Kara za niewyznaczenie Reprezentanta EU lub UK
525 000 EUR., tj około 635 000 USD kary dla kanadyjskiej firmy
Zgodnie z art. 27 GDPR / UK GDPR, firmy, które nie mają siedziby w UE/UK, a przetwarzają dane osobowe w związku z monitorowaniem zachowania lub w związku z oferowaniem towarów lub usług bezpośrednio osobom, których dane dotyczą – w UE/UK mają obowiązek wyznaczenia – na piśmie – reprezentanta EU lub UK – i opublikowania jego danych kontaktowych.
Nie ma przy tym znaczenia, czy firma pobiera opłaty za takie towary czy usługi, czy też nie (np. osoba, która prowadzi bloga).
Wyznaczenie „przedstawiciela” to prosta rzecz, ale dla wielu firm mających siedzibę daleko poza Europą, spadło to na dalszy plan lub po prostu zostało przeoczone. Jednak niedawna decyzja holenderskiego organu ochrony danych oznacza, że nie można już odkładać tego obowiązku.
Władze holenderskie nałożyły grzywnę na firmę zlokalizowaną poza UE, Locatefamily.com, w wysokości ponad pół miliona euro (tj. 525 000 EUR; około 635 000 USD) za niewyznaczenie przedstawiciela UE.
Ale organ holenderski poszedł jeszcze dalej: powiedział, że kanadyjska firma ma czas do 18 marca 2021 r. na wyznaczenie przedstawiciela, w przeciwnym razie musi zapłacić 20 000 EUR (25 000 USD) za każde dwa tygodnie naruszenia tego wymogu, maksymalnie do 120 000 EUR (145 000 USD). Wynik?
Tylko w przypadku tej jednej firmy, pozornie mającej siedzibę w Kanadzie, łączna grzywna może wynieść oszałamiającą kwotę 645 000 EUR (785 000 USD).
Firma, której dotyczyło postępowanie publikuje adresy i numery telefonów milionów ludzi na całym świecie — często bez ich wiedzy. „LocateFamily.com” podaje na swojej stronie internetowej, że nie znajduje się ona w Unii Europejskiej i nie ma relacji biznesowych w UE”.
Być może nawet tak jest, jednakże przetwarzając dane osobowe osób przebywających się na terenie EU zobowiązują ją do respektowania prawa RODO i dlatego ten rodzaj działalności musi wyznaczyć przedstawiciela UE.
Organy regulacyjne ds. ochrony danych na całym świecie współpracują ze sobą w takich sprawach. W tym przypadku holenderski organ regulacyjny współpracował w swoim dochodzeniu z dziewięcioma innymi unijnymi organami ochrony danych oraz Biurem Komisarza ds. Prywatności Kanady.
Jak stwierdził po zbadaniu sprawy holenderski organ, konsekwencje braku przedstawiciela są jasne: utrudnia to osobom z EU żądać usunięcia swoich danych, dostępu do nich lub realizacji innych praw wynikających z europejskiego prawa ponieważ Locatefamily nie ma przedstawiciela w UE. Brak przedstawiciela w UE jest tu naruszeniem prawa do prywatności i bezpośrednim powodem nałożenia kary.
Reprezentanta EU do spraw ochrony danych osobowych muszą więc wyznaczyć wszystkie firmy, które przetwarzają dane osobowe obywateli i rezydentów państw unijnych i nie mają swojej siedziby na terenie EU.
Adekwatny wymóg wyznaczenia Reprezentanta dotyczy to również Wielkiej Brytanii. Prawo to obowiązuje każdy podmiot, który nie ma siedziby w UK a przetwarza dane osobowe brytyjskich obywateli i rezydentów wysp, choćby nawet nie robił tego w celach zarobkowych.
Firmy mogą być zwolnione z obowiązku wynikającego z art. 27 jeśli ich przetwarzanie jest:
- sporadyczne,
- nie obejmuje na dużą skalę przetwarzania szczególnych kategorii danych
- i jest mało prawdopodobne, aby spowodowało naruszenie prywatności.
Firmy powinny dowieść swojego zwolnienia od obowiązku ustanowienia Reprezentanta EU/UK, np. poprzez dokument poudytowy.
Jak pokazuje dochodzenie w sprawie kanadyjskiej firmy – bezczynność w tej sprawie może okazać się kosztowna.
Jeśli chciałbyś powierzyć nam funkcję Reprezentanta EU lub Reprezentanta UK Twojej firmy – oto co w ramach tej usługi będziemy wykonywać:
- powiadamiać Cię o wszelkich zmianach prawnych w tematyce GDPR / UK GDPR,
- prowadzić rejestr czynności przetwarzania (“Record of processing activities“) zgodnie z wymogami art. 30 GDPR,
- udzielać nielimitowanych porad online i telefonicznie,
- reprezentować Cię wobec UODO lub ICO (w tym w postępowaniu w sprawie naruszeń) oraz podmiotów danych osobowych (Data Subject Access Request).
Kliknij w przycisk EU/UK Reprezentant – aby poznać szczegóły naszej oferty
