Чи має ФОП, що надає сервіс в ЄС, призначати представника за ст. 27 GDPR?

Доброго дня. Я — ФОП (єдиний податок, 3 група, Україна), розробляю iOS-застосунок для особистих фінансів, який орієнтований на резидентів ЄС та України. Застосунок підключається до банківських рахунків через PSD2/AISP-ліцензію (тільки читання, без ініціювання платежів) і зберігає персональні дані виключно на серверах у Франкфурті (ЄС). Застосунок ще не запущений — наразі на стадії TestFlight.

Питання стосується статті 27 GDPR (призначення представника в ЄС).

Наскільки я розумію, ст. 27 GDPR вимагає від контролерів, які не мають юридичної присутності в ЄС, але пропонують товари/послуги суб'єктам даних у ЄС, призначити офіційного представника в ЄС — якщо обробка не є «випадковою» або не становить низький ризик для прав осіб.

Моя ситуація:

• Контролер даних: ФОП (Україна), без юридичної особи в ЄС • Цільова аудиторія: резиденти ЄС (Польща, інші країни EEA) • Дані: банківські транзакції, баланси рахунків — чутливі фінансові дані • Масштаб: старт — кілька сотень користувачів, мета — тисячі • Сховище: виключно ЄС (Frankfurt / eu-central-1) • Обробка: систематична (синхронізація рахунків за розкладом), не разова

Запитання:

1. Чи зобов'язаний ФОП, що надає такий сервіс резидентам ЄС, призначати представника за ст. 27 GDPR?
2. Чи є винятки для малого бізнесу або стартапу на ранній стадії?
3. Якщо представник потрібен — які найдешевші легальні варіанти (DataRep, Osano тощо — від ~€25/міс)? Чи достатньо такого сервісу для дотримання вимог?

Дякую.