Data Protection Representative

De Data Protection Representative (DPR) onder de AVG

Vaak zijn verplichtingen uit de AVG van toepassing op niet-EU-ondernemingen. Met name geldt dit voor ondernemingen die:

• Goederen of diensten aanbieden (zelfs kosteloos) aan betrokkenen in de EU
• Het gedrag van betrokkenen monitoren terwijl zij zich in de EU bevinden

Op grond van artikel 27 AVG moeten deze ondernemingen, wanneer zij geen vestiging in de Europese Unie hebben, een Data Protection Representative (DPR) in de EU aanwijzen.

Taken van de Data Protection Representative

Een Data Protection Representative in de EU fungeert als lokaal aanspreekpunt van uw organisatie voor betrokkenen en toezichthoudende autoriteiten (Data Protection Authorities, DPA’s). De DPR draagt bij aan een betrouwbare en conforme relatie tussen uw organisatie en de Europese gegevensbeschermingsregelgeving en toezichthouders.

Meer specifiek ondersteunt een DPR een niet-EU-onderneming door:

• Samenwerking met toezichthoudende autoriteiten (bijvoorbeeld het doorzenden van een door de verwerkingsverantwoordelijke uitgevoerde datalekbeoordeling en/of -melding aan de bevoegde toezichthouder)
• Het ontvangen van verzoeken en vragen van betrokkenen
• Het bijhouden van het register van verwerkingsactiviteiten (RoPA – Record of Processing Activities)

Het niet aanwijzen van een vertegenwoordiger kan leiden tot aanzienlijke aansprakelijkheid voor de verwerkingsverantwoordelijke, aangezien dit een schending vormt van de verplichtingen onder de AVG. Dit kan resulteren in hoge bestuurlijke boetes. In 2021 legde de Nederlandse Autoriteit Persoonsgegevens een boete van € 525.000 op aan een Canadese onderneming wegens het niet aanwijzen van een DPR.

Moet u een DPR of een FG aanstellen?

Een DPR is geen Functionaris voor Gegevensbescherming (FG/DPO).

Een DPR fungeert als lokaal aanspreekpunt en treedt op als intermediair voor communicatie, terwijl een FG toezicht houdt op de naleving van de AVG binnen de organisatie.

Met andere woorden:
Een FG heeft een actieve informerende en adviserende rol, terwijl een DPR meer functioneert als een lokaal aanspreekpunt en doorgeefluik voor correspondentie.

Indien u tevens behoefte heeft aan bredere AVG-complianceondersteuning die verder gaat dan de taken van een DPR, dan is het raadzaam om onze FG-as-a-Service dienstverlening te overwegen.

Enkele praktische voorbeelden van een DPR-verplichting

Hieronder volgt een niet-uitputtende lijst van ondernemingen zonder vestiging in de EU die een DPR in de EU moeten aanwijzen:

• Een Amerikaanse sponsor die klinische studies uitvoert in Europa en EU-ingezetenen monitort die deelnemen aan klinisch onderzoek
• Een Amerikaanse onderneming die producten verkoopt of goederen of diensten aanbiedt aan betrokkenen die zich in de EU bevinden
• Een Canadees online platform dat gebruikers in staat stelt kosteloos contactgegevens van familieleden, voormalige klasgenoten of vrienden te achterhalen, omdat de onderneming gratis diensten aanbiedt aan betrokkenen in de EU

Data Protection Representative in het VK?

Na de Brexit voorziet de UK AVG in een equivalent van wat voorheen de EU-vertegenwoordiger was. Net als onder de AVG bepaalt de UK AVG dat indien u persoonsgegevens van betrokkenen in het Verenigd Koninkrijk verwerkt, u een DPR moet aanwijzen. De UK DPR mag echter buiten het VK gevestigd zijn.

De taken van een UK DPR zijn:

• Samenwerking met de Information Commissioner’s Office (ICO), de Britse toezichthouder
• Het ontvangen van verzoeken van betrokkenen in het VK
• Het bijhouden van het register van verwerkingsactiviteiten (RoPA)

Hoe wijst u een DPR aan?

Uw DPR moet schriftelijk worden aangewezen. Een informele schriftelijke verklaring volstaat.

Wij kunnen voor uw organisatie de rol van DPR vervullen, ongeacht uw sector, zowel voor de EU als voor het VK.

Indien u geïnteresseerd bent of meer informatie wenst, vult u dan het onderstaande formulier in of stuurt u een e-mail naarinfo@dpoconsultancy.nl.