Хотя Закон о защите персональных данных в Сербии вступил в силу 21 августа 2019 года, кажется, что компании не восприняли все обязательства, предусмотренные этим законом, всерьез, или не понимают их.
Тот факт, что многие компании, работающие в Сербии, не назначили Сотрудника по защите данных (DPO) или Представителя в Республике Сербии, несмотря на то что закон требует этого, является тревожным. В связи с этим Фонд Share подал административные иска против 16 мировых технологических компаний (включая Amazon, Twitter, Viber и другие) за несоответствие требованиям по назначению Представителей в Сербии в Повереннику за информацию общественного значения и защите персональных данных. Эта инициатива дала результаты, так как впоследствии было зарегистрировано большее количество Представителей в Сербии, в настоящее время их 57, как указано на сайте Поверенника.
Среди компаний, которые выполнили требования нового Закона о защите персональных данных, находятся eSky, мировой лидер в организации путешествий, HD-WIN, стоящий за платформой Bloomberg Adria, RTL Croatia, хорватский медиагигант, и Lesnina S, одна из ведущих компаний по продаже мебели.
Однако это все еще не означает, что все обязательные субъекты назначили DPO или Представителя в Республике Сербии, а также что они застрахованы от возможных административных исков в будущем.
Крайне важно для всех субъектов, обрабатывающих персональные данные и подпадающих под действие Закона, понять разницу между Сотрудникoм по защите данных (DPO) и Представителем в Сербии (Представителем).
На первый взгляд, кажется, что их роли похожи или даже идентичны. Однако различия между ними весьма значительные, и отсутствие их назначения влечет различные последствия и потенциальные риски несоответствия положениям Закона. Более того, назначение одного и того же лица для выполнения обеих ролей может привести к серьезному конфликту интересов.
В этом блоге мы постараемся устранить заблуждения, которые существуют относительно этих двух разных институтов, а также помочь вам понять, обязаны ли вы назначить одного из этих двух лиц или даже обоих.
1. Кто такой Сотрудник по защите данных (DPO)?
Сотрудник по защите данных (DPO) — это ключевая фигура в системе управления данными, которая становится все более важной, и назначается контролером или обработчиком данных.
DPO — это независимый орган, который обеспечивает соответствие компании, которая его назначила, применимому законодательству при сборе и/или обработке данных своих клиентов, сотрудников, пользователей услуг и других субъектов данных.
Кроме того, DPO должен информировать и обучать компанию и ее сотрудников по всем аспектам защиты персональных данных, отслеживать выполнение нормативных актов, регулирующих конфиденциальность и защиту данных, давать заключение по оценке воздействия на защиту данных и действовать как контактное лицо для взаимодействия с Поверенным, а также с субъектами данных.
Таким образом, DPO — это лицо, которое будет консультировать вашу компанию и следить за тем, чтобы вы привели ваш бизнес в соответствие с обязательствами, установленными законом.
В тексте ниже мы рассмотрим некоторые конкретные примеры и юридические требования для назначения DPO.
Независимо от того, являетесь ли вы иностранной или отечественной компанией, вы должны назначить DPO, если:
a) основные виды деятельности вашей организации требуют масштабного, регулярного и систематического мониторинга физических лиц (субъектов данных); или
б) основные виды деятельности вашей организации заключаются в обработке в большом масштабе специальных категорий данных (особенно чувствительных данных) или данных, касающихся уголовных наказаний и правонарушений.
Кто может быть назначен в качестве DPO?
В качестве DPO может быть назначено любое физическое лицо, как отечественное, так и иностранное. Однако DPO должен быть экспертом в области защиты данных, независимым от организации, иметь необходимые ресурсы и быть способным соблюдать требования закона.
Должен ли DPO быть вашим сотрудником?
DPO может быть сотрудником обработчика или контролера данных. Однако вы также можете назначить внешнего DPO.
В какой степени DPO может быть привлечен к ответственности?
DPO должен быть независимым при выполнении своих задач и обязанностей. Контролер или обработчик не могут наказывать DPO или прекращать с ним трудовые отношения или контракт за выполнение обязанностей, возложенных на него законом. На самом деле, контролер и обработчик несут ответственность за обработку данных, а также за соблюдение закона, поэтому юридические претензии субъектов данных и Поверенного могут быть направлены только к контролеру и/или обработчику. DPO не может быть привлечен к личной ответственности.
Поскольку положения закона очень общие, мы постараемся упростить, когда назначение DPO обязательно, на следующих примерах.
Пример 1:
Интернет-магазин ABC (независимо от местонахождения компании) предлагает и продает товары онлайн гражданам Республики Сербия. Кроме того, интернет-магазин ABC организует программу лояльности для своих клиентов и обрабатывает персональные данные в этих целях в большом масштабе. Также интернет-магазин ABC профилирует своих клиентов и отправляет им персонализированные предложения на основе этих данных. В данном примере интернет-магазин ABC обязан назначить DPO, который будет отвечать за вопросы защиты персональных данных.
Пример 2:
Частная клиника M, расположенная в Белграде, обрабатывает персональные данные своих пациентов в ходе своей обычной деятельности. В этом примере клиника M является контролером, чья основная деятельность — обработка большого количества чувствительных данных своих пациентов, таких как данные о здоровье. Клиника M должна назначить DPO.
Если вы не соответствуете вышеупомянутым условиям, назначение DPO является необязательным. Однако как европейские органы, так и Поверенный Сербии рекомендуют назначать DPO, даже если это не является обязательным. Более того, это считается хорошей деловой практикой.
2. Кто является Представителем для Сербии и когда это обязательно?
Вы, вероятно, задаетесь вопросом, какова роль Представителя, если у вас уже назначен DPO.
Если вы являетесь иностранной компанией, которая не имеет зарегистрированного офиса (или филиалов или других установок) в Республике Сербии, но осуществляете деятельность по обработке данных, связанной с:
1) предложением товаров или услуг физическим лицам в Республике Сербии, независимо от того, обязано ли лицо платить за эти товары или услуги;
2) мониторингом активности субъектов данных, если деятельность осуществляется на территории Республики Сербия.
Tо вы обязаны соблюдать Закон и назначить Представителя в Республике Сербии.
Однако, даже если вы соответствуете этим условиям, вы не обязаны назначать Представителя, если:
a) вы являетесь государственным органом;
б) обработка данных является случайной; она не включает в себя масштабную обработку особых категорий данных или данных, относящихся к уголовным осуждениям, и маловероятно, что это приведет к нарушению конфиденциальности. На практике этот исключение применяется редко.
Кто может быть назначен Представителем?
Представителем может быть назначено любое физическое или юридическое лицо, которое проживает в Республике Сербия.
Как должен быть назначен представитель?
Назначение Представителя для компаний, которые не имеют офис в Сербии, должно быть оформлено письменно[1] . Наиболее распространенная практика — заключение письменного соглашения.
Какие задачи выполняет представитель?
Вкратце, основная задача Представителя заключается в том, чтобы выступать в качестве контактного лица, то есть местного посредника между субъектами данных и органами надзора. Таким образом, вместо контроллера данных или обработчика данных, Представитель действует как посредник между бизнесом и национальными органами защиты данных или субъектами данных.
В какой степени представитель может быть привлечен к ответственности?
Назначение Представителя не ограничивает юридическими действиями, которые могут быть инициированы против оператора или обработчика данных. [2] Они будут нести ответственность за выполнение регуляторных обязательств при обработке персональных данных граждан Сербии. Назначение Представителя не заменяет и не ограничивает обязанности оператора/обработчика, расположенного в стране за пределами Республики Сербия.
Может ли одно и то же лицо быть назначено и DPO, и Представителем?
Хотя закон не прописывает это явно, мы считаем, что одно и то же лицо не может выполнять обе функции. Учитывая, что у них разные роли, назначение одного человека и на должность DPO, и на должность Представителя может привести к конфликту интересов.
Все еще не уверены, обязаны ли вы назначить Представителя или нет? Рассмотрим пример:
- XYZ Airlines — это авиакомпания, зарегистрированная и базирующаяся в Турции, предлагающая авиаперевозки для жителей Республики Сербия и позволяющая им покупать билеты онлайн, собирая такие данные, как имя, фамилия, дата рождения, номер паспорта, уникальный личный идентификационный номер, номера кредитных/дебетовых карт и другие данные.
- В данном случае, XYZ Airlines обязана назначить Представителя в Республике Сербия, который будет являться ее прямым контактным лицом для субъектов данных и надзорных органов.