7 минуты чтения

Поделиться этой статьей

Rate this Post

Нужно ли назначать представителя компании в Сербии?

Danilo Spasojevic

Данило Спасоевич

Юрист-стажер

05/07/2024
Predstavnik za Srbiju

Вы являетесь владельцем иностранной компании, работающей на территории Республики Сербия? Вам интересно, каковы ваши права и обязанности, когда речь идет о сборе и обработке персональных данных населения Сербии? Если ответы на предыдущие вопросы положительные, этот блог для вас.

Прежде всего, важно отметить, что  в Сербии действует Закон о защите персональных данных (далее – Закон). Этот закон ввел ряд нововведений, одним из которых является обязательство назначать представителя контролера или процессора, который не находится в Республике Сербия (далее: Представитель в Сербии). Далее в этом тексте мы сосредоточимся на деталях, касающихся представителя по Сербии по защите персональных данных, таких как вопрос о том, кто обязан назначить это лицо, есть ли определенные исключения, каковы его полномочия и обязанности, кто может быть назначен на эту должность? Если вы хотите получить общее представление обо всех обязательствах по Закону, рекомендуем ознакомиться с нашим блогом: Закон о защите персональных данных – краткое руководство по соблюдению.

Если вы назначили сотрудника по защите данных (DPO) и считаете, что работа выполнена, будьте осторожны! Представитель в Сербии — это не то же самое, что сотрудник по защите данных, и возможно, что ваша компания обязана назначить обоих лиц. Вы можете узнать больше о различиях между этими двумя функциями в нашем отдельном блоге: Кто является уполномоченным по защите данных и кто является представителем в Сербии?

Закон о защите персональных данных уже вступил в силу и находится в исполнении, а это означает, что крайне важно, чтобы вы выполнили это обязательство как можно скорее, если вы еще этого не сделали. Будьте в курсе правовых норм, чтобы защитить свой бизнес и избежать возможных проблем в будущем.

Кто является Представителем по Сербии и кто обязан его назначить?

Представителем от Сербии является:

  • Физическое или юридическое лицо,
  • с местом жительства, т.е. зарегистрированным офисом на территории Республики Сербия,
  • который уполномочен в письменной форме представлять Контролера, т.е. обработчика персональных данных в связи с его обязательствами в области защиты конфиденциальности.

Если вы не уверены, считаете ли вы себя контролером или обработчиком персональных данных, ниже приведены объяснения и примеры для обеих сторон.

  • Контролер – физическое или юридическое лицо, определяющее цель и способ обработки персональных данных.

Пример А: Контролер является, например, работодателем в отношении персональных данных, которые он собирает у своих сотрудников и/или соискателей, поскольку в этой ситуации он определяет цель и средства обработки персональных данных. В этой ситуации работодатель чаще всего собирает данные, чтобы иметь возможность управлять персоналом, предоставлять услуги клиентам и соблюдать все правовые нормы.

Пример Б: Контролером также может быть владелец приложения, который собирает определенные персональные данные своих пользователей. Обычно это включает в себя обработку имени и фамилии, адреса электронной почты, адреса проживания, даты рождения и тд.. Как правило, владелец приложения собирает эти данные для того, чтобы иметь возможность выполнять свои обязательства перед пользователями (например, для создания учетной записи пользователя и использования всех функций приложения).

  • Обработчик – физическое или юридическое лицо, которое обрабатывает данные от имени контролера.

Пример АОбработчик – это, например, поставщик услуг, который не определяет цель обработки персональных данных, но обработка определенных данных обязательно происходит во время оказания услуг принципалу. Например, маркетинговое агентство не является тем, кто определяет, какие и чьи данные оно будет обрабатывать, но оно должно получить определенные персональные данные, чтобы иметь возможность выполнять свою работу.

Пример Б: Важно подчеркнуть, что одно и то же лицо может быть контролером в отношении одной группы персональных данных и обработчиком в отношении другой группы таких данных. Например, владелец приложения может собирать определенные данные от пользователя своего продукта способом и с целью, указанными им в качестве контролера (например, данные, необходимые для создания учетной записи пользователя). Кроме того, возможно, что приложение используется его пользователями для сбора персональных данных (например, приложение, используемое работодателем для управления человеческими ресурсами, с помощью которого он собирает данные от своих сотрудников), и в этом случае приложение служит только средством обработки данных, для которого пользователи определяют способ и цель обработки. Другими словами, в этом отношении владелец приложения играет роль процессора.

Поэтому, если вы подпадаете под категорию контролера и/или процессора, на вас может быть возложена обязанность назначить представителя в Сербии.

Компания, не имеющая зарегистрированного офиса на территории Республики Сербия, обязана назначить Представителя в Сербии в письменной форме, если она обрабатывает персональные данные субъекта данных, имеющего постоянное место жительства или место жительства на территории Республики Сербия, и если она обрабатывает данные, связанные с:

1) предложение товаров или услуг субъекту данных на территории Республики Сербия, независимо от того, обязано ли это лицо платить за эти товары или услуги (например, платформа из Германии предлагает услуги, с помощью которых можно приобрести авиабилеты по всему миру, включая Сербию);

2) отслеживание деятельности субъекта данных, если деятельность осуществляется на территории Республики Сербия (например, владелец веб-сайта или приложения из Китая отслеживает поведение посетителей/пользователей из Сербии с помощью файлов cookie и других технологий и, таким образом, предлагает им соответствующую персонализированную рекламу).

Мы знаем, что все эти условия могут показаться запутанными, поэтому ниже приведен контрольный список, призванный помочь вам прояснить, обязаны ли вы назначать представителя по Сербии. Если вы соответствуете всем требованиям, это обязательство распространяется и на вас.

Даже если вы ответили утвердительно на все вышеперечисленные вопросы, Закон предусматривает два исключения из общего правила. Вам не потребуется назначать представителя, если:

1) вы являетесь контролером, т.е. обработчиком, который является государственным учреждением; или

2) обработка персональных данных, осуществляемая Вами на нерегулярной основе, не связана в значительной степени с обработкой особо вредных данных (например, судимости за уголовные и другие уголовные преступления, расовое или этническое происхождение, политические взгляды, религиозные убеждения, данные о здоровье или сексуальной ориентации физического лица и т. д.) и вряд ли создаст риск для прав и свобод физических лиц с учетом характера;  обстоятельства, объем и цели обработки. При применении этого исключения чаще всего возникают сомнения в отношении условия, что обработка данных осуществляется время от времени, поскольку она еще не выкристаллизовалась, а также не была принята официальная позиция по поводу того, что именно подразумевается под «эпизодической» обработкой. Есть мнения, что компания может сослаться на это исключение, если она обрабатывает персональные данные менее 5% своих клиентов. Однако, учитывая, что данное мнение еще не подтверждено компетентными органами, в случае сомнений безопаснее всего назначить Представителя, чтобы исключить потенциальный риск наложения штрафных санкций в связи с нарушением положений Закона.

Вам все еще неясно, обязаны ли вы назначать представителя или нет? Ниже приведен пример для дальнейшего уточнения:

  • Интернет-магазин, зарегистрированный и имеющий штаб-квартиру в Соединенных Штатах Америки, предлагает продажи или посреднические услуги гражданам Республики Сербия и позволяет им приобретать товары в Интернете, при этом собираются такие данные, как имя и фамилия, дата рождения, номер паспорта, личный идентификационный номер, номер кредитной/дебетовой карты и т..
  • В этом случае Интернет-магазин обязан назначить представителя в Сербии, чтобы уполномоченный и лица, чьи данные он обрабатывает, могли обращаться к нему с запросами о защите персональных данных.

Каковы полномочия и обязанности Представителя по Сербии?

Роль Представителя в Сербии заключается в следующем:

  • Компания уполномочивает Представителя в Сербии как лицо, к которому, вместо самой компании, могут обращаться лица в связи с обработкой персональных данных, а именно:
  • лица, к которым относятся персональные данные;
  • Уполномоченный по вопросам информации, имеющей общественное значение, и защиты персональных данных; Или
  • Другие лица.

Целью этого разрешения является обеспечение соблюдения положений Закона о защите личных данных.

В связи с этим следует иметь в виду, что жалобы, иски и другие судебные иски, связанные с защитой персональных данных, могут быть поданы против контролера или процессора, независимо от того, был ли назначен их представитель в Сербии. Объяснением этого правила является тот факт, что в случае несоблюдения Закона о защите персональных данных ответственность будет нести контролер/процессор, а не его представитель в Сербии.

  • Представитель Сербии на основании письменного разрешения (обычно в форме договора) вступает в правовые отношения с контролером/процессором. В таких отношениях Представитель не уполномочен действовать самостоятельно, но обязан действовать по распоряжениям контролера/процессора,  связанным с обработкой персональных данных.
  • Кроме того, Представитель по Сербии обязан сотрудничать с Комиссаром в осуществлении его полномочий. Соответственно, личность и контактные данные Представителя в Сербии должны быть опубликованы прозрачным образом, чтобы Комиссар и субъекты данных могли легко ознакомиться с ними и связаться с Представителем по мере необходимости.
  • Компания может поручить своему представителю в Сербии вести учет операций по обработке, за которые Компания несет ответственность, если Компания:
    • имеет 250 и более сотрудников.
    • обработка может привести к высокому риску для прав и свобод субъекта данных,
    • осуществляет обработку, которая не является периодической, или
    • При обработке используются особо чувствительные типы персональных данных.

Даже если эти записи хранятся самой компанией (т.е. контролером/процессором), необходимо, чтобы все данные из записей были доступны назначенному Представителю, чтобы он мог выполнять свои обязательства в соответствии с Законом. Такие записи должны содержать такие данные, как информация о контролере/процессоре, цели обработки, типе субъекта данных, типе персональных данных, мерах защиты данных, возможной передаче данных в страны за пределами Республики Сербия и т. д.

Кто может быть представителем Сербии?

  • Постоянное место жительства или зарегистрированный офис в Сербии – Представителем в Сербии может быть физическое или юридическое лицо с постоянным местом жительства или зарегистрированным офисом на территории Республики Сербия.
  • Письменное разрешение – Представитель должен быть уполномочен в письменной форме (обычно по договору) представлять контролера/процессора в отношении обязательств в соответствии с Законом о защите персональных данных.
  • Знания и квалификация – Закон не обусловливает выполнение этой функции обладанием дополнительной профессиональной квалификацией, но подразумевается, что желательно, чтобы Представитель в Сербии был ознакомлен с нормативными актами в области защиты персональных данных, чтобы иметь возможность выполнять свои обязанности надлежащим образом.
  • Знание сербского языка – Закон прямо не предписывает, что Представитель должен использовать сербский язык, но рекомендуется, поскольку в противном случае это поставит под угрозу способность Представителя выполнять свои обязанности, которые включают общение с Комиссаром, а также с лицами из Республики Сербия, чьи данные обрабатываются.

Важно подчеркнуть, что Представитель по Сербии может, но не обязан быть нанят контролером, т.е. обработчиком. Таким образом, (отсутствие) трудовых отношений не имеет значения для назначения Представителя.

Что делать, если у вашей компании нет зарегистрированного офиса, но есть представительство в Сербии?

Как разъяснялось выше, Закон предусматривает, что в определенных ситуациях юридические лица, не имеющие зарегистрированного офиса в Республике Сербия, обязаны назначить представителя в Сербии. Однако что происходит с этим обязательством, если юридическое лицо имеет зарегистрированное представительство в Сербии?

Хотя строгое толкование Закона привело бы нас к выводу, что наличие представительства в Сербии не освобождает юридическое лицо от обязанности назначить представителя в Сербии, ответ на этот вопрос должен быть иным.

С другой стороны, комиссар занял определенную позицию[1] что Иностранная компания, которая открыла свое представительство в Республике Сербия, через которое она работает эффективно, результативно и стабильно, не обязана назначать своего представителя в Сербии.

Комиссар пришел к такому мнению, интерпретируя Общий регламент по защите данных Европейского союза (GDPR), который послужил образцом для принятия сербского Закона о защите персональных данных. Поскольку GDPR не обязывает юридических лиц с представительствами в ЕС назначать представителя в ЕС, комиссар наложил бы на контролеров и процессоров больше обязательств, чем это необходимо по европейским стандартам, приняв другую позицию.

Последствия отказа в назначении представителя по Сербии

Если вы не выполните свое обязательство по назначению Представителя по Сербии, последствия могут носить как финансовый (штрафы в случае нарушений), так и репутационный характер. Репутационный риск особенно актуален для компаний, которые сотрудничают с лицами из стран, где уголовная политика защиты персональных данных еще строже, поскольку эти лица могут легко прекратить сотрудничество с компаниями, которые не соблюдают все свои договорные и юридические обязательства, связанные с защитой персональных данных.

О том, что эти последствия не являются просто письмом на бумаге, свидетельствует тот факт, что Share Foundation (некоммерческая организация, которая стремится улучшить права и свободы человека в онлайн-сфере) уже подал два обвинения в проступке против многих глобальных компаний, которые не назначили своих представителей в Сербии, несмотря на обращение Фонда и Комиссара.

Среди компаний, которым наша команда помогла выполнить требования Закона о защите персональных данных, — eSky, мировой лидер в предоставлении услуг по организации путешествий, и HD-WIN, компания, стоящая за платформой Bloomberg Adria. Для получения дополнительной информации ознакомьтесь с новостью Адвокат Тияна Жунич Марич, представитель по защите данных глобальной компании eSky в Сербии и Bloomberg Adria назначает Тияну Жунич Марич представителем по защите данных в Сербии.

Чтобы не иметь негативных последствий для вашего бизнеса, важно иметь хорошую поддержку и Команда экспертов, специализирующихся на защите персональных данных и конфиденциальности который предоставит вам всю необходимую информацию и рекомендации.

[1] Публикация No. 9 – Защита данных – Взгляды, мнения и практика Комиссара Ул. 164

Похожие статьи

Последние статьи

Вы не уверены, с чего начать?

Если вы не уверены, с чего начать, запишитесь на консультацию с одним из наших специал

techlawafficiendo

privacywhisperer

cryptobuddy

evegreen

Не просто еще одна рассылка

Забудьте скучный юридический анализ. Получайте своевременные обновления,
новости и напоминания, которые действительно могут помочь вашему бизнесу.