Статья 27 Представители контролёров и обработчиков, не находящихся в ЕС

О чём эта статья

Статья 27 — обязанность контролёров вне ЕС назначать представителя в Союзе. Это критическое требование для всех, кто попадает под Art. 3(2).

27(1) — Обязанность

Если применяется Art. 3(2) (контролёр или обработчик вне ЕС обрабатывает данные субъектов в ЕС), контролёр или обработчик должен в письменной форме назначить представителя в Союзе.

27(2) — Исключения

Обязанность не применяется к:

(a) обработке, которая является случайной, не включает обработку особых категорий данных по Art. 9 или данных о судимостях по Art. 10 в большом масштабе, и маловероятно создаёт риск для прав и свобод субъектов;

(b) публичным органам.

27(3) — Расположение представителя

Представитель должен быть учреждён в одном из государств-членов, где находятся субъекты данных, чьи данные обрабатываются.

27(4) — Полномочия представителя

Представитель должен быть уполномочен контролёром или обработчиком быть адресатом для:

• надзорных органов и
• субъектов данных

по всем вопросам, касающимся обработки.

27(5) — Не освобождает от ответственности

Назначение представителя не освобождает контролёра или обработчика от ответственности.

Почему это важно для аудита

Art. 27 — мощный инструмент. Если американская компания обрабатывает ваши данные, она обязана иметь представителя в ЕС, к которому вы можете обратиться. Если представителя нет — это отдельное нарушение, отдельная статья для жалобы.

Кроме того, наличие представителя означает, что DPA в стране представителя имеет юрисдикцию. Аргумент «мы не можем достучаться до США» отпадает: достучаться нужно до представителя в Берлине, Дублине или Париже.