Art. 27 DSGVO sieht vor, dass Unternehmen einen Vertreter in der EU bestimmen, wenn die Unternehmen nicht in der EU niedergelassenen sind. Ähnlich gibt Art. 27 der UK General Data Protection Regulation vor, dass Unternehmen einen Vertreter innerhalb der UK ernennen müssen, wenn das Unternehmen nicht in der UK niedergelassen ist, aber Dienstleitungen oder Waren in der UK anbietet. Der Vertreter muss einen Sitz im Vereinigten Königreich haben und ist eine Anlaufstelle für Betroffenenanfragen sowie Anfragen der Aufsichtsbehörde. Die Vertretung kann durch eine natürliche Person, ein Unternehmen oder eine Organisation erfolgen ohne bestimmte fachliche Qualifikationen besitzen zu müssen. Allerdings sollten die Vertreter ein Grundverständnis des UK Datenschutzrechts und Anforderungen der Informationssicherheit besitzen. Die Haftung liegt laut Art. 27 Abs. 5 UK GDPR noch immer beim Verantwortlichen oder Auftragsverarbeiter und der Vertreter haftet nur, wenn er die Vereinbarung mit dem Verantwortlichen oder Auftragsverarbeiter nicht einhält. Die Pflicht einen UK-vertreter zu ernennen besteht seit dem Brexit und sollte somit so schnell wie möglich von allen Unternehmen, die Daten in oder aus der UK verarbeiten, umgesetzt werden.
