Czy firm spoza Unii Europejskiej nie dotyczy RODO?
RODO jest rozporządzeniem Unii Europejskiej. Jednak, jeżeli firma działająca w tzw. państwie trzecim chce przetwarzać dane obywateli z UE, również musi postępować zgodnie z regulacjami RODO.
Przedstawiciel w Unii Europejskiej
Ci przedsiębiorcy, którzy chcą w jakikolwiek sposób przetwarzać dane osobowe mieszkańców UE, a działają w państwach, gdzie zapisy RODO nie stanowią podstawy prawnej ( czyli w tzw. państwach trzecich) muszą ustanowić swojego przedstawiciela w Unii Europejskiej.
To jedno z rozwiązań polityki ochrony danych ustanowionej przez RODO.
Kto powinien ustanowić swojego przedstawiciela?
Zgodnie z art. 3 ust. 2 RODO swojego przedstawiciela powinien ustanowić administrator lub podmiot przetwarzający dane osobowe, nie mający jednostki organizacyjnej w Unii Europejskiej, który wykonuje następujące działania:
- przetwarza dane osobowe osób, które przebywają na terenie UE,
- przetwarzanie wiążą się z ofertą handlową przedstawianą osobom, których dane dotyczą (niezależnie od tego, czy wymaga się od tych osób zapłaty) lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
Kto jest zwolniony z obowiązku ustanowienia przedstawiciela?
Z takiego obowiązku zwolnione są podmioty, które:
- sporadycznie przetwarzają dane osobowe
- nie przetwarzają na dużą skalę danych osobowych szczególnie wrażliwych (dotyczących zdrowia, światopoglądu, seksualności) lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych
- przetwarzają dane tak, że jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele przetwarzanie powodowało to ryzyko naruszenia praw lub wolności osób fizycznych.
Kto może zostać przedstawicielem?
Przedstawicielem może być osoba fizyczna mieszkająca na terenie UE, jak również osoba prawna z siedzibą na terenie UE.
Jeden przedstawiciel może działać w imieniu kilku przedsiębiorstw. Nie trzeba go ustanawiać w każdym państwie UE, w którym są osoby, których dane dotyczą. Trzeba jednak zagwarantować możliwość kontaktu z przedstawicielem również tym osobom, które zamieszkują w innych państwach Unii niż przedstawiciel.
Firma może wybrać dowolny kraj UE, w którym ustanowi swojego przedstawiciela. Oczywiście najlepiej, żeby było to państwo, w którym znajdują się osoby, których dane są przetwarzane. Przedstawiciel powinien komunikować się z osobami, których dane dotyczą oraz organami nadzorczymi w ich języku.
Obowiązki przedstawiciela
Do obowiązków przedstawiciela należy:
- usprawnienie komunikacji pomiędzy osobami, których dane dotyczą a administratorem lub podmiotem przetwarzającym tak, by mogły one korzystać ze swoich praw związanych z przetwarzaniem danych
- współpraca z organami nadzorczymi
- prowadzenie rejestru czynności przetwarzania, na podstawie informacji dostarczanych przez administratora danych.
Jak ustanowić przedstawiciela?
Przedstawiciel dostaje od firmy, którą reprezentuje upoważnienia na piśmie, że dla ochrony danych osobowych, właśnie do niego (zamiast administratora danych lub podmiotu przetwarzającego) mają zwracać się:
- osoby, których dane dotyczą
- organy nadzorcze.
Informacji o ustanowieniu przedstawiciela nie trzeba zgłaszać do organu nadzorczego danego kraju. Taką informację, wraz z danymi kontaktowymi przedstawiciela trzeba umieścić w treści klauzuli informacyjnej.
Kara za brak wyznaczenia przedstawiciela
Jeżeli np. w Polsce kontrola UODO wykaże, ze firma z państwa trzeciego nie wyznaczyła swojego przedstawiciela (a była do tego zobowiązana), to kara może być naprawdę dotkliwa. Wynosi do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku.