Как использовать данные клиентов из ЕС и не получить штраф
16 августа 2019
С 2018 года компании, которые используют данные жителей Евросоюза и при этом не зарегистрированы в ЕС, должны назначить представителя по вопросу персональных данных. Эксперт «БДО Юникон» рассказал, как соблюсти все требования
Кто обязан назначить своего представителя в ЕС?
Согласно Общему регламенту по защите данных (GDPR) организация обязана в письменном виде назначить своего представителя, если она не зарегистрирована в ЕС, но обрабатывает персональные данные на территории Евросоюза:
- предоставляет товары и услуги физическим лицам на территории ЕС,
- отслеживает деятельность субъектов персональных данных на территории ЕС.
Компании, которые с большой вероятностью попадают под действие GDPR:
- крупные банки,
- рекламные компании,
- турфирмы,
- компании ТЭК,
- авиа и Ж/Д перевозчики,
- платежные системы и онлайн-сервисы (интернет-магазины, социальные сети),
- компании, предлагающие товары и услуги в сфере информационных технологий.
Когда можно не назначать представителя в ЕС?
GDPR предусматривает два случая, когда организация может не предоставлять в ЕС своего представителя:
- персональные данные обрабатывает государственный орган или госучреждение,
- обработка персональных данных носит случайный и немасштабный характер, не касается данных о судимостях, уголовных преступлениях и не угрожает правам и свободам физических лиц.
Если обработка носит масштабный характер, компания обязана назначить представителя. Определить масштаб обработки помогут следующие критерии:
- количество субъектов, чьи персональные данные обрабатывают,
- объем персональных данных,
- продолжительность обработки,
- географические масштабы обработки.
Примеры масштабной обработки:
- больницы обрабатывают данные о пациентах,
- транспортные компании обрабатывают данные о поездках пассажиров на общественном транспорте,
- страховые компании и банки обрабатывают данные своих клиентов,
- поисковые системы обрабатывают данные для таргетирования рекламы,
- операторы сотовой связи и интернет-провайдеры обрабатывают данные о потреблении.
Кто может быть представителем?
Представителем может быть физическое или юридическое лицо, зарегистрированное в одном из государств — членов ЕС. Если большинство субъектов, чьи персональные данные обрабатывает компания, живут в одной стране Евросоюза, представитель должен быть зарегистрирован там же. При этом он должен быть доступен для связи из других стран, где живут те, чьи данные обрабатываются.
Также, согласно GDPR, один человек не может одновременно занимать должность представителя и должность ответственного за защиту данных (Data Protection Officer — DPO).
Обязанности организации
1. Компании обязаны рассказать о своих представителях. Европейский орган по защите данных рекомендует включать эту информацию в уведомление о конфиденциальности, которое клиент получает в момент сбора его данных. Информация о представителе в ЕС также должна быть доступна контролирующим органам.
2. Организация должна предоставить своему представителю точную и актуальную информацию о своих действиях по обработке персональных данных, чтобы он мог отслеживать и фиксировать их.
Обязанности представителя
1. Представитель обязан вести учет всех действий организации по обработке персональных данных и отвечать на запросы органа по защите данных.
2. Представитель должен быть посредником между компанией и теми, чьи данные обрабатываются. Когда возникают вопросы относительно обработки персональных данных, его задача — оперативно предоставлять всю необходимую информацию по запросу субъектов персональных данных или контролирующих органов. Европейский орган по защите данных рекомендует, чтобы представитель общался на языке тех, кто к нему обращается.
Ответственность организации
Против компаний, которые не назначат представителя, предусмотрен штраф в размере до €10 млн или до 2% общего годового оборота за предыдущий финансовый год, в зависимости от того, какая сумма больше. При этом важно понимать, что назначение представителя в ЕС не отменяет и не смягчает другие требования GDPR.
Организация, которая не сообщила о своем представителе, нарушает обязательство по прозрачности и рискует получить штраф в размере до €20 млн или до 4% общего годового оборота за предыдущий финансовый год.
Ответственность представителя
Представитель, который не выполняет функцию посредника, не помогает реализовывать права субъектов персональных данных, не предоставляет необходимую информацию по требованию контролирующих органов и не ведет учет деятельности компании по обработке персональных данных, может быть привлечен к административной ответственности.
Подробнее о требованиях GDPR и назначении представителя в ЕС читайте в обзоре экспертов БДО Юникон по ссылке.
СМИ — РБК Pro