ส่วนที่ 3

กฎหมายใหม่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบียเริ่มมีผลบังคับใช้ในวันที่ 21 สิงหาคม 2019 ในบล็อกโพสต์ชุดหนึ่งเราได้สรุปประเด็นสำคัญที่กฎหมายใหม่ได้แนะนำ

คุณสนใจที่จะทราบว่า บริษัท ของคุณอาจเผชิญกับผลกระทบใดบ้างหากไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบีย ใครเป็นผู้รับผิดชอบต่อการละเมิดกฎหมายบทลงโทษที่อาจเกิดขึ้นคืออะไรซึ่งอาจส่งผลกระทบต่อกิจกรรมทางธุรกิจของ บริษัท ได้ในระดับใดผู้ควบคุมว่าคุณกำลังรวบรวมและประมวลผลข้อมูลส่วนบุคคลตามกฎหมายหรือไม่จะมีค่าปรับที่คล้ายคลึงกับที่ให้ไว้หรือไม่ โดยGDPR ?

หากคุณเชื่อว่ากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลนั้นไม่ใช่เพียงกฎเกณฑ์มากมายโดยไม่มีจุดประสงค์ใด ๆ นั่นคือไม่มีอะไรเลยนอกจากจดหมายที่ตายแล้วคุณอาจต้องคิดทบทวนอีกครั้ง

นับตั้งแต่ GDPR มีผลบังคับใช้ในสหภาพยุโรปในเดือนพฤษภาคม 2018 และตามด้วยกฎหมายว่าด้วยการปกป้องข้อมูลส่วนบุคคลในเซอร์เบีย (ต่อไปนี้: กฎหมาย) การรับรู้ของผู้คนก็เพิ่มขึ้นอย่างมากเมื่อพูดถึงสิทธิของตนซึ่งเป็นอีกข้อบ่งชี้อย่างแน่นอนว่า บริษัท เซอร์เบียควรดำเนินการตามกฎหมายอย่างจริงจัง สิ่งที่ยืนยันถึงความสำคัญของสิทธิในการคุ้มครองข้อมูลส่วนบุคคลคือความจริงที่ว่ารัฐธรรมนูญแห่งสาธารณรัฐเซอร์เบียรับรองไว้ในหัวข้อสิทธิและเสรีภาพของมนุษย์และชนกลุ่มน้อย

เราได้เห็นแล้ววิธีการอย่างจริงจังสหภาพยุโรปได้ดำเนินงานนี้โดยการบังคับใช้ GDPR ,ดังนั้นเราจึงสามารถสรุปได้ว่าในกรณีที่มีการรั่วไหลของข้อมูลส่วนบุคคลที่คล้ายกันในประเทศของเราในอนาคตของ บริษัท ที่ทำผิดไม่ได้ดูสดใส

บริษัท ของคุณอาจเผชิญกับอันตรายอะไรบ้าง?

เราจะเริ่มต้นด้วยอันตรายที่ผู้คนมักกลัวมากที่สุดซึ่งก็คือความรับผิดทางอาญา

1. ความรับผิดทางปกครอง

กฎหมายแสดงความผิดมากถึง 32 ความผิดที่ผู้ควบคุมข้อมูลกล่าวคือผู้ประมวลผลอาจถูกลงโทษและในบรรดาความผิดที่ระบุไว้ ได้แก่ การประมวลผลข้อมูลส่วนบุคคลที่ไม่เป็นไปตามหลักการสำคัญของการประมวลผลข้อมูลการประมวลผลข้อมูลเพื่อวัตถุประสงค์ที่ขัดต่อ กฎหมายหากข้อมูลส่วนบุคคลไม่ถูกลบตามกฎหมายหากไม่ได้รับแจ้งจากคณะกรรมการ เกี่ยวกับการละเมิดการละเมิดข้อมูล

ศาลที่มีความผิดทางอาญาอาจกำหนดโทษปรับผู้ควบคุมข้อมูลหรือผู้ประมวลผลที่ทำหน้าที่เป็นบุคคลตามกฎหมายเนื่องจากความผิดที่ระบุไว้ภายในช่วงตั้งแต่ RSD 50,000 ถึง RSD 2,000,000 หากพบว่าผู้ควบคุมข้อมูลหรือตัวประมวลผลกระทำผิดหลายอย่างพร้อมกันอาจถูกปรับไม่เกิน 4,000,000 RSD

ยิ่งไปกว่านั้นบุคคลธรรมดาที่ไม่เก็บข้อมูลส่วนบุคคลเป็นความลับซึ่งได้มาจากการจ้างงานอาจถูกปรับตั้งแต่ RSD 5,000 ถึง 150,000 RSD สำหรับการกระทำความผิด

นอกเหนือจากค่าปรับที่ระบุไว้แล้วหากผู้ควบคุมข้อมูลหรือผู้ประมวลผลในฐานะบุคคลตามกฎหมายละเมิดภาระหน้าที่ที่บัญญัติไว้ในกฎหมายผู้บัญชาการอาจปรับพวกเขาด้วยรายงานการกระทำผิดทางอาญาโดยมีค่าปรับเป็นจำนวนเงิน 100,000 RSD ภาระผูกพันที่ระบุไว้เหนือสิ่งอื่นใดดังต่อไปนี้:

  • เพื่อดำเนินการประมวลผลโดยมีวัตถุประสงค์เพื่อการตลาดแบบตรงและเจ้าของข้อมูลได้ยื่นคัดค้านการประมวลผลดังกล่าว
  • ไม่แต่งตั้งตัวแทนในสาธารณรัฐเซอร์เบีย
  • ไม่ประกาศข้อมูลการติดต่อของ DPO ( เจ้าหน้าที่คุ้มครองข้อมูล )และไม่ส่งมอบให้กับผบช. ฯลฯ

วิธีพิจารณาค่าปรับในแต่ละกรณี?

โปรดทราบว่าเมื่อกำหนดจำนวนค่าปรับที่แน่นอนจะต้องคำนึงถึงสิ่งต่อไปนี้: แรงโน้มถ่วงและผลของการกระทำความผิดลักษณะของความผิดจำนวนเจ้าของข้อมูลที่ได้รับผลกระทบจากความผิดความเสียหายที่ได้รับอย่างแม่นยำมากขึ้น ระยะเวลาของการกระทำผิดประเภทของข้อมูลส่วนบุคคลที่ถูกละเมิดมาตรการที่ใช้เพื่อบรรเทาความเสียหายไม่ว่าจะมีการรายงานความผิดเป็นต้น

เหล่านี้เป็นสถานการณ์ที่ศาลอาญาพิจารณาเมื่อกำหนดจำนวนค่าปรับ ดังนั้นหากคุณละเมิดกฎข้อบังคับในการปกป้องข้อมูลส่วนบุคคลขอแนะนำให้คุณทำตามขั้นตอนทั้งหมดเพื่อลดผลของการกระทำความผิดให้น้อยที่สุด

นโยบายค่าปรับ GDPR ในสหภาพยุโรป

หากคุณเชื่อว่าค่าปรับที่กำหนดไว้สำหรับการละเมิดกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบียนั้นสูงอีกครั้งให้คิดทบทวนอีกครั้ง

กล่าวคือ GDPR คาดการณ์ว่า บริษัท ที่ละเมิดข้อมูลส่วนบุคคลอาจต้องเผชิญกับค่าปรับที่สูงถึง 4% ของมูลค่าการซื้อขายทั่วโลกทั้งปีหรือสูงถึง 20 ล้านยูโรขึ้นอยู่กับว่าจำนวนเงินใดสูงกว่า ซึ่งหมายความว่า บริษัท ที่ใช้ GDPR อาจเผชิญกับผลกระทบที่เป็นหายนะได้อย่างง่ายดายและต้องเผชิญกับบทลงโทษที่สูงลิบลิ่ว!

เมื่อเรามองที่ตัวเลขทางดาราศาสตร์เหล่านี้เราได้รับความประทับใจที่ว่า บริษัท เสมอค่าปรับใบหน้าเป็นจำนวนเงินนับล้านถ้าพวกเขาละเมิด GDPR การที่เราได้จัดตั้งขึ้นแล้วจากตัวอย่างของบริติชแอร์เวย์และแมริออทอินเตอร์เนชั่นแนล อย่างไรก็ตามในความเป็นจริงนั้นแตกต่างกันจริงๆ จากการปฏิบัติในปัจจุบันของเราเราสรุปได้ว่า บริษัท ขนาดเล็กถูกปรับเนื่องจากการละเมิด GDPR เป็นจำนวนเงินหลายร้อยหรือหลายพันยูโรซึ่งทั้งหมดนี้เป็นไปตามเกณฑ์ค่าปรับที่ระบุไว้ข้างต้น ดังนั้นเราจึงมีตัวอย่างเช่นสถานพยาบาลในบัลแกเรียที่ถูกปรับเป็นจำนวนเงิน 510 ยูโร บริษัท รถเช่าในสาธารณรัฐเช็กที่ถูกปรับ 1,1650 ยูโรในขณะที่ในออสเตรียสถานที่พนันถูกปรับเป็นจำนวนเงิน จำนวน 4,800 ยูโร

2. ความรับผิดทางอาญา

ความจริงประมวลกฎหมายอาญาเล็งเห็นถึงโทษจำคุกสำหรับการละเมิดการคุ้มครองข้อมูลส่วนบุคคลระบุว่าการคุ้มครองข้อมูลส่วนบุคคลมีความจริงจังเพียงใด นอกจากนี้สิ่งสำคัญคือต้องทราบว่าบุคคลธรรมดาเท่านั้นที่จะต้องรับผิดทางอาญา

ประมวลกฎหมายอาญากำหนดให้บุคคลที่รวบรวมประมวลผลและใช้ข้อมูลส่วนบุคคลเกี่ยวกับบุคคลที่อยู่ภายใต้กฎหมายได้รับสื่อสารกับบุคคลอื่นหรือใช้เพื่อวัตถุประสงค์ที่พวกเขาไม่ได้ตั้งใจและบุคคลใดที่ขัดต่อกฎหมายรวบรวมข้อมูลส่วนบุคคลของ เจ้าของข้อมูลหรือใช้ข้อมูลดังกล่าวอาจถูกปรับหรือจำคุกไม่เกินหนึ่งปี นอกจากนี้หากการกระทำนี้กระทำโดยเจ้าหน้าที่ผู้ปฏิบัติหน้าที่อย่างเป็นทางการพวกเขาจะถูกคุกคามด้วยโทษจำคุกไม่เกิน 3 ปี

ตามที่กล่าวไว้ประมวลกฎหมายอาญาเกี่ยวข้องกับการกระทำที่หลากหลายซึ่งถือได้ว่าเป็นการกระทำทางอาญาในการรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตโดยเฉพาะอย่างยิ่งหมายถึงการประมวลผลข้อมูลใด ๆ ที่ขัดกับหลักการประมวลผลซึ่งเราได้กล่าวถึงโดยละเอียดในครั้งก่อนบล็อกโพสต์เกี่ยวกับกฎหมายใหม่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบีย

อนาคตจะบอกได้อย่างแน่นอนว่าศาลจะลงโทษผู้ที่กระทำความผิดอาญานี้ในระดับใด

3. ความเสี่ยงด้านชื่อเสียง

อันตรายที่ บริษัท ต้องเผชิญเมื่อละเมิดกฎหมายคุ้มครองข้อมูลไม่เพียง แต่เป็นตัวเงินเท่านั้น การสูญเสียความไว้วางใจใน บริษัท ในส่วนของลูกค้าที่ข้อมูลถูกละเมิดอาจส่งผลที่ตามมามากขึ้น

ในขณะที่บทลงโทษมีผลกระทบเพียงครั้งเดียวต่อสถานะทางการเงินของ บริษัท ซึ่งบ่อยครั้ง บริษัท เหล่านั้นที่ประสบความสำเร็จในการทำธุรกิจอาจฟื้นตัวได้ในทางกลับกันชื่อเสียงที่เปื้อนเนื่องจากการประนีประนอมข้อมูลส่วนบุคคลของลูกค้าอาจนำมาซึ่งความหายนะในระยะยาว ผลกระทบทางการเงิน ผลที่ตามมาเหล่านี้อาจสะท้อนให้เห็นถึงการสูญเสียลูกค้าที่มีอยู่หรือในอนาคตกิจกรรมทางธุรกิจที่ลดลงการสูญเสียเงินลงทุนที่อาจเกิดขึ้นมูลค่าตลาดของ บริษัท ที่ลดลง …

บริษัท สตาร์ทอัพต้องให้ความสำคัญเป็นพิเศษกับการปกป้องข้อมูลส่วนบุคคลเพื่อไม่ให้มีการตั้งคำถามเกี่ยวกับกิจกรรมทางธุรกิจในอนาคต นอกจากนี้หากพวกเขาต้องการหาพันธมิตรที่จะลงทุนใน บริษัท ของพวกเขาหรือหากพวกเขาต้องการขาย บริษัท ของพวกเขาขั้นตอนการตรวจสอบสถานะจะนำไปสู่การสูญเสียเงินลงทุนที่สำคัญอย่างแน่นอนหากพบว่าพวกเขาละเมิดส่วนบุคคลของลูกค้า ข้อมูลซึ่งอาจนำไปสู่การปิด บริษัท ซึ่งจะมีอนาคตที่สดใส

4. ความรับผิดที่ไม่ใช่ตัวเงิน

คณะกรรมาธิการด้านข้อมูลที่มีความสำคัญต่อสาธารณะและการปกป้องข้อมูลมีสิทธิในฐานะหน่วยงานที่รับผิดชอบในการกำกับดูแลการบังคับใช้กฎหมายเหนือสิ่งอื่นใดในการแจ้งผู้ควบคุมข้อมูลหรือผู้ประมวลผลเกี่ยวกับการละเมิดกฎหมายที่อาจเกิดขึ้นเพื่อขอและได้รับอนุญาตจาก ผู้ควบคุมข้อมูลและตัวประมวลผลข้อมูลส่วนบุคคลทั้งหมดตลอดจนข้อมูลที่จำเป็นสำหรับการดำเนินการของเจ้าหน้าที่ร้องขอและได้รับอนุญาตให้เข้าถึงสถานที่ทั้งหมดของผู้ควบคุมข้อมูลและตัวประมวลผลรวมถึงการเข้าถึงทรัพย์สินและอุปกรณ์ทั้งหมด

นอกจากนี้ผู้บัญชาการได้รับอนุญาตให้ดำเนินมาตรการแก้ไขซึ่งหมายความว่าพวกเขาได้รับอนุญาตให้สั่งให้ผู้ควบคุมข้อมูลและผู้ประมวลผลดำเนินการตามคำร้องขอของบุคคลที่เกี่ยวข้องเกี่ยวกับการใช้สิทธิของพวกเขาเพื่อให้กิจกรรมการประมวลผลสอดคล้องกับบทบัญญัติของ กฎหมายสั่งให้ผู้ควบคุมข้อมูลแจ้งบุคคลที่เกี่ยวข้องเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลเพื่อกำหนดข้อ จำกัด ชั่วคราวหรือถาวรสำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลรวมถึงการห้ามการประมวลผลข้อมูลเป็นต้น

ด้วยวิธีนี้คณะกรรมาธิการจะมีบทบาทอย่างแข็งขันในขั้นตอนการปกป้องข้อมูลส่วนบุคคลและการกำจัดการละเมิดที่ได้กระทำลงไป

เจ้าของข้อมูลที่ถูกละเมิดข้อมูลสามารถทำอะไรได้บ้าง

เจ้าของข้อมูลมีสิทธิ์ที่จะร้องเรียนต่อคณะกรรมาธิการหากพวกเขาเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของพวกเขาถูกดำเนินการโดยขัดต่อกฎหมาย หากเป็นเช่นนั้นผู้บัญชาการมีหน้าที่ต้องแจ้งให้ผู้ยื่นคำร้องทราบเกี่ยวกับขั้นตอนผลของขั้นตอนตลอดจนสิทธิของผู้ยื่นคำร้องในการเริ่มการดำเนินการทางศาล ผู้บัญชาการสามารถดำเนินการอย่างใดอย่างหนึ่งที่ระบุไว้ข้างต้นภายในขั้นตอนนี้เช่นเดียวกับการกระทำอื่น ๆ ทั้งหมดที่เขาได้รับอนุญาตให้ดำเนินการภายใต้กฎหมาย บุคคลนั้นมีสิทธิที่จะฟ้องร้องทางปกครองต่อคำตัดสินของคณะกรรมาธิการ

นอกจากนี้เจ้าของข้อมูลที่ข้อมูลถูกละเมิดจะมีสิทธิ์ในการดำเนินคดีกับผู้ควบคุมข้อมูลหรือผู้ประมวลผลโดยวิธีการที่พวกเขาจะร้องขอการแก้ไขหรือลบข้อมูลรวมถึงการยุติการประมวลผลข้อมูล สิ่งสำคัญคือต้องทราบว่าการยื่นฟ้องคดีนี้ไม่ส่งผลกระทบต่อสิทธิของข้อมูลที่จะเริ่มขั้นตอนอื่น ๆ ในการคุ้มครองทางปกครองหรือทางศาล

กฎหมายของเราปฏิบัติตามบทบัญญัติของ GDPR อย่างเต็มที่ในด้านการคุ้มครองข้อมูลส่วนบุคคลนี้เช่นกัน

5. การชดเชย

แม้ว่าการชดเชยเนื่องจากการละเมิดข้อมูลส่วนบุคคลจะไม่ได้รับความสนใจมากนัก แต่ก็อาจก่อให้เกิดผลกระทบทางการเงินมากกว่าบทลงโทษที่กฎหมายคาดการณ์ไว้

กล่าวคือเจ้าของข้อมูลที่ได้รับความเสียหายที่เป็นวัตถุหรือที่ไม่ใช่วัสดุอันเนื่องมาจากการประมวลผลข้อมูลโดยไม่ชอบด้วยกฎหมายมีสิทธิ์เรียกร้องค่าชดเชยโดยการฟ้องร้องผู้ควบคุมข้อมูลหรือผู้ประมวลผลที่เป็นต้นเหตุ ศาลจะตัดสินภายในการดำเนินคดีว่าเจ้าของข้อมูลได้รับความเสียหายจริงหรือไม่และหากเป็นเช่นนั้นค่าชดเชยที่เป็นธรรมสำหรับความเสียหายที่ได้รับความเสียหายจะเป็นเท่าใด

ผู้ควบคุมข้อมูลกล่าวคือโปรเซสเซอร์จะไม่ได้รับอันตรายจากความเสียหายก็ต่อเมื่อพิสูจน์ได้ว่าไม่รับผิดชอบต่อความเสียหายที่เกิดขึ้นในทางใดทางหนึ่ง

ความเสียหายที่เกิดขึ้นอาจเป็นได้ทั้งวัสดุและไม่ใช่วัสดุ ดังนั้นนอกเหนือจากความสูญเสียทางการเงินเจ้าของข้อมูลอาจได้รับความเสียหายเนื่องจากการประมวลผลที่ไม่ชอบด้วยกฎหมาย (เช่นหากข้อมูลในบัตรเครดิตของพวกเขาถูกแฮ็ก) การประมวลผลข้อมูลที่ไม่ชอบด้วยกฎหมายอาจละเมิดชื่อเสียงเกียรติยศเสรีภาพและสิทธิส่วนบุคคล …

ค่าตอบแทนคืออะไร?

ศาลจะต้องกำหนดจำนวนเงินของความเสียหายที่ได้รับความเสียหายที่เกี่ยวข้องกับแต่ละกรณีเฉพาะ เนื่องจากการบังคับใช้กฎหมายเพิ่งเริ่มต้นในประเทศของเราจึงยังไม่คุ้นเคยว่าจุดยืนของศาลจะเป็นอย่างไรในเรื่องนี้ศาลจะรับคำร้องขอค่าชดเชยของเจ้าของข้อมูลเมื่อใดและจำนวนเท่าใด แนวทางปฏิบัติในปัจจุบันของศาลของสหภาพยุโรปได้แสดงให้เห็นว่าจำนวนเงินเหล่านี้อาจมีตั้งแต่หลายร้อยยูโรไปจนถึงหลายแสนยูโรเช่นเดียวกับที่ถูกตัดสินไปยังอัยการในกรณีGulati กับ MGN Ltdเนื่องจากการแฮ็กหมายเลขโทรศัพท์ของคนดังโดยดี – นิตยสารที่เป็นที่รู้จัก Daily Mirror, the Sunday Mirror และผู้คน