Bent u een bedrijf of organisatie buiten de Europese Economische Ruimte (EER) en verwerkt u persoonsgegevens van personen binnen de EU? Dan is deze informatie voor u van cruciaal belang. Volgens de General Data Protection Regulation (GDPR) moet u mogelijk een vertegenwoordiger in de EU aanstellen, ook als uw organisatie geen fysieke aanwezigheid binnen de EU heeft.
Voor wie geldt deze verplichting?
Deze regel is van toepassing op verwerkingsverantwoordelijken en verwerkers die:
- buiten de Europese Unie of EER zijn gevestigd;
- kantoren, vestigingen of dochterondernemingen in de EU/EER hebben;
- of:
- goederen of diensten aanbieden aan personen in de EU (zelfs als deze gratis zijn); of
- gedrag van personen in de EU monitoren, bijvoorbeeld via tracking cookies, gedragsanalyse of profilering.
Kortom, als uw organisatie persoonsgegevens van EU-burgers verwerkt met commerciële of analytische doeleinden, dan moet u voldoen aan de EU GDPR en een EU GDPR representative aanstellen.
Wat houdt de aanstelling van een EU vertegenwoordiger in?
Als u onder deze bepaling valt, moet u een schriftelijke overeenkomst afsluiten met een GDPR representative in the EU zoals DPO Associates bv. Deze vertegenwoordiger treedt namens uw organisatie op tegenover:
- gegevensbeschermingsautoriteiten in de EU;
- betrokkenen (individuen wiens persoonsgegevens u verwerkt).
De vertegenwoordiger kan een persoon of een organisatie zijn (zoals een DPO-dienstverlener in de EU, een advocatenkantoor of privacy consultancy) en moet gevestigd zijn in een EU-lidstaat waar zich ten minste een deel van uw doelgroep bevindt.
Volgens Artikel 27 van de GDPR is deze aanstelling verplicht voor bedrijven zonder EU-vestiging of het hoofdkantoor buiten de EER hebben, die onder de GDPR vallen.
Wat zijn uw verplichtingen?
- Vertegenwoordiger aanstellen in een passende EU-lidstaat;
- Schriftelijke overeenkomst afsluiten waarin het mandaat van de vertegenwoordiger is vastgelegd;
- Contactgegevens van de vertegenwoordiger opnemen in uw privacyverklaring of in de informatie die u aan betrokkenen verstrekt;
- Deze informatie ook openbaar beschikbaar maken, bijv. via uw website;
- De aanstelling van een vertegenwoordiger ontslaat u niet van uw eigen verantwoordelijkheid of aansprakelijkheid onder de GDPR.
Voor verdere toelichting kunt u de officiële richtlijnen raadplegen van de European Data Protection Board (EDPB).
Voorbeeldsituatie
Voorbeeld
Een Canadees e-commercebedrijf verkoopt sportartikelen aan klanten in Duitsland, Frankrijk en Spanje. Het bedrijf heeft geen fysieke aanwezigheid in Europa, maar gebruikt Google Analytics om het gedrag van Europese bezoekers te volgen. Omdat het actief diensten aanbiedt aan EU-consumenten én hun gedrag monitort, moet het bedrijf een EU GDPR-representative aanstellen.
Het kiest ervoor een privacyconsultant in Duitsland aan te stellen als vertegenwoordiger. Deze consultant treedt op als contactpunt voor Duitse toezichthouders en consumenten. De contactgegevens worden opgenomen in de privacyverklaring op de website en zijn gemakkelijk terug te vinden via een de privacy verklaring.
Op zoek naar een GDPR EU representative?
Als u ondersteuning nodig heeft bij het aanstellen van een vertegenwoordiger of een DPO in de EU, dan bieden wij een volledige service aan. Neem contact met ons op om compliant te worden met de Europese privacywetgeving.
Meer lezen:
