Faites notre test d'évaluation pour savoir si vous devez nommer un délégué à la protection des données.
L'Article 27 du RGPD stipule que les entreprises situées en dehors de l'UE doivent désigner un représentant pour la protection des données (sauf si certaines exceptions limitées s'appliquent).
Découvrez si vous devez désigner un représentant de l'UE et/ou du Royaume-Uni en remplissant le test d'évaluation ci-dessous.
1. Lorsque l'article 3, paragraphe 2, s'applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l'Union.
2. L'obligation prévue au paragraphe 1 du présent article ne s'applique pas :
a) un traitement qui est occasionnel, qui n'implique pas un traitement à grande échelle des catégories particulières de données visées à l'article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10, et qui n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou
b) une autorité ou un organisme public.
3. Le représentant est établi dans l'un des États membres où se trouvent les personnes concernées dont les données à caractère personnel sont traitées en relation avec l'offre de biens ou de services qui leur est faite, ou dont le comportement est surveillé.
4. Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être saisi, en plus ou à la place du responsable du traitement ou du sous-traitant, notamment par les autorités de contrôle et les personnes concernées, de toutes les questions relatives au traitement, afin d'assurer le respect du présent règlement.
5. La désignation d'un représentant par le responsable du traitement ou le sous-traitant est sans préjudice des actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même
Le RGPD ne s'applique pas aux entreprises non européennes si elles sont une autorité ou un organisme public ou si les conditions cumulatives suivantes sont remplies :
(i) la société ne traite qu'occasionnellement les données à caractère personnel de personnes dans l'UE
ii) le traitement ne comprend pas le traitement à grande échelle de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations et infractions pénales et
iii) la nature, le contexte, la portée et la finalité du traitement ne risquent pas de présenter un risque pour les droits et libertés.