Datadiem — ваш представитель GDPR в ЕС Европейском Союзе.
Datadiem предоставляет представителя GDPR в службе ЕС в соответствии со статьей 27 GDPR. Чтобы связаться с нами и выполнить свои обязательства, требуется совсем немного времени.
Вы получаете выгоду от нашего опыта и наших инструментов без каких-либо обязательств по времени. Наша цель — поддержать вас в развитии вашего бизнеса и выходе на европейский рынок в соответствии с законодательством о защите персональных данных.
Почему стоит выбрать Datadiem в качестве представителя GDPR?
Вопросы и ответы, связанные с назначением представителя GDPR в ЕС?
Обязательно назначать представителя GDPR только в определенных случаях. Общий регламент по защите данных (GDPR) определяет общий принцип, в соответствии с которым компании, не присутствующие на территории Европейского Союза (прямо или косвенно, в частности, через дочернюю компанию, филиал, представительство или другую форму учреждения), и какие , с другой стороны, нацелены на отдельных лиц в Европейском Союзе (предлагая им товары или услуги) или которые следят за поведением последних, должны назначить представителя.
GDPR четко определяет объем миссии представителя GDPR в ЕС и его обязанности: представитель является контактным лицом для надзорных органов (CNIL во Франции), а также для заинтересованных лиц, желающих реализовать свои права, кроме того, он ведет учет всех операций по обработке персональных данных, осуществляемых на территории ЕС.
Вопрос об ответственности представителя GDPR, конечно, часто решается на основании Регламента, но важно помнить, что в других источниках указывается степень его ответственности. Помимо обязательств GDPR, представитель участвует в договорных отношениях со своим клиентом в форме мандата. Представительские услуги не ограничиваются простым заявлением в CNIL, объем миссии и обязанности должны быть указаны в письменном виде в мандате, чтобы разъяснить обязанности принципала (представителя) и его агента. (клиент).
Необходимо развеять повторяющуюся двусмысленность в отношении ответственности представителя GDPR: Представитель не призван играть роль брандмауэра для своего клиента, в случае нарушения, связанного с ответственностью клиента, последний не может систематически укрываться за мандатом представительства и ответственностью своего представителя.
«Назначение представителя […] не наносит ущерба судебным искам, которые могут быть предъявлены контролеру данных или самому обработчику».
Таким образом, в случае нарушения безопасности, связанного с ответственностью контроллера данных или субподрядчика, учрежденного за пределами ЕС, надзорный орган, такой как CNIL, сначала обратится к уполномоченному представителю, который берет на себя свою миссию в качестве контактного лица с орган власти. На втором этапе орган будет стремиться установить разделение любых обязанностей между принципалом и его агентом, в частности, в свете юридических обязательств представителя, а также обязательств, предусмотренных в мандате.
Соблюдение принципов прозрачности и взаимного сотрудничества между двумя сторонами будет учитываться при оценке ответственности каждой из сторон. Например, представитель имеет юридическое обязательство вести реестр деятельности своего клиента, однако, если CNIL обнаружит серьезное нарушение, такое как отсутствие листа обработки, который считается существенным в реестре, он расследует, является ли рассматриваемая обработка была явно доведена до сведения представителя или если эта деятельность по обработке была скрыта от него.
Что касается мандата представителя статьи 27 GDPR, рекомендуется включить следующую информацию: личность сторон и их возможности в качестве принципала или агента, если клиент выступает в качестве контроллера данных и/или субподрядчика, продолжительность мандата, информация, касающаяся объема миссии, и напоминание о юридических обязательствах представителя (контактный пункт для CNIL, контактный пункт для заинтересованных лиц, желающих воспользоваться своими правами, ведение реестра деятельности в соответствии с информацией, предоставленной клиентом ), вознаграждение за услугу представительства GDPR (см. ответ на вопрос «стоимость услуги представительства GDPR в Евросоюзе?»), напоминание о распределении ответственности сторон в случае возникновения спора, упоминание о общие условия службы Представителя.
Представитель GDPR не может быть DPO одного и того же лица, несовместимость оправдана наличием конфликта интересов между двумя функциями. С другой стороны, специалист по комплаенсу вполне может предложить услуги DPO, а также представителя GDPR для отдельных организаций, когда исключен любой риск конфликта интересов.
Стоимость услуг представителя GDPR для иностранной компании может учитывать несколько методов расчета: начальные расходы, такие как сборы за открытие файла, ежемесячные или ежегодные регулярные сборы за обозначение в CNIL, затем в зависимости от выполненных услуг (обслуживание реестра, ответ заинтересованным лицам и др.) вознаграждение (единовременно или по часовой ставке). С другой стороны, подверженность компании риску часто учитывается при расчете вознаграждения представителя. Критериями, используемыми для оценки этого риска, обычно являются размер компании (в зависимости от количества сотрудников, количества дочерних компаний, охваченных стран), тип обрабатываемых данных (наличие особо конфиденциальных категорий данных) в соответствии с сектором. деятельности (например, в отношении сектора здравоохранения), количество субъектов данных, которые могут воспользоваться своими правами.
Прежде всего, при выборе DPO вы должны убедиться, что ваш представитель GDPR является экспертом в области соблюдения GDPR. Его миссия подразумевает глубокое знание правил, он представляет вас перед надзорным органом и управляет запросами лиц, заинтересованных в вашей обработке. Таким образом, миссия представителя носит не просто административный характер, в случае проверки со стороны CNIL или даже спора ответы последнего часто оказываются решающими для хода и исхода процедур, инициированных против вашей компании. Также помните, что если ваш представитель не может одновременно быть вашим DPO, он все равно может дать вам ценный совет. Конечно, наличие представителя GDPR является важным критерием, как и в случае любого мандата, общение должно быть простым и быстрым. В том же духе необходимо обеспечить процедуры обмена информацией, например, убедиться, что листы обработки данных могут быть легко обновлены, что управление уведомлениями и запросами от заинтересованных лиц технически освоено. Представитель GDPR должен иметь возможность предоставить свой страховой сертификат, покрывающий его деятельность в качестве «представителя RGPD, статья 27 GDPR» (не только DPO). Этот список критериев выбора вашего представителя GDPR не является исчерпывающим.