Kiedy administrator lub podmiot przetwarzający muszą wyznaczyć swojego przedstawiciela?
31.12.2018
Autor: Joanna Peryt
Zgodnie z art. 3 ust. 2 RODO administratorzy danych i podmioty przetwarzające, którzy nie posiadają swojej siedziby na terenie Unii Europejskiej, ale przetwarzają dane osób przebywających na terenie Unii w związku z oferowaniem im towarów lub usług lub monitorowaniem ich zachowania, zobowiązani są do wyznaczenia swojego przedstawiciela.
Obowiązek ten nie ma zastosowania wówczas, kiedy przetwarzanie danych przez administratorów i podmioty przetwarzające:
Zgodnie z definicją przedstawicielem może być osoba fizyczna lub prawna, która ma miejsce zamieszkania lub siedzibę w Unii, i która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z rozporządzenia. Wybór właściwego przedstawiciela powinien być uzależniony od charakteru przetwarzania oraz wielkości administratora lub podmiotu przetwarzającego. Istotne jest, aby przedstawiciel miał siedzibę w państwie członkowskim, w którym przebywają osoby, których dane są przetwarzane.
Przedstawiciel działa w imieniu administratora lub podmiotu przetwarzającego i pełni rolę punktu kontaktowego dla organu nadzorczego oraz dla osób, których dane dotyczą w związku z realizacją ich żądań. Należy podkreślić, że wyznaczenie przedstawiciela nie zwalnia powyższych podmiotów z wywiązywania się z obowiązków, jakie nakłada na nich RODO, np. z odpowiedzialności za naruszenia, która spoczywa zarówno na administratorze, jak i podmiocie przetwarzającym. Na przedstawiciela również mogą zostać nałożone sankcje zgodnie z art. 84 ust. 1 RODO.
Ponadto w motywie 80 Preambuły wskazano, że przedstawiciel wykonuje swoje zadania na podstawie pisemnego upoważnienia nadanego mu przez administratora danych lub podmiot przetwarzający i działa tylko zgodnie z tym upoważnieniem. W przypadku kiedy przedstawiciel nie przestrzega zapisów upoważnienia może zostać poddany działaniom egzekucyjnym, mimo że w samym rozporządzeniu nie są przewidziane dla przedstawiciela żadne sankcje z tego tytułu.
Informacja o powołaniu przedstawiciela musi zostać przekazana w obowiązku informacyjnym skierowanym do osób, których dane dotyczą, i należy wskazać w nim jego tożsamość i dane kontaktowe.
Brak powołania przez administratora lub podmiot przetwarzający swojego przedstawiciela, jeśli zachodzą ku temu przesłanki, może prowadzić do zastosowania środków, o których jest mowa w art. 77 – 78 oraz może skutkować nałożeniem kary pieniężnej zgodnie z art. 83 ust. 4 lit. a) RODO.
Autor
Joanna Peryt
Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych w prawie pracy. Przez kilkanaście lat zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełniła rolę Inspektora ochrony danych dla wielu klientów Audytela.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!