3 минуты чтения

Поделиться этой статьей

Rate this Post

Сотрудник(DPO) по защите данных vs Представитель страны для Сербии

06/03/2024

Хотя Закон о защите персональных данных в Сербии вступил в силу 21 августа 2019 года, кажется, что компании не восприняли все обязательства, предусмотренные этим законом, всерьез, или не понимают их.

Тот факт, что многие компании, работающие в Сербии, не назначили Сотрудника по защите данных (DPO) или Представителя в Республике Сербии, несмотря на то что закон требует этого, является тревожным. В связи с этим Фонд Share подал административные иска против 16 мировых технологических компаний (включая Amazon, Twitter, Viber и другие) за несоответствие требованиям по назначению Представителей в Сербии в Повереннику за информацию общественного значения и защите персональных данных. Эта инициатива дала результаты, так как впоследствии было зарегистрировано большее количество Представителей в Сербии, в настоящее время их 57, как указано на сайте Поверенника.

Среди компаний, которые выполнили требования нового Закона о защите персональных данных, находятся eSky, мировой лидер в организации путешествий, HD-WIN, стоящий за платформой Bloomberg Adria, RTL Croatia, хорватский медиагигант, и Lesnina S, одна из ведущих компаний по продаже мебели.

Однако это все еще не означает, что все обязательные субъекты назначили DPO или Представителя в Республике Сербии, а также что они застрахованы от возможных административных исков в будущем.

Крайне важно для всех субъектов, обрабатывающих персональные данные и подпадающих под действие Закона, понять разницу между Сотрудникoм по защите данных (DPO) и Представителем в Сербии (Представителем).

На первый взгляд, кажется, что их роли похожи или даже идентичны. Однако различия между ними весьма значительные, и отсутствие их назначения влечет различные последствия и потенциальные риски несоответствия положениям Закона. Более того, назначение одного и того же лица для выполнения обеих ролей может привести к серьезному конфликту интересов.

В этом блоге мы постараемся устранить заблуждения, которые существуют относительно этих двух разных институтов, а также помочь вам понять, обязаны ли вы назначить одного из этих двух лиц или даже обоих.

 

1. Кто такой Сотрудник по защите данных (DPO)?

 

Сотрудник по защите данных (DPO) — это ключевая фигура в системе управления данными, которая становится все более важной, и назначается контролером или обработчиком данных.

DPO — это независимый орган, который обеспечивает соответствие компании, которая его назначила, применимому законодательству при сборе и/или обработке данных своих клиентов, сотрудников, пользователей услуг и других субъектов данных.

Кроме того, DPO должен информировать и обучать компанию и ее сотрудников по всем аспектам защиты персональных данных, отслеживать выполнение нормативных актов, регулирующих конфиденциальность и защиту данных, давать заключение по оценке воздействия на защиту данных и действовать как контактное лицо для взаимодействия с Поверенным, а также с субъектами данных.

Таким образом, DPO — это лицо, которое будет консультировать вашу компанию и следить за тем, чтобы вы привели ваш бизнес в соответствие с обязательствами, установленными законом.

В тексте ниже мы рассмотрим некоторые конкретные примеры и юридические требования для назначения DPO.

Независимо от того, являетесь ли вы иностранной или отечественной компанией, вы должны назначить DPO, если:

a) основные виды деятельности вашей организации требуют масштабного, регулярного и систематического мониторинга физических лиц (субъектов данных); или

б) основные виды деятельности вашей организации заключаются в обработке в большом масштабе специальных категорий данных (особенно чувствительных данных) или данных, касающихся уголовных наказаний и правонарушений.

Кто может быть назначен в качестве DPO?

В качестве DPO может быть назначено любое физическое лицо, как отечественное, так и иностранное. Однако DPO должен быть экспертом в области защиты данных, независимым от организации, иметь необходимые ресурсы и быть способным соблюдать требования закона.

Должен ли DPO быть вашим сотрудником?

DPO может быть сотрудником обработчика или контролера данных. Однако вы также можете назначить внешнего DPO.

В какой степени DPO может быть привлечен к ответственности?

DPO должен быть независимым при выполнении своих задач и обязанностей. Контролер или обработчик не могут наказывать DPO или прекращать с ним трудовые отношения или контракт за выполнение обязанностей, возложенных на него законом. На самом деле, контролер и обработчик несут ответственность за обработку данных, а также за соблюдение закона, поэтому юридические претензии субъектов данных и Поверенного могут быть направлены только к контролеру и/или обработчику. DPO не может быть привлечен к личной ответственности.

Поскольку положения закона очень общие, мы постараемся упростить, когда назначение DPO обязательно, на следующих примерах.

Пример 1:

Интернет-магазин ABC (независимо от местонахождения компании) предлагает и продает товары онлайн гражданам Республики Сербия. Кроме того, интернет-магазин ABC организует программу лояльности для своих клиентов и обрабатывает персональные данные в этих целях в большом масштабе. Также интернет-магазин ABC профилирует своих клиентов и отправляет им персонализированные предложения на основе этих данных. В данном примере интернет-магазин ABC обязан назначить DPO, который будет отвечать за вопросы защиты персональных данных.

Пример 2:

Частная клиника M, расположенная в Белграде, обрабатывает персональные данные своих пациентов в ходе своей обычной деятельности. В этом примере клиника M является контролером, чья основная деятельность — обработка большого количества чувствительных данных своих пациентов, таких как данные о здоровье. Клиника M должна назначить DPO.

Если вы не соответствуете вышеупомянутым условиям, назначение DPO является необязательным. Однако как европейские органы, так и Поверенный Сербии рекомендуют назначать DPO, даже если это не является обязательным. Более того, это считается хорошей деловой практикой.

 

2. Кто является Представителем для Сербии и когда это обязательно?

 

Вы, вероятно, задаетесь вопросом, какова роль Представителя, если у вас уже назначен DPO.

Если вы являетесь иностранной компанией, которая не имеет зарегистрированного офиса (или филиалов или других установок) в Республике Сербии, но осуществляете деятельность по обработке данных, связанной с:

1) предложением товаров или услуг физическим лицам в Республике Сербии, независимо от того, обязано ли лицо платить за эти товары или услуги;

2) мониторингом активности субъектов данных, если деятельность осуществляется на территории Республики Сербия.

Tо вы обязаны соблюдать Закон и назначить Представителя в Республике Сербии.

Однако, даже если вы соответствуете этим условиям, вы не обязаны назначать Представителя, если:

a) вы являетесь государственным органом;

б) обработка данных является случайной; она не включает в себя масштабную обработку особых категорий данных или данных, относящихся к уголовным осуждениям, и маловероятно, что это приведет к нарушению конфиденциальности. На практике этот исключение применяется редко.

Кто может быть назначен Представителем?

Представителем может быть назначено любое физическое или юридическое лицо, которое проживает в Республике Сербия.

Как должен быть назначен представитель?

Назначение Представителя для компаний, которые не имеют офис в Сербии, должно быть оформлено письменно[1] . Наиболее распространенная практика — заключение письменного соглашения.

Какие задачи выполняет представитель?

Вкратце, основная задача Представителя заключается в том, чтобы выступать в качестве контактного лица, то есть местного посредника между субъектами данных и органами надзора. Таким образом, вместо контроллера данных или обработчика данных, Представитель действует как посредник между бизнесом и национальными органами защиты данных или субъектами данных.

В какой степени представитель может быть привлечен к ответственности?

Назначение Представителя не ограничивает юридическими действиями, которые могут быть инициированы против оператора или обработчика данных. [2] Они будут нести ответственность за выполнение регуляторных обязательств при обработке персональных данных граждан Сербии. Назначение Представителя не заменяет и не ограничивает обязанности оператора/обработчика, расположенного в стране за пределами Республики Сербия.

Может ли одно и то же лицо быть назначено и DPO, и Представителем?

Хотя закон не прописывает это явно, мы считаем, что одно и то же лицо не может выполнять обе функции. Учитывая, что у них разные роли, назначение одного человека и на должность DPO, и на должность Представителя может привести к конфликту интересов.

Все еще не уверены, обязаны ли вы назначить Представителя или нет? Рассмотрим пример:

  • XYZ Airlines — это авиакомпания, зарегистрированная и базирующаяся в Турции, предлагающая авиаперевозки для жителей Республики Сербия и позволяющая им покупать билеты онлайн, собирая такие данные, как имя, фамилия, дата рождения, номер паспорта, уникальный личный идентификационный номер, номера кредитных/дебетовых карт и другие данные.
  • В данном случае, XYZ Airlines обязана назначить Представителя в Республике Сербия, который будет являться ее прямым контактным лицом для субъектов данных и надзорных органов.

 

3. Различия между DPO и Представителем

 
[1] Статья 44, пункт 1 Закона о защите персональных данных («Официальный вестник Республики Сербия», № 87/2018)
[2] Статья 44, пункт 3 Закона о защите персональных данных («Официальный вестник Республики Сербия», № 87/2018)

Похожие статьи

Последние статьи

Вы не уверены, с чего начать?

Если вы не уверены, с чего начать, запишитесь на консультацию с одним из наших специал

techlawafficiendo

privacywhisperer

cryptobuddy

evegreen

Не просто еще одна рассылка

Забудьте скучный юридический анализ. Получайте своевременные обновления,
новости и напоминания, которые действительно могут помочь вашему бизнесу.