Loading…
GDPR 第27条要求向欧盟境内人员提供商品或服务,或监测欧盟境内人员行为的非欧盟控制者和处理者,以书面形式指定一名代表,该代表须设立于这些数据主体所在的某一欧盟成员国。该代表是监管机构和数据主体的单一联系点。
有两项狭窄的豁免:(1)偶发性、低风险且不涉及特殊类别和刑事定罪数据的处理;(2)公共机关和机构。误解这些豁免是非欧盟企业所犯的代价最高的错误。
未能指定代表是第83条第(4)款项下的第4类违规行为——罚款高达1000万欧元或全球年营业额的2%,以较高者为准。自2021年以来,多个监管机构(CNIL、汉堡数据保护机构、西班牙AEPD)已积极开展执法。
GDPR 第27条第(1)款规定:
"在第3条第(2)款适用的情况下,控制者或处理者应以书面形式指定一名在欧盟境内的代表。"
这一短句创设了一项重大的运营义务。第3条第(2)款——域外适用范围条款——在处理涉及以下情形时适用:(a) 向欧盟境内数据主体提供商品或服务,或 (b) 监测数据主体在欧盟境内的行为。
因此,代表是非欧盟处理活动的一种结构性附属:欧盟境内的信箱、联系点和问责挂钩。他们处于您的非欧盟运营与欧盟27个国家监管机构之间。
如果您符合以下全部四项条件,则需要代表:
实践中有两点澄清至关重要:
第27条第(2)款规定了两项狭窄的豁免:
符合以下条件的处理可获豁免:(a) 偶发性,(b) 不大规模包含第9条项下的特殊类别数据或第10条项下的刑事定罪数据,以及 (c) 考虑到性质、情境、范围和目的,不太可能对自然人的权利和自由造成风险。
三项条件必须全部满足。EDPB 第3/2018号指南对"偶发性"的解释十分严格——其指一次性或零星的活动,绝非常规业务运营。持续追踪、定期分析或任何持续的数据流动很少符合条件。
公共机关和公共机构无须指定代表。该豁免对商业企业而言鲜少适用,但与外国政府机构、中央银行和国际组织相关。
第27条第(4)款界定了代表的角色:
"代表应受控制者或处理者的委托,在控制者或处理者之外或代替其,特别是就与处理相关的一切事项接受监管机构和数据主体的联系,以确保遵守本法规。"
至关重要的是,代表并非DPO的替代。这两个角色可由不同方担任,且DPO义务(第37条)由不同标准触发。
第27条第(3)款要求代表设立于正在处理其个人数据的数据主体所在的某一成员国。实践中您有一定灵活性:如果您的欧盟用户分布在多个成员国,您可以选择其监管机构最契合您运营模式的那一个。
常见选择:爱尔兰(英语国家,对科技友好)、德国(需协调的监管机构较多但严格)、荷兰(监管机构英语流利)、法国(CNIL 执法声誉强劲)以及西班牙(AEPD 执法活跃)。
具体做法:
代表的身份和联系方式必须告知数据主体(第13条第(1)款(a)项和第14条第(1)款(a)项)。具体而言,这意味着将代表的姓名、邮政地址和联系电子邮件纳入:
未能公布代表本身即构成对透明度义务(第12条)的违反,须依据第83条第(4)款承担较低层级的罚款。
第27条第(5)款明确无误:指定代表不影响可针对控制者或处理者本身提起的法律诉讼。代表不对控制者的根本性违规承担责任。
然而,代表可能因其自身义务而受到执法行动——提供记录、与监管机构合作以及保持可联系。未能履行其受托职能的代表,将面临被任命控制者中止聘用以及在代表服务市场中声誉受损的风险。
未能指定代表是对第27条本身的违反——是GDPR第83条第(4)款项下的第4类违规行为。适用的罚款上限为:
自2021年以来执法持续稳定。值得关注的案例包括CNIL对美国广告技术公司采取的行动、汉堡对外国分析提供商的调查,以及AEPD对国际广告网络作出的裁定。即便代表的缺失并非罚款的唯一依据,它也往往预示着更广泛的合规缺口,从而加重处罚。
UK GDPR 第27条镜像了欧盟义务,但适用于面向英国境内个人的非英国控制者和处理者。自2021年1月1日起,欧盟代表和英国代表是各自独立的角色——如果您同时面向二者,则两者都需要。
运营提示:许多企业任命一家通过协调一致的法律载体同时提供欧盟和英国代表服务的代表提供商,从而避免在违规报告、ICO/EDPB 沟通以及数据主体咨询方面的流程重复。
不能。代表必须设立于欧盟/欧洲经济区。瑞士(尽管其FADP具有等效性)就此而言处于欧洲经济区之外。冰岛、列支敦士登和挪威符合条件。
原则上,在您开始适用范围内的处理之前。实践中,监管机构将该任命视为须在对欧盟数据主体进行实质性处理之前到位。追溯性任命不能作为对过往不合规的抗辩。
只有在该实体满足第37–39条的独立性和专业知识要求时方可。大多数专门的代表提供商通过各自独立的团队将两者作为独立服务提供,以避免冲突。
您必须指定替代者并及时更新已公布的告知。在持续处理欧盟数据主体期间出现代表覆盖缺口即构成违规。
不需要。一名代表即覆盖所有欧盟/欧洲经济区的处理活动。代表设立于一个成员国;选择哪个成员国取决于您的数据主体主要所在之处。
其本身不会——CDN提供商在其自身义务下属于处理者。问题在于您的根本业务活动是否定向或监测欧盟用户。大多数情况下是的。
RegulatoryBridge 在全部27个欧盟成员国提供第27条欧盟代表和英国代表服务。单一联系点、多语言支持、透明的固定定价、全面的监管机构覆盖。