Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Przedstawiciel podmiotu zagranicznego w UE

18/07/2019

Rodo, Legalność Przetwarzania Danych Osbowych, Przetwarzanie Danych Przez Podmioty Spoza Ue,

RODO obowiązuje nie tylko unijnych przedsiębiorców ale również podmioty zagraniczne nie posiadające w Unii Europejskiej jednostki organizacyjnej. Kto w tym przypadku reprezentuję te podmioty w UE w zakresie ich obowiązków wynikających z RODO?


Zgodnie z ust. 1 art. 27 RODO,  gdy administrator lub podmiot przetwarzający, niemający jednostki organizacyjnej w Unii przetwarza dane osób prywatnych w związku z oferowaniem tym osobom  towarów lub usług albo monitorowaniem ich zachowania na terenie Unii, powinien on wyznaczyć swojego przedstawiciela w Unii.

 

Obowiązek ten nie ma zastosowania dla organów lub podmiotów publicznych.

Dla podmiotów z sektora prywatnego obowiązek ten nie ma zastosowania wówczas, kiedy łącznie zachodzą następujące  przesłanki:

  • przetwarzanie ma charakter sporadyczny i
  • nie obejmuje przetwarzania na dużą skalę szczególnych kategorii danych osobowych oraz
  • przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych i
  • jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych. 

 

Administrator lub podmiot przetwarzający wyznacza swojego przedstawiciela  w wyraźny sposób za pomocą pisemnego upoważnienia do podejmowania działań  w jego imieniu w zakresie spełnienia obowiązków nałożonych na te podmioty  przepisami  rozporządzenia.

 

Przedstawicielem może być zarówno osoba fizyczna mająca miejsce zamieszkania na terenie UE jak i osoba prawna mająca siedzibę na terenie UE.  Istotne jest, aby przedstawiciel miał siedzibę w państwie członkowskim, w którym przebywają osoby, których dane są przetwarzane.

 

Reprezentując te podmioty  przedstawiciel przede wszystkim pełni rolę punktu kontaktowego dla organu nadzorczego oraz ułatwia komunikację pomiędzy osobami, których dane dotyczą a administratorem lub podmiotem przetwarzającym tak, by mogły one korzystać ze swoich praw związanych z przetwarzaniem danych.

 

Ponadto w motywie 80 Preambuły wskazano, że przedstawiciel powinien wykonywać swoje zadania zgodnie z upoważnieniem otrzymanym od administratora lub podmiotu przetwarzającego, w tym współpracować z właściwymi organami nadzorczymi w odniesieniu do wszelkich działań służących zapewnieniu przestrzegania RODO. W razie jego nieprzestrzegania przez administratora lub podmiot przetwarzający wyznaczony przedstawiciel powinien zostać poddany działaniom egzekucyjnym.

 

Przedstawiciel administratora ma również obowiązek prowadzić rejestr czynności przetwarzania danych osobowych (ust. 1  art. 30 RODO). Przedstawiciel podmiotu prowadzającego także jest zobowiązany do  prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (ust. 2  art. 30 RODO).

 

W przypadku wyznaczenia swojego przedstawiciela administrator danych jest zobowiązany do  przekazania w obowiązku skierowanym do osób, których dane dotyczą informacji o powołaniu przedstawiciela oraz wskazać jego tożsamość i dane kontaktowe.

 

Brak powołania przez administratora lub podmiot przetwarzający swojego przedstawiciela, może skutkować nałożeniem kary pieniężnej   do 10 000 000 euro, a w przypadku przedsiębiorstwa –  do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

 

Przepis ust. 5 art. 27 RODO wskazuje, że wyznaczenie przedstawiciela przez administratora lub podmiot przetwarzający pozostaje bez uszczerbku dla postępowań, które mogą zostać wszczęte przeciwko samemu administratorowi lub podmiotowi przetwarzającemu. Oznacza to, że jeżeli przedstawiciel nie wypełnia swoich obowiązków, to fakt jego wyznaczenia nie zwalnia  z tych obowiązków oraz z związanej z nimi odpowiedzialności ani administratora ani podmiotu przetwarzającego.

 

Podsumowując, przedstawiciel reprezentuje administratora lub podmiot przetwarzający w zakresie ich obowiązków wynikających z RODO, m.in. takich, jak przetwarzanie danych zgodnie z określonymi w art. 5 ROD zasadami oraz na jednej z podstaw określonych w art.6, 9 RODO; zgłaszanie organowi nadzorczemu naruszenia ochrony danych (art. 33); przeprowadzenie analizy obowiązku powołania inspektora ochrony danych  i powołanie go w  określonych w art. 37.  RODO przypadkach (patrz: „Wyznaczenie inspektora ochrony danych przez podmiot spoza Unii Europejskiej”) 

 

 

 

Olga Sklyarova, specjalista ds. ochrony danych osobowych, audytor JDS Consulting

 

Rodo, Legalność Przetwarzania Danych Osbowych, Przetwarzanie Danych Przez Podmioty Spoza Ue,
Używanie adresu byłego pracownika
Używanie adresu byłego pracownika
Monitorowanie poczty elektronicznej pracowników. Wskazówki  Fińskiego organu nadzorczego.
Monitorowanie poczty elektronicznej pracowników. Wskazówki Fińskiego organu nadzorczego.
Czy kserowanie dowodu osobistego jest zgodne z prawem?
Czy kserowanie dowodu osobistego jest zgodne z prawem?