется мониторинг поведения соответствующих субъектов.
EDPB подтвердил, что критерием для назначения представителя в ЕС является местоположение субъектов персональных данных, чьи персональные данные обрабатываются. Место обработки, даже если обработка осуществляется оператором, зарегистрированным в другом государстве — члене ЕС, не является важным фактором для определения места назначения представителя.
Обязанности контролера в связи с назначением представителя
В соответствии с пунктом «а» части 1 статьи 13 и пунктом «а» части 1 статьи 14 GDPR контролеры обязаны предоставлять информацию субъектам персональных данных о своих представителях в ЕС. EDPB рекомендует включать информацию о представителе в уведомление о конфиденциальности или предварительную информацию, предоставленную субъектам данных на момент сбора их данных.
Контролер, не учрежденный в ЕС, но подпадающий под действие части 2 статьи 3 GDPR и не выполнивший свою обязанность сообщить субъектам персональных данных, которые находятся в ЕС, о своем представителе, будет нарушать обязательства по прозрачности в соответствии с GDPR. Информация о представителе в ЕС должна быть легко доступна контролирующим органам, чтобы облегчить установление контакта с представителем для целей сотрудничества.
Обязанности представителя
Представитель обязан выполнять свои задачи в соответствии с письменным поручением контролера или оператора. При этом поручение в обязательном порядке должно предусматривать ведение представителем учета всей деятельности контролера или оператора, связанной с обработкой персональных данных (статья 30 GDPR), а также осуществлять взаимодействие с органом по защите данных по его запросам (статья 31 GDPR).
EDPB полагает, что ведение указанного учета является солидарной обязанностью и что контроллер или оператор, не учрежденный в ЕС, обязан предоставить своему представителю всю точную и актуальную информацию с тем, чтобы представитель мог вести и предоставлять по требованию записи по соответствующему учету.
Контролирующий орган может связаться с представителем по любому вопросу, касающемуся соблюдения контролером или оператором, учрежденным за пределами ЕС, своих обязанностей, и представитель должен быть в состоянии поспособствовать любому информационному или процедурному обмену между запрашивающим контролирующим органом и контроллером или оператором, учрежденным за пределами ЕС.
Кроме того, статья 27 GDPR требует, чтобы представитель был уполномочен быть контактным пунктом для запросов от субъектов данных. В случае необходимости представитель в ЕС должен быть в состоянии эффективно взаимодействовать с субъектами персональных данных и сотрудничать с соответствующими контролирующими органами. Это означает, что такое общение должно происходить на языке или языках, используемых контролирующими органами и соответствующими субъектами данных.
Ответственность представителя
Сам представитель не несет ответственности за соблюдение прав субъекта персональных данных, но он обязан содействовать обмену данными между субъектами персональных данных и представляемым им контролером или оператором, чтобы обеспечить реализацию прав соответствующих субъектов.
В случае несоответствия контролера или оператора требованиям GDPR в соответствии с пунктом 80 преамбулы GDPR в отношении представителя может быть открыто исполнительное производство.
Ответственность контролера/оператора
В соответствии с пунктом 80 преамбулы и частью 5 статьи 27 GDPR назначение представителя в ЕС не влияет на ответственность контролера или оператора в соответствии с Регламентом и не препятствует каким-либо образом процессуальным действиям, которые могут быть инициированы контролирующим органом против самого контролера или оператора.
За нарушение обязательства по назначению представителя предусмотрен штраф в размере до 10 млн евро, или до 2% общего годового оборота за предыдущий финансовый год в зависимости от того, какая сумма больше (пункт «а» части 4 статьи 83 GDPR).
За нарушение принципа прозрачности (об этом я писал выше), предусмотрен штраф в размере до 20 млн евро, или до 4% общего годового оборота за предыдущий финансовый год.