根据 GDPR 第 27 条,非欧盟公司如果向欧盟公民销售产品或监控他们,则必须指定一名欧盟代表……
“代表应设立在数据主体所在的成员国之一,向其提供商品或服务的个人数据将被处理,或其行为将被监控。”
同样,根据英国法律,
如果一家没有英国代表的公司向英国客户销售产品或对其进行监控,则必须任命一名英国代表。
更为棘手的是,那些在英国或欧盟均未设 手机号码数据 立办事处的企业将不得不同时任命两名代表。这类公司通常已在欧盟设立办事处。然而,除非该办事处在英国也有代表,否则现在需要找一名代表来担任这一职务。
总部位于英国、向欧盟国家客户销售产品、但没有欧盟办事处的公司必须任命一名欧盟代表,反之亦然。
由于英国脱欧的不确定性程度,
制定任何计划对英国企业来说都极其困难。
英国政府失去了此前在议会中占据的微弱多数,因此大选极有可能举行,但绝非板上钉钉。首相仍然坚持英国将于 10 月 31 日脱欧,无论是 法律诉讼费用 财务费用 否达成协议,同时继续坚称他更希望达成协议后脱欧。而各家报纸则坚持根据其倾向左翼或右翼的立场发表相互矛盾的报道。
因此,由于没有人真正清楚10月底可能发生的事情,且欧盟对再次延期的前景表示不屑,举行大选可能会推迟任何有目的的立法行动 — — 至少在我们接近英国脱欧的最后期限之前。
“最佳估计”总比没有计划好
英国和欧盟的数据隐私从业者向企业提出了各种准备行动。以下是国际隐私专业人员协会 (IAPP) 的 Tim Bell 为考虑任命英国或欧盟代表的公司提供的建议。
您能否与他们达成有条件的合同,这样,如果英 马来西亚号码 国不脱欧、在任何延长期内预约被推迟,或者欧盟和英国之间达成协议(“不脱欧,不收费”合同),就无需支付任何费用?
如果您目前没有代表,是否需要任命多位代表(英国和欧盟)?或者,您是否可以任命在两个司法管辖区都有机构的代表。
如果您已经有欧盟代表,他们是否在英国设有机构?如果有,英国代表职位是否会自动包含在其现有任命中。
任命欧盟代表通常需要考虑以下因素:
• 它们是否设立在控制者/处理者拥有最多数据主体的欧盟成员国(欧洲数据保护委员会指导说明 03/2018 第 4 节中规定的最佳实践期望)?
• 其他欧盟成员国的数据主体是否可以轻松联系到代表(指南中也有说明)?
• 该代表是否已经担任您的数据保护官(请注意,根据指导,由于角色之间可能存在利益冲突,因此不允许这样做)。
• 他们的响应速度如何,即他们是否有一个确认和转发收到的通信的服务级别,以确保您在一个月的时间表内拥有最多的剩余时间来响应请求。
• 他们是否已经保护自己免受被要求支付 GDPR 罚款和
针对其他客户的赔偿的风险,这是欧盟当局可以要求代表做的事情(如果他们的客户没有支付这些款项)?
在英国脱欧最终完成之前,很有可能还会经历更多曲折——不管怎样——任何企业能做的就是“做好准备,并期待最好的结果”。数据隐私小组是OneTrust 实施方面的专家——如果您想了解更多信息,请联系我们。