Ako vaša kompanija nema sedište u Republici Srbiji, a obrađuje podatke o ličnosti osoba koje žive ili borave u Srbiji, u mnogim slučajevima imate obavezu da imenujete „predstavnika za Srbiju“. To je lokalno fizičko ili pravno lice u Srbiji, pismeno ovlašćeno da vas zastupa u pitanjima zaštite podataka i kom se obraćaju Poverenik i lica na koja se podaci odnose.
Kada najčešće postoji obaveza imenovanja:
Nema obaveze ako ste organ vlasti ili ako je obrada povremena, ne obuhvata u velikoj meri posebne kategorije podataka / podatke o krivičnim osudama i verovatno neće prouzrokovati rizik po prava i slobode lica – uzimajući u obzir prirodu, okolnosti, obim i svrhe obrade.
Važna napomena – predstavništvo u Srbiji: Ako strano društvo ima registrovano predstavništvo preko kog stvarno i stabilno posluje u Srbiji, u praksi se smatra da u tom slučaju nema obavezu imenovanja posebnog predstavnika.
Predstavnik je vaš lokalni kontakt kome se Poverenik i lica na koja se podaci odnose mogu obratiti umesto ili pored vas po svim pitanjima zaštite podataka.
Njegova uloga je da obezbedi poštovanje Zakona o zaštiti podataka o ličnosti (ZZPL) u delu komunikacije, dostupnosti dokumentacije i saradnje sa organom nadzora.
Tipične obaveze predstavnika uključuju:
Ove dve funkcije imaju različitu svrhu. Predstavnik (Srbija) je kontakt-tačka u Srbiji za nadzorni organ i lica na koja se podaci odnose; postupa po ovlašćenju kompanije i ne donosi nezavisne odluke.
Obaveza imenovanja zavisi od eksteritorijalne primene i kriterijuma iz ZZPL (ponuda usluga/pratnja aktivnosti u Srbiji). DPO (Data Protection Officer / Lice za zaštitu podataka) je nezavisna funkcija unutar organizacije ili kao eksterni savetnik; prati usklađenost, savetuje o procenama uticaja, obučava zaposlene i sarađuje sa nadzornim organom.
Obaveza imenovanja DPO-a postoji u tipičnim slučajevima iz evropske prakse (npr. redovno i sistematsko praćenje u velikom obimu ili obrada posebnih kategorija u velikom obimu). Za razliku od DPO-a, predstavnik ne „monitoriše usklađenost“ već obezbeđuje dostupnost i komunikaciju u Srbiji.
Odgovorite „da“ ili „ne“ na sledeće tvrdnje:
Ako nemate sedište u EU, ali nudite robu/usluge ili pratite ponašanje lica u EU, često je potrebno imenovanje EU predstavnika u jednoj od članica EU. Izuzeci su slični — npr. povremena obrada, bez obrade u velikoj meri posebnih kategorija i mali rizik po prava i slobode.
Dodatna smernica: evropska praksa detaljno objašnjava kada se primenjuje teritorijalni opseg i kada je potreban EU predstavnik; u praksi se oslanjamo na te smernice pri proceni obaveze.
End-to-end podršku u Srbiji, uz pravnu ekspertizu i operativnu efikasnost:
Osim reputacionog rizika i otežane saradnje sa organom nadzora, mogući su i prekršajni postupci i novčane kazne po ZZPL.
Organizacije civilnog društva i mediji su već ukazivali na globalne kompanije koje nisu imenovale predstavnika u Srbiji i podnosili prijave nadležnom organu.
Visinu kazni i druga pravila utvrđuju kaznene odredbe ZZPL.
Specijalizovani tim za privatnost i IT koji svakodnevno radi sa globalnim platformama, SaaS-om, e-trgovinom, fintech-om i zdravstvenim istraživanjima.
Dokazana praksa: pomagali smo brojnim međunarodnim brendovima da ispune obaveze iz ZZPL-a, uključujući postavljanje predstavnika za Srbiju i uspostavljanje procesa za komunikaciju sa Poverenikom. Jasan model saradnje (SLA, KPI-jevi, dedicate-d kontakt, dvojezična podrška SR/EN).
Skalabilnost: usluga prilagođena startup-u, scale-upu ili korporaciji; integracija sa vašim DPO-om i EU/UK predstavnikom.
Pošaljite nam kratak opis vašeg poslovnog modela i obrada koje se odnose na Srbiju.
Na osnovu ZZPL i vaše prakse obrade, dobićete brzu procenu da li morate imenovati predstavnika i plan koraka za usklađivanje (ugovor, objava kontakta, evidencije, operativni protokoli).
Da. Zakon dozvoljava da predstavnik bude fizičko ili pravno lice sa prebivalištem/sedištem u Srbiji.
Stručnost iz oblasti zaštite podataka je preporučljiva radi valjanog ispunjenja obaveza.
Ne. DPO je nezavisna funkcija koja savetuje i nadgleda usklađenost iznutra, dok je predstavnik lokalna kontakt-tačka za spoljne komunikacije i postupanje po zahtevima u Srbiji.
Razlika proizlazi iz različitih pravila i svrhe funkcija: DPO je interni/eksterni nadzorni savetnik, predstavnik je eksterni kontakt.
Da – identitet i kontakt predstavnika moraju biti transparentno objavljeni kako bi Poverenik i lica čiji se podaci obrađuju mogli da stupe u kontakt.
Najčešće se objavljuju u politici privatnosti i na kontakt stranici.
Ako preko predstavništva stvarno i stabilno poslujete, uobičajeni pristup je da posebni predstavnik nije potreban.
Preporučujemo proveru konkretne situacije (model poslovanja, ugovori, tokovi podataka).
Primarna odgovornost je na rukovaocu/obrađivaču.
Predstavnik je kontakt-tačka i postupa po uputstvima; pritužbe i tužbe usmeravaju se ka rukovaocu/obrađivaču.
Ako ciljate lica u EU ili pratite njihovo ponašanje, član 27 GDPR tipično zahteva imenovanje EU predstavnika, izuzev kada važi izuzetak (povremena obrada, bez obrade u velikoj meri posebnih kategorija, nizak rizik).
Može, ako mu to poverite i ako ispunjavate kriterijume za obaveznu evidenciju (npr. 250+ zaposlenih, visok rizik, nepovremena obrada, posebne kategorije podataka).
U svakom slučaju, predstavnik mora imati pristup neophodnim informacijama.
05/02/2025
22/01/2025
10/12/2024
02/12/2024
05/11/2024
04/10/2024
03/08/2024
05/07/2024
14/03/2024
