เจ้าหน้าที่คุ้มครองข้อมูล VS GDPR แต่งตั้งผู้แทนประเทศเซอร์เบีย

แม้ว่ากฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบียจะเริ่มมีผลบังคับใช้ในวันที่ 21 สิงหาคม 2019 แต่ดูเหมือนว่าบริษัทต่างๆ ไม่ได้ปฏิบัติตามภาระหน้าที่ทั้งหมดที่กฎหมายกำหนดไว้อย่างจริงจังหรือไม่เข้าใจ (อ่านเพิ่มเติมเกี่ยวกับสิ่งใหม่ที่สำคัญใน บล็อกของเราThe New Law on Personal Data Protection – Key Novelties and Tic-Toc… บริษัทของคุณปฏิบัติตามกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือไม่ )

ข้อเท็จจริงที่ว่าบริษัทหลายแห่งที่ทำธุรกิจในเซอร์เบียไม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือตัวแทนในสาธารณรัฐเซอร์เบีย เป็นเรื่องที่น่าตกใจแม้ว่ากฎหมายจะกำหนดให้ทำเช่นนั้นก็ตาม ด้วยเหตุนี้   Share Foundation จึงได้ยื่นฟ้อง Facebook และ Google ฐานความผิดทางอาญาฐานไม่ปฏิบัติตามภาระหน้าที่ในการแต่งตั้งผู้แทนในเซอร์เบียให้กับกรรมาธิการสำหรับข้อมูลสำคัญสาธารณะและการปกป้องข้อมูลส่วนบุคคล แรงโน้มถ่วงของสถานการณ์ได้รับการยืนยันอีกครั้งโดยข้อเท็จจริงที่ว่าหนึ่งสัปดาห์หลังจากที่กฎหมายเริ่มมีผลบังคับใช้ จากผู้ควบคุมหลายหมื่นราย มีเพียง 192 คนเท่านั้นที่ส่งข้อมูลบังคับเกี่ยวกับ อ.ส.ค. [1]ต่อกรรมาธิการ

โชคดีที่บริษัทบางแห่งปฏิบัติตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลฉบับใหม่ เช่น eSky องค์กรด้านการท่องเที่ยวชั้นนำระดับโลก สำหรับข้อมูลเพิ่มเติมโปรดดูที่Tijana ŽunićMarićรับการแต่งตั้งจาก Esky เป็น DP ประเทศแทนเซอร์เบีย

เป็นสิ่งสำคัญยิ่งสำหรับหน่วยงานทั้งหมดที่ประมวลผลข้อมูลส่วนบุคคลและอยู่ภายใต้กฎหมายเพื่อทำความเข้าใจความแตกต่างระหว่างเจ้าหน้าที่คุ้มครองข้อมูล (DPO) และตัวแทนในเซอร์เบีย (ตัวแทน)

เมื่อมองแวบแรก ดูเหมือนว่าบทบาทของพวกเขาจะคล้ายกันหรือเหมือนกัน อย่างไรก็ตาม ความแตกต่างระหว่างทั้งสองมีความสำคัญ และความล้มเหลวในการแต่งตั้งพวกเขาก่อให้เกิดผลกระทบที่แตกต่างกันและความเสี่ยงที่อาจเกิดขึ้นจากการไม่ปฏิบัติตามบทบัญญัติของกฎหมาย (เพิ่มเติมเกี่ยวกับบทลงโทษในบล็อกการละเมิดกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบีย – 5 ผลที่ตามมา ). นอกจากนี้ การแต่งตั้งบุคคลเดียวกันให้ทำหน้าที่ทั้งสองอาจนำไปสู่ความขัดแย้งทางผลประโยชน์อย่างร้ายแรง

ในบล็อกนี้ เราจะพยายามขจัดความสับสนและความเข้าใจผิดที่มีอยู่เกี่ยวกับสองสถาบันที่แตกต่างกัน ตลอดจนช่วยให้คุณเข้าใจว่าคุณจำเป็นต้องแต่งตั้งคนใดคนหนึ่งในสองคนนี้ หรือแม้แต่ทั้งสองคน

1. ใครคือเจ้าหน้าที่คุ้มครองข้อมูล เช่น อ.ส.ค. ?

เจ้าหน้าที่คุ้มครองข้อมูล – อ.ส.ค. เป็นผู้เล่นหลักในระบบกำกับดูแลข้อมูลใหม่ ซึ่งแต่งตั้งโดยผู้ควบคุมหรือผู้ประมวลผล

อ.ส.ค. เป็นหน่วยงานอิสระที่รับรองว่าบริษัทที่กำหนดพวกเขาปฏิบัติตามกฎหมายที่บังคับใช้เมื่อประมวลผลข้อมูลของลูกค้า พนักงาน ผู้ใช้บริการ และเจ้าของข้อมูลอื่น ๆ ทั้งหมด

นอกจากนี้ อ.ส.ค. ต้องแจ้งและให้ความรู้แก่บริษัทและพนักงานในทุกด้านของการคุ้มครองข้อมูลส่วนบุคคล ให้ความเห็นเกี่ยวกับการประเมินผลกระทบต่อการคุ้มครองข้อมูล และทำหน้าที่เป็นจุดติดต่อขอความร่วมมือกับกรรมาธิการตลอดจนกับเจ้าของข้อมูล .

ดังนั้น อ.ส.ค. คือบุคคลที่จะแนะนำบริษัทของคุณ และตรวจสอบให้แน่ใจว่าคุณได้จัดตำแหน่งธุรกิจของคุณให้สอดคล้องกับภาระหน้าที่ที่กฎหมายกำหนด

เราเขียนอย่างกว้างขวางเกี่ยวกับความต้องการทางกฎหมายสำหรับการแต่งตั้ง อ.ส.ค. ในบล็อกกฎหมายใหม่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล – Key Novelties ในข้อความด้านล่าง เราจะพูดถึงตัวอย่างที่เฉพาะเจาะจง

เมื่อใดที่จำเป็นต้องแต่งตั้ง อ.ส.ค.

ไม่ว่าคุณจะเป็นบริษัทต่างประเทศหรือในประเทศ คุณต้องแต่งตั้ง อ.ส.ค. หาก:

1) กิจกรรมหลักในองค์กรของคุณต้องการการตรวจสอบบุคคลในวงกว้าง สม่ำเสมอ และเป็นระบบ หรือ

2) กิจกรรมหลักขององค์กรของคุณประกอบด้วยการประมวลผลขนาดใหญ่ของข้อมูลประเภทพิเศษหรือข้อมูลที่เกี่ยวข้องกับการตัดสินลงโทษทางอาญาและความผิด

สามารถกำหนดให้บุคคลธรรมดาหรือนิติบุคคลเป็น อ.ส.ค. ได้ อย่างไรก็ตาม อ.ส.ค. ต้องเป็นผู้เชี่ยวชาญด้านการปกป้องข้อมูล เป็นอิสระจากองค์กร มีทรัพยากรเพียงพอ และสามารถปฏิบัติตามกฎหมายได้

อ.ส.ค.สามารถเป็นพนักงานของผู้ประมวลผลหรือผู้ควบคุมได้ อย่างไรก็ตาม คุณสามารถแต่งตั้ง อ.ส.ค. ภายนอกได้

อ.ส.ค.ต้องมีความเป็นอิสระในการปฏิบัติหน้าที่ ผู้ควบคุมหรือผู้ประมวลผลไม่สามารถลงโทษ DPO หรือยุติการจ้างงานหรือสัญญากับเขาในการปฏิบัติหน้าที่ตามที่กฎหมายกำหนด ตามความเป็นจริง ผู้ควบคุมและผู้ประมวลผลมีหน้าที่รับผิดชอบในการประมวลผลข้อมูลตลอดจนการปฏิบัติตามกฎหมาย ดังนั้นการเรียกร้องทางกฎหมายของเจ้าของข้อมูลและกรรมาธิการจึงมุ่งไปที่พวกเขาเท่านั้น อ.ส.ค.ไม่สามารถรับผิดชอบต่อตนเองได้

เนื่องจากบทบัญญัติของกฎหมายเป็นเรื่องทั่วไป เราจะพยายามชี้แจงเมื่อจำเป็นต้องแต่งตั้ง อ.ส.ค. ในตัวอย่างต่อไปนี้

ตัวอย่างที่ 1:ร้านค้าอีคอมเมิร์ซ ABC (โดยไม่คำนึงถึงสำนักงานใหญ่ของบริษัท) เสนอและขายสินค้าออนไลน์ให้กับพลเมืองของสาธารณรัฐเซอร์เบีย นอกจากนี้ ABC E-commerce ยังจัดโปรแกรมความภักดีสำหรับลูกค้าและประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เหล่านี้ในวงกว้าง นอกจากนี้ ABC E-commerce ยังสร้างโปรไฟล์ลูกค้าและส่งข้อเสนอส่วนบุคคลตามนั้น

ในตัวอย่างเฉพาะ E-shop ABC จะต้องแต่งตั้ง DPO ซึ่งจะรับผิดชอบปัญหาการปกป้องข้อมูลส่วนบุคคล

ตัวอย่างที่ 2: Private Clinic M ซึ่งตั้งอยู่ในเมืองเบลเกรดจะประมวลผลข้อมูลส่วนบุคคลของผู้ป่วยในการดำเนินธุรกิจตามปกติ ในตัวอย่างนี้ Clinic M คือผู้ควบคุมที่มีกิจกรรมหลักในการประมวลผลข้อมูลที่ละเอียดอ่อนจำนวนมากจากผู้ป่วย เช่น ข้อมูลด้านสุขภาพ

คลินิก M ต้องแต่งตั้ง อ.ส.ค.

หากคุณไม่ตรงตามเงื่อนไขที่กล่าวไว้ข้างต้น การแต่งตั้ง อ.ส.ค. เป็นทางเลือก อย่างไรก็ตาม เจ้าหน้าที่ของยุโรปแนะนำให้กำหนด DPO แม้ว่าจะไม่ได้บังคับก็ตาม นอกจากนี้ยังถือเป็นแนวปฏิบัติทางธุรกิจที่ดีอีกด้วย

หากคุณกำลังมองหาเจ้าหน้าที่ป้องกันข้อมูลที่มีความเชี่ยวชาญความเชี่ยวชาญสูงโปรดติดต่อเราได้ที่office@zuniclaw.com

2. ผู้แทนประเทศเซอร์เบียคืออะไรและเมื่อใดจึงจะมีผลบังคับ?

คุณต้องสงสัยว่าบทบาทของตัวแทนคืออะไรถ้าคุณได้แต่งตั้ง อ.ส.ค. แล้ว

หากคุณเป็นบริษัทต่างชาติซึ่งไม่มีสำนักงานจดทะเบียน (หรือสาขาหรือสถานประกอบการอื่นๆ) ในสาธารณรัฐเซอร์เบีย แต่มีส่วนร่วมในกิจกรรมการดำเนินการที่เกี่ยวข้องกับ:

1) การนำเสนอสินค้าหรือบริการแก่บุคคลในสาธารณรัฐเซอร์เบีย ไม่ว่าเจ้าของข้อมูลจะต้องจ่ายค่าชดเชยสำหรับสินค้าหรือบริการเหล่านี้หรือไม่ก็ตาม

2) การตรวจสอบกิจกรรมของเจ้าของข้อมูลหากกิจกรรมดำเนินการในอาณาเขตของสาธารณรัฐเซอร์เบีย

แล้วคุณจะต้องสอดคล้องกับกฎหมายและการแต่งตั้งผู้แทนในสาธารณรัฐเซอร์เบีย

อย่างไรก็ตาม แม้ว่าคุณจะปฏิบัติตามเงื่อนไขเหล่านี้ คุณไม่จำเป็นต้องแต่งตั้งตัวแทนหาก:

ก) คุณเป็นหน่วยงานสาธารณะ

ข) การประมวลผลข้อมูลเป็นครั้งคราว ไม่เกี่ยวข้องกับการประมวลผลขนาดใหญ่ของข้อมูลประเภทพิเศษหรือข้อมูลที่เกี่ยวข้องกับการตัดสินลงโทษทางอาญา และไม่น่าจะส่งผลให้เกิดการบุกรุกความเป็นส่วนตัว ในทางปฏิบัติ การยกเว้นนี้ไม่ค่อยมีผล

บุคคลธรรมดาหรือนิติบุคคลใดๆ ที่อาศัยอยู่ในสาธารณรัฐเซอร์เบียสามารถแต่งตั้งให้เป็นตัวแทนได้

การแต่งตั้งตัวแทนสำหรับบริษัทที่ไม่มีสำนักงานในเซอร์เบียต้องทำเป็นลายลักษณ์อักษร [2]แนวปฏิบัติที่พบบ่อยที่สุดคือการทำข้อตกลงเป็นลายลักษณ์อักษร

โดยสรุป งานหลักของตัวแทนคือการดำเนินการในฐานะผู้ประสานงานในท้องถิ่น เช่น จุดติดต่อกับเจ้าของข้อมูลและหน่วยงานกำกับดูแล ดังนั้น ตัวแทนจึงทำหน้าที่เป็นตัวกลางระหว่างธุรกิจและหน่วยงานคุ้มครองข้อมูลระดับประเทศหรือเจ้าของข้อมูล

การแต่งตั้งตัวแทนทำขึ้นโดยไม่กระทบต่อการดำเนินการทางกฎหมายซึ่งอาจเริ่มต้นกับผู้ควบคุมหรือผู้ประมวลผล ดังนั้น พวกเขาจึงต้องรับผิดชอบในการปฏิบัติตามข้อบังคับเมื่อประมวลผลข้อมูลส่วนบุคคลของชาวเซอร์เบีย การแต่งตั้งตัวแทนไม่ได้แทนที่หรือจำกัดหน้าที่ของบริษัทที่ตั้งอยู่ในประเทศนอกสาธารณรัฐเซอร์เบีย

ไม่มีข้อห้ามอย่างชัดแจ้งสำหรับบุคคลเดียวกันที่ทำหน้าที่ทั้งสองอย่าง อย่างไรก็ตาม ในความเห็นของเรา การมอบหมายบุคคลหนึ่งคนให้ทำงานทั้งสองอย่างนี้อาจส่งผลให้เกิดความขัดแย้งทางผลประโยชน์ที่เป็นปัญหาได้

ยังไม่ชัดเจนว่าคุณมีหน้าที่แต่งตั้งผู้แทนหรือไม่? ลองดูตัวอย่าง:

  • XYZ Airlines เป็นสายการบินที่จดทะเบียนและมีสำนักงานใหญ่ในตุรกี ซึ่งให้บริการขนส่งทางอากาศแก่พลเมืองของสาธารณรัฐเซอร์เบีย และช่วยให้พวกเขาสามารถซื้อตั๋วออนไลน์ รวบรวมข้อมูลต่างๆ เช่น ชื่อและนามสกุล วันเกิด หมายเลขหนังสือเดินทาง หมายเลขประจำตัวที่ไม่ซ้ำกัน หมายเลขบัตรเครดิต/เดบิต ฯลฯ
  • ในกรณีดังกล่าว XYZ Airlines มีหน้าที่แต่งตั้งตัวแทนในสาธารณรัฐเซอร์เบียเพื่อทำหน้าที่เป็นผู้ติดต่อโดยตรงสำหรับเจ้าของข้อมูลและหน่วยงานกำกับดูแล

หากคุณกำลังมองหาตัวแทนในสาธารณรัฐเซอร์เบีย, โปรดติดต่อเราที่office@zuniclaw.com

3. ความแตกต่างระหว่าง อ.ส.ค. กับตัวแทน

4. บทลงโทษสำหรับการไม่แต่งตั้ง อ.ส.ค. และ/หรือผู้แทน

หากการแต่งตั้ง อ.ส.ค. และ/หรือผู้แทนเป็นข้อบังคับ และคุณยังไม่ได้ดำเนินการดังกล่าว คุณอาจจะต้องรับผิดทางอาญา

หากคุณเป็นผู้ควบคุมหรือผู้ประมวลผลที่:

สิ่งสำคัญคือต้องรู้ว่าความตระหนักในการปกป้องข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้เพิ่มขึ้นไปสู่ระดับที่สูงขึ้นมาก นำไปสู่การสอบถามและรายงานต่อทั้งผู้ควบคุมและสถาบันที่มีอำนาจ

นอกจากนี้ องค์กรพัฒนาเอกชนหลายแห่งที่เกี่ยวข้องกับการปกป้องข้อมูลได้เริ่มยื่นฟ้องต่อผู้ควบคุมและผู้ประมวลผลที่ไม่ได้ปฏิบัติตามภาระหน้าที่ในการแต่งตั้งผู้แทนใน RS

เราเชื่อว่าสำหรับบริษัทขนาดใหญ่ ความเสี่ยงทางการเงิน กล่าวคือ ความเสี่ยงในการปรับโทษมีน้อยมาก แต่ความเสี่ยงด้านชื่อเสียงของการไม่ปฏิบัติตามกฎหมายจึงสูงมาก