กฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบียเริ่มใช้ในวันที่ 21 สิงหาคม 2019 ในชุดโพสต์บล็อก เราได้สรุปเนื้อหาใหม่ๆ ที่สำคัญที่กฎหมายใหม่ได้แนะนำไว้

คุณสนใจที่จะทราบว่าบริษัทของคุณต้องเผชิญกับผลที่ตามมาอย่างไร เนื่องจากการไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบีย ใครเป็นผู้รับผิดชอบในการละเมิดกฎหมาย บทลงโทษที่อาจเกิดขึ้น ขอบเขตที่อาจส่งผลกระทบต่อกิจกรรมทางธุรกิจของบริษัท ผู้ควบคุมว่าคุณกำลังรวบรวมและประมวลผลข้อมูลส่วนบุคคลตามกฎหมายหรือไม่ ค่าปรับที่คล้ายกับที่ให้ไว้ โดยGDPR ?

หากคุณเชื่อว่ากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นเพียงกฎเกณฑ์จำนวนมากที่ไม่มีจุดประสงค์ใด ๆ เช่น ไม่มีอะไรเลยนอกจากจดหมายที่ตายแล้ว คุณอาจต้องคิดทบทวนให้ดีเสียก่อน

เนื่องจาก GDPR มีผลบังคับใช้ในสหภาพยุโรปในเดือนพฤษภาคม 2018 และตามมาด้วยกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบีย (ต่อไปนี้คือกฎหมาย) ความตระหนักของผู้คนจึงเพิ่มขึ้นอย่างมากเมื่อพูดถึงสิทธิของพวกเขา ซึ่งเป็นเครื่องบ่งชี้อีกประการหนึ่งอย่างแน่นอนว่า บริษัทเซอร์เบียควรดำเนินการตามกฎหมายอย่างจริงจัง สิ่งที่ยืนยันอีกครั้งถึงความสำคัญของสิทธิในการปกป้องข้อมูลส่วนบุคคลคือข้อเท็จจริงที่ว่ารัฐธรรมนูญแห่งสาธารณรัฐเซอร์เบียรับประกันในหัวข้อเกี่ยวกับสิทธิมนุษยชนและชนกลุ่มน้อยและเสรีภาพ

เราได้เห็นแล้ววิธีการอย่างจริงจังสหภาพยุโรปได้ดำเนินงานนี้โดยการบังคับใช้ GDPR ,ดังนั้นเราจึงสามารถสรุปได้ว่าในกรณีที่มีการรั่วไหลของข้อมูลส่วนบุคคลที่คล้ายกันในประเทศของเราในอนาคตของ บริษัท ที่ทำผิดไม่ได้ดูสดใส

บริษัทของคุณอาจต้องเผชิญกับอันตรายอะไรบ้าง?

เราจะเริ่มต้นด้วยอันตรายที่คนมักกลัวมากที่สุดซึ่งเป็นความรับผิดทางอาญา

1. ความรับผิดทางปกครอง

กฎหมายระบุความผิดถึง 32 ความผิดซึ่งผู้ควบคุมข้อมูล กล่าวคือ ผู้ประมวลผลอาจถูกลงโทษ และในบรรดาความผิดที่ระบุไว้ ได้แก่ การประมวลผลข้อมูลส่วนบุคคลที่ไม่สอดคล้องกับหลักการสำคัญของการประมวลผลข้อมูล การประมวลผลข้อมูลเพื่อวัตถุประสงค์ที่ขัดต่อ กฎหมายหากข้อมูลส่วนบุคคลไม่ถูกลบตามกฎหมายหากข้าราชการ ไม่ได้รับแจ้งเกี่ยวกับการละเมิดข้อมูล

ศาลอาญาอาจกำหนดค่าปรับสำหรับผู้ควบคุมข้อมูล หรือผู้ประมวลผลที่ทำหน้าที่เป็นบุคคลตามกฎหมายเนื่องจากความผิดที่ระบุไว้ภายในช่วงจาก RSD 50,000 ถึง RSD 2,000,000 หากพบว่าผู้ควบคุมข้อมูลหรือผู้ประมวลผลได้กระทำความผิดหลายครั้งพร้อมกัน อาจถูกปรับสูงถึง 4,000,000 RSD

นอกจากนี้ บุคคลธรรมดาที่ไม่เก็บข้อมูลส่วนบุคคลไว้เป็นความลับ ซึ่งพวกเขาได้มาจากการจ้างงาน อาจถูกปรับจาก RSD 5,000 เป็น RSD 150,000 สำหรับความผิดที่กระทำ

นอกจากค่าปรับที่ระบุไว้แล้ว หากผู้ควบคุมข้อมูลหรือผู้ประมวลผลในฐานะบุคคลตามกฎหมายละเมิดภาระหน้าที่ตามกฎหมาย กรรมาธิการอาจปรับพวกเขาด้วยรายงานความผิดทางอาญาโดยมีค่าปรับจำนวน 100,000 RSD ภาระผูกพันที่ระบุไว้มีดังต่อไปนี้:

  • เพื่อดำเนินการประมวลผลเพื่อวัตถุประสงค์ทางการตลาดแบบตรง และเจ้าของข้อมูลได้ยื่นคำคัดค้านต่อการประมวลผลดังกล่าว
  • ไม่แต่งตั้งผู้แทนในสาธารณรัฐเซอร์เบีย
  • ไม่ประกาศข้อมูลติดต่อของ อ.ส.ค. ( Data Protection Officer )และไม่ส่งข้อมูลให้ กกต. เป็นต้น

วิธีการกำหนดค่าปรับในแต่ละกรณี?

โปรดทราบว่าเมื่อกำหนดจำนวนเงินที่แน่นอนของค่าปรับ จะต้องคำนึงถึงสิ่งต่อไปนี้ด้วย: แรงโน้มถ่วงและผลที่ตามมาของความผิดที่กระทำ ลักษณะของความผิด จำนวนข้อมูลที่ได้รับผลกระทบจากการกระทำความผิดให้แม่นยำยิ่งขึ้น ความเสียหายที่ได้รับ ระยะเวลาของการกระทำผิด ประเภทของข้อมูลส่วนบุคคลที่ถูกละเมิด มาตรการที่ใช้เพื่อบรรเทาความเสียหาย ไม่ว่าจะมีการรายงานการกระทำความผิด ฯลฯ

เหล่านี้เป็นพฤติการณ์ที่ศาลอาญาพิจารณาเมื่อกำหนดจำนวนเงินค่าปรับ ดังนั้น หากคุณละเมิดข้อบังคับในการปกป้องข้อมูลส่วนบุคคล ขอแนะนำให้ดำเนินการทุกขั้นตอนเพื่อลดผลที่ตามมาของการกระทำความผิด

นโยบายค่าปรับ GDPR ในสหภาพยุโรป

หากคุณเชื่อว่าค่าปรับที่กำหนดไว้สำหรับการละเมิดกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบียนั้นสูง ให้คิดใหม่อีกครั้ง

กล่าวคือ GDPR คาดการณ์ว่าบริษัทที่ละเมิดข้อมูลส่วนบุคคลอาจต้องเผชิญกับค่าปรับสูงถึง 4% ของมูลค่าการซื้อขายประจำปีทั่วโลก หรือสูงถึง 20 ล้านยูโร ขึ้นอยู่กับว่าในสองจำนวนเงินใดจะสูงกว่า ซึ่งหมายความว่าบริษัทต่างๆ ที่ GDPR บังคับใช้อาจเผชิญกับผลร้ายอย่างง่ายดายและต้องเผชิญกับบทลงโทษที่สูงมาก!

เมื่อเรามองที่ตัวเลขทางดาราศาสตร์เหล่านี้เราได้รับความประทับใจที่ว่า บริษัท เสมอค่าปรับใบหน้าเป็นจำนวนเงินนับล้านถ้าพวกเขาละเมิด GDPR การที่เราได้จัดตั้งขึ้นแล้วจากตัวอย่างของบริติชแอร์เวย์และแมริออทอินเตอร์เนชั่นแนล อย่างไรก็ตาม ความเป็นจริงแตกต่างออกไป จากแนวทางปฏิบัติในปัจจุบันของเรา เราสรุปได้ว่าบริษัทขนาดเล็กยังถูกปรับสำหรับการละเมิด GDPR เป็นจำนวนเงินหลายร้อยหรือหลายพันยูโร ทั้งหมดตามสัดส่วนของเกณฑ์การปรับที่กล่าวข้างต้น ดังนั้นเราจึงมีตัวอย่าง เช่น สถานพยาบาลในบัลแกเรียที่ถูกปรับเป็นจำนวนเงิน 510 ยูโร บริษัทรถเช่าในสาธารณรัฐเช็กซึ่งถูกปรับ 1,1650 ยูโร ในขณะที่ในออสเตรีย สถานที่เดิมพันถูกปรับเป็นจำนวนเงิน จำนวน 4,800 ยูโร

2. ความรับผิดทางอาญา

ข้อเท็จจริงตามประมวลกฎหมายอาญาเล็งเห็นถึงการจำคุกเป็นบทลงโทษสำหรับการละเมิดการปกป้องข้อมูลส่วนบุคคล ระบุว่าการปกป้องข้อมูลส่วนบุคคลนั้นจริงจังเพียงใด นอกจากนี้ เป็นสิ่งสำคัญที่จะต้องทราบว่ามีเพียงบุคคลธรรมดาเท่านั้นที่อาจต้องรับผิดทางอาญา

ประมวลกฎหมายอาญากำหนดให้บุคคลที่รวบรวม ประมวลผล และใช้ข้อมูลส่วนบุคคลเกี่ยวกับบุคคลภายใต้กฎหมายได้รับ สื่อสารกับบุคคลอื่นหรือใช้เพื่อวัตถุประสงค์ที่ไม่ได้ตั้งใจ และผู้ที่รวบรวมข้อมูลส่วนบุคคลของ เจ้าของข้อมูลหรือใช้ข้อมูลดังกล่าวอาจถูกปรับหรือจำคุกไม่เกินหนึ่งปี นอกจากนี้ หากการกระทำนี้กระทำโดยเจ้าหน้าที่ที่ปฏิบัติหน้าที่ราชการ จะถูกขู่จำคุกไม่เกิน 3 ปี

ดังที่ได้กล่าวไว้ ประมวลกฎหมายอาญาก่อให้เกิดการกระทำที่หลากหลายซึ่งถือได้ว่าเป็นการกระทำทางอาญาของการรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ให้แม่นยำยิ่งขึ้น หมายถึงการประมวลผลข้อมูลใดๆ ที่ขัดต่อหลักการประมวลผล ซึ่งเราได้กล่าวถึงในรายละเอียดก่อนหน้านี้แล้วบล็อกโพสต์เกี่ยวกับกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบีย

อนาคตจะบอกได้อย่างแน่นอนว่าศาลจะลงโทษผู้ที่กระทำความผิดทางอาญานี้ในระดับใด

3. ความเสี่ยงด้านชื่อเสียง

อันตรายที่บริษัทต้องเผชิญเมื่อละเมิดกฎหมายคุ้มครองข้อมูลไม่ได้เป็นเพียงตัวเงินเท่านั้น การสูญเสียความไว้วางใจในบริษัทในส่วนของลูกค้าที่ข้อมูลถูกละเมิดอาจมีผลที่ตามมามากกว่ามาก

แม้ว่าบทลงโทษจะส่งผลเพียงครั้งเดียวต่อสถานะทางการเงินของบริษัท ซึ่งบ่อยครั้ง บริษัทเหล่านั้นที่ทำธุรกิจได้สำเร็จอาจกู้คืนได้ ในทางกลับกัน ชื่อเสียงที่เปื้อนเนื่องจากการประนีประนอมกับข้อมูลส่วนบุคคลของลูกค้าอาจทำให้เกิดหายนะในระยะยาว ผลกระทบทางการเงิน ผลที่ตามมาเหล่านี้อาจสะท้อนให้เห็นในการสูญเสียลูกค้าเดิมหรือลูกค้าที่คาดหวัง กิจกรรมทางธุรกิจที่ลดลง การสูญเสียการลงทุนที่อาจเกิดขึ้น มูลค่าตลาดของบริษัทตกต่ำ…

บริษัทสตาร์ทอัพต้องให้ความสำคัญเป็นพิเศษกับการปกป้องข้อมูลส่วนบุคคล เพื่อไม่ให้มีการตั้งคำถามเกี่ยวกับกิจกรรมทางธุรกิจในอนาคตของพวกเขา นอกจากนี้ หากพวกเขาต้องการหาพันธมิตรที่จะลงทุนในบริษัทของตน หรือหากต้องการขายบริษัท ขั้นตอนการตรวจสอบสถานะจะนำไปสู่การสูญเสียการลงทุนที่สำคัญอย่างแน่นอน หากพบว่าพวกเขาได้ละเมิดข้อมูลส่วนบุคคลของลูกค้า ข้อมูลซึ่งอาจนำไปสู่การปิดกิจการของบริษัทที่อาจมีอนาคตที่สดใส

4. ความรับผิดที่มิใช่ตัวเงิน

กรรมาธิการด้านข้อมูลความสำคัญสาธารณะและการปกป้องข้อมูลมีสิทธิในฐานะผู้มีหน้าที่รับผิดชอบในการกำกับดูแลการบังคับใช้กฎหมาย เหนือสิ่งอื่นใด เพื่อแจ้งผู้ควบคุมข้อมูลหรือผู้ประมวลผลเกี่ยวกับการละเมิดกฎหมายที่อาจเกิดขึ้นเพื่อร้องขอและได้รับอนุญาตให้เข้าถึงจาก ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลในข้อมูลส่วนบุคคลทั้งหมด ตลอดจนข้อมูลที่จำเป็นสำหรับการใช้อำนาจหน้าที่ ร้องขอและได้รับอนุญาตให้เข้าถึงทุกสถานที่ของผู้ควบคุมข้อมูลและผู้ประมวลผล รวมถึงการเข้าถึงทรัพย์สินและอุปกรณ์ทั้งหมด

นอกจากนี้ กรรมาธิการยังได้รับอนุญาตให้ใช้มาตรการแก้ไข ซึ่งหมายความว่าพวกเขาได้รับอนุญาตให้สั่งให้ผู้ควบคุมข้อมูลและผู้ประมวลผลดำเนินการตามคำขอของบุคคลที่เกี่ยวข้องเกี่ยวกับการใช้สิทธิ์ของตน เพื่อให้กิจกรรมการประมวลผลสอดคล้องกับบทบัญญัติของ กฎหมาย สั่งให้ผู้ควบคุมข้อมูลแจ้งให้บุคคลที่เกี่ยวข้องทราบเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล กำหนดข้อจำกัดชั่วคราวหรือถาวรสำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคล รวมถึงการห้ามการประมวลผลข้อมูล ฯลฯ

ด้วยวิธีนี้ กรรมาธิการจะมีบทบาทอย่างแข็งขันในกระบวนการปกป้องข้อมูลส่วนบุคคลและการลบการละเมิดที่กระทำ

เจ้าของข้อมูลสามารถทำอะไรกับข้อมูลได้บ้าง?

เจ้าของข้อมูลมีสิทธิ์ยื่นคำร้องต่อคณะกรรมาธิการหากพวกเขาเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของพวกเขาถูกดำเนินการขัดต่อกฎหมาย ถ้าเป็นเช่นนั้น กรรมาธิการมีหน้าที่แจ้งให้ผู้ยื่นคำร้องทราบถึงขั้นตอนการดำเนินการ ผลของกระบวนการ ตลอดจนสิทธิของผู้ยื่นคำร้องในการเริ่มต้นกระบวนการพิจารณาคดี กรรมาธิการสามารถดำเนินการอย่างใดอย่างหนึ่งตามที่ระบุไว้ข้างต้นภายในขั้นตอนนี้ เช่นเดียวกับการกระทำอื่น ๆ ทั้งหมดที่เขาได้รับอนุญาตให้ดำเนินการภายใต้กฎหมาย บุคคลนั้นมีสิทธิฟ้องคดีปกครองต่อคำวินิจฉัยของกรรมาธิการ

นอกจากนี้เจ้าของข้อมูลที่มีข้อมูลถูกละเมิดมีสิทธิ์ที่จะเริ่มดำเนินคดีกับผู้ควบคุมข้อมูลหรือผู้ประมวลผลโดยจะร้องขอการแก้ไขหรือลบข้อมูล รวมถึงการยุติการประมวลผลข้อมูล สิ่งสำคัญคือต้องทราบว่าการยื่นฟ้องคดีนี้ไม่ส่งผลต่อการให้สิทธิ์ของเจ้าของข้อมูลเพื่อเริ่มต้นกระบวนการอื่นในการคุ้มครองทางปกครองหรือศาล

กฎหมายของเราปฏิบัติตามข้อกำหนดของ GDPR ในด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างเต็มที่เช่นกัน

5. ค่าตอบแทน

แม้ว่าการชดเชยอันเนื่องมาจากการละเมิดข้อมูลส่วนบุคคลยังไม่ได้รับความสนใจมากนัก แต่อาจก่อให้เกิดผลทางการเงินที่มากกว่าบทลงโทษที่กฎหมายกำหนดไว้

กล่าวคือ เจ้าของข้อมูลที่ได้รับความเสียหายทางวัตถุหรือความเสียหายที่ไม่ใช่สาระสำคัญอันเนื่องมาจากการประมวลผลข้อมูลของตนอย่างผิดกฎหมาย มีสิทธิ์เรียกร้องค่าชดเชยโดยการฟ้องร้องต่อผู้ควบคุมข้อมูลหรือผู้ประมวลผลที่เป็นต้นเหตุ ศาลจะตัดสินในคดีความว่าเจ้าของข้อมูลได้รับความเสียหายจริงหรือไม่ และหากเป็นเช่นนั้น ค่าชดเชยที่ยุติธรรมสำหรับความเสียหายที่ได้รับจะเป็นจำนวนเท่าใด

ผู้ควบคุมข้อมูล กล่าวคือ ผู้ประมวลผลจะไม่ได้รับอันตรายจากความเสียหายเฉพาะในกรณีที่พิสูจน์ได้ว่าตนไม่รับผิดชอบต่อความเสียหายที่เกิดขึ้นในทางใดทางหนึ่ง

ความเสียหายที่เกิดขึ้นอาจเป็นได้ทั้งวัสดุและไม่ใช่วัสดุ ดังนั้น นอกจากการสูญเสียทางการเงินแล้ว เจ้าของข้อมูลอาจได้รับความเสียหายเนื่องจากการประมวลผลที่ผิดกฎหมาย (เช่น หากข้อมูลในบัตรเครดิตของพวกเขาถูกแฮ็ก) การประมวลผลข้อมูลที่ผิดกฎหมายอาจละเมิดชื่อเสียง เกียรติ เสรีภาพ และสิทธิส่วนบุคคล…

จำนวนเงินค่าตอบแทนคืออะไร?

ให้ศาลกำหนดจำนวนเงินค่าเสียหายที่ได้รับตามแต่ละกรณี เนื่องจากการดำเนินการตามกฎหมายเพิ่งเริ่มต้นขึ้นในประเทศของเรา ยังไม่เป็นที่ทราบแน่ชัดว่าจุดยืนของศาลในเรื่องนี้จะเป็นอย่างไร เมื่อใดที่ศาลจะรับคำร้องขอชดเชยจากเจ้าของข้อมูลและจำนวนเงินเท่าใด แนวปฏิบัติในปัจจุบันของศาลของสหภาพยุโรปได้แสดงให้เห็นว่าจำนวนเงินเหล่านี้อาจมีตั้งแต่หลายร้อยยูโรจนถึงหลายแสนยูโร ตามที่อัยการตัดสินในคดีGulati กับ MGN Ltdเนื่องจากการแฮ็กหมายเลขโทรศัพท์ของคนดังโดยดี- นิตยสารชื่อดังอย่าง Daily Mirror, the Sunday Mirror และ the People