EU(EEA)に拠点が存在しないが、EU所在者の個人データを扱っている場合には、GDPR27条に基づいてEU代理人(EU Representative)を選任する義務があります。
EU代理人はEU在住者が務める必要があります。
この3章の主たる読者である中小企業の皆様の中には、この要件に当てはまる企業多いのではないでしょうか?
また大企業で欧州に拠点があっても、ある業務に関しては全て日本で処理の目的と手段を決定し、当該事業に欧州拠点が一切関係していないというような場合にはEU代理人を選任する必要があります。
その際に、欧州拠点のどなたかにEU代理人を務めてもらえればよいのですが、特に欧州拠点が全く別の事業で買収した会社だったりすると、そのような協力を得ることが自体が非常に難しいということがあろうかと思います。
そのような場合はEU代理人サービスを利用することになります。
EU代理人は文字通り、皆様の企業の代理人となって監督機関やデータ主体とのコミュニケーションを行う人になります。
対応を間違えると、監督機関へデータ主体から不服申し立てを受けたり、監督機関が本気で調査を行うことになります。
安かろう悪かろうのサービスが横行しているので、EU代理人サービスの選定は慎重に行ってください。
選定のポイントは30条処理記録の理解をどれだけ本気でEU代理人が行おうとしているかで分かります。
EU代理人は監督機関からの矢面に立たされるので、きちんとしたサービスを提供しているEU代理人はしっかりと処理内容を確認してきます。
尚、IIJでは、EU代理人の選任およびお客様との日本語でのコミュニケーションをお手伝いするEU代理人サービスを提供しています。
詳細はこちら
