Personal Data Protection for Serbian Entrepreneurs

Serbia does not currently have any separate regulations in place in respect of protection of "personal data" pertaining to legal entities. It does regulate the protection of natural persons' data, however, without any particular mention of entrepreneurs. Although it is clear that the Data Protection Act does not apply to company data, the issue is more complex when it comes to entrepreneurs, as they are in essence natural persons performing business activities.

Introduction

Unlike in some European jurisdictions, privacy of legal entities in the Republic of Serbia is not regulated by any separate legislation, except for the aspect of data secrecy in some specific sectors of business such as banking, and protection of information which could be qualified as a business secret. In principle a business secret is commercial information which if disposed of by third parties could bring them an economic benefit. Clearly this does not refer to some usual corporate identification data such as address of seat, corporate ID number etc. On the other hand the data protection of natural persons is regulated under the provisions of the Data Protection Act ("the DP Act") and its by-laws.

The Serbian DP Act regulates the protection of personal data defining personal data as "data relating to a natural person". From the general provisions, definitions and principles of the DP Act, it is clear that this act does not apply to the protection of pure company data, and thus such data falls outside the scope of application of the DP Act.

Are Entrepreneurs Natural Persons

Pursuant to the Companies Act, an entrepreneur is a natural person performing a business activity and possessing business capacity. Thus, there is a difference between a "natural person" and "a natural person performing business activities – an entrepreneur".

Is Personal Data related to Entrepreneurs protected under the DP Act?

Entrepreneurs can start their business activities only once they are registered with the Companies Registry, after which they will be assigned corporate identification and other data such as a corporate ID number, and a tax identification number (TIN) ("Company Data"). Apart from the abovementioned, data such as bank account numbers, swift codes etc, which typically relate only to business activities of entrepreneurs, also fall outside of the scope of the DP Act.

The Serbian DP Act does not explicitly regulate whether the data related to entrepreneurs enjoys protection under the rules of the DP Act. In addition, the Serbian Data Protection Authority ("DPA") has not issued any official opinion which would provide any clear guidelines in this respect. Therefore, the question of whether personal data relating to entrepreneurs falls under the provisions of the DP Act is rather more complex than it seems.

Pursuant to available legal opinions on the topic, the general interpretation existing in practice confirms that the data of entrepreneurs falls outside the scope of the DP Act, if such data is only correlated to an entrepreneur's business activity, and not to an entrepreneur's private life. Still there are certain marginal cases which need to be assessed on a case-by-case basis.

For instance, if an entrepreneur's private telephone number is also being processed by a data controller within for example business data records, such business data records could be considered to be personal data records at the same time, and therefore should be registered with the DPA in accordance with data protection rules.

Exception from Application of DP Act

Most company data in Serbia is publicly available information (such as business name, registered address, corporate ID no., TIN, bank account number) since such data is published at and in the online Serbian Business Registers Agency, and the registry of the National Bank of Serbia.

Pursuant to the DP Act, data which is available to every person and published in archives, official gazettes, and other publications or organisations, falls outside the scope of the DP Act. Thus, even if one would interpret the DP Act differently, and were to conclude that data of entrepreneurs is in fact personal data, still, based on the aforementioned provisions, such data should be excluded from application of the DP Act unless the interests of a natural person predominantly prevail.

Although there is a lack of official opinion and written guidelines regarding the DPA on this subject, the DPA recently reached the unique unofficial standpoint, which fully confirms our view on the issue at hand. Since data protection practice is still relatively undeveloped in Serbia, this area should be closely monitored as the DPA's practice will quite probably change in time.

_______________________________________________________________________________________

 Zaštita podataka o ličnosti za preduzetnike u Srbiji

Republika Srbija nema posebne propise o zaštiti podataka o ličnosti koji se odnose na pravna lica. Postoje propisi kojima se regulišu podaci o ličnosti fizičkih lica, ali se u pomenutim propisima ne pominju preduzetnici. Iako je jasno da se Zakon o zaštiti podataka o ličnosti ne odnosi na podatke o privrednim društvima, pitanje je kompleksnije kada je reč o preduzetnicima, koji u suštini predstavljaju fizička lica koja obavljaju delatnost.

Uvod

Za razliku od nekih drugih evropskih jurisdikcija, zaštita podataka o ličnosti koji se odnose na pravna lica u Republici Srbiji nije regulisana posebnim propisima, osim kada je reč o zaštiti podataka u određenim posebnim oblastima, kao što je bankarstvo, i zaštiti podataka koji se mogu okvalifikovati kao poslovna tajna. Poslovne tajne su, uopšteno govoreći, poslovni podaci koji bi, ukoliko bi bili otkriveni trećim licima, mogli da im donesu ekonomsku korist. Ovo se očigledno ne odnosi na uobičajene podatke o privrednim društvima, kao što su adresa sedišta, matični broj itd. S druge strane, zaštita podataka o ličnosti fizičkih lica regulisana je odredbama Zakona o zaštiti podataka o ličnosti ("ZZP") i podzakonskim propisima donetim na osnovu njega.

Zakonom o zaštiti podataka RS uređuje se zaštita podataka o ličnosti, koji se definišu kao "svaka informacija koja se odnosi na fizičko lice". Iz opštih odredaba, definicija i načela ZZP jasno je da se on ne primenjuje na zaštitu podataka koji se odnose na privredna društva u užem smislu i da ti podaci ne spadaju u delokrug njegove primene.

Da li su preduzetnici fizička lica?

Prema Zakonu o privrednim društvima, preduzetnik je poslovno sposobno fizičko lice koje obavlja delatnost. Dakle, postoji razlika između "fizičkog lica" i "fizičkog lica koje obavlja delatnost" - preduzetnika.

Da li su podaci o ličnosti koji se odnose na preduzetnike zaštićeni odredbama ZZP?

Preduzetnici mogu da počnu sa obavljanjem delatnosti tek pošto se upišu u registar privrednih subjekata, nakon čega dobijaju određene podatke kao što su matični broj i poreski identifikacioni broj (PIB) ("Poslovni podaci"). Osim navedenih podataka, ni podaci kao što su brojevi računa, svift kodovi itd, koji se uglavnom tiču isključivo delatnosti preduzetnika, ne spadaju u delokrug primene ZZP.

ZZP ne sadrži nikakvu odredbu u kojoj se izričito navodi da li podaci koji se odnose na preduzetnike uživaju zaštitu ZZP-a. Ni Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije ("Poverenik") nije izdao nikakvo zvanično mišljenje sa jasnim smernicama u vezi sa ovom temom. Stoga je pitanje da li podaci o ličnosti koji se odnose na preduzetnike spadaju u delokrug primene ZZP-a kompleksnije nego što se na prvi pogled čini.

Prema postojećim pravnim mišljenjima na tu temu, tumačenje koje je u praksi uobičajeno potvrđuje da su podaci koji se odnose na preduzetnika izvan delokruga ZZP-a, ukoliko se odnose isključivo na njegovu delatnost, a ne i privatni život. Ipak, postoje određeni marginalni slučajevi koje treba procenjivati pojedinačno od slučaja do slučaja.

Ako, na primer, rukovalac podataka obrađuje privatni broj telefona preduzetnika u okviru poslovne zbirke podataka, te zbirke bi se mogle istovremeno smatrati i zbirkama podataka o ličnosti, pa bi stoga trebalo obavestiti Poverenika o nameri uspostavljanja zbirke podataka i dostaviti evidenciju o zbirci podataka.

Izuzeci od primene ZZP

Najveći broj podataka o društvima u RS predstavljaju javno objavljeni podaci (kao što su ime društva, poslovno sedište, matični broj, PIB i broj računa), koji se objavljuju na internet stranici Agencije za privredne registre Republike Srbije, odnosno registru Narodne banke Srbije.

Prema odredbama ZZP, podaci koji su dostupni svakome i objavljeni u javnim glasilima i publikacijama ili pristupačni u arhivama i drugim sličnim organizacijama ne spadaju u delokrug ZZP. Stoga, čak i kada bismo ZZP tumačili drugačije i zaključili da podaci koji se odnose na preduzetnike jesu podaci o ličnosti, oni bi ipak, u skladu sa navedenim odredbama, trebalo da budu izuzeti iz primene ZZP, osim ukoliko očigledno pretežu suprotni interesi lica.

Uprkos odsustvu dovoljnog broja zvaničnih mišljenja i pisanih smernica za postupanje od strane Poverenika u ovom smislu, Poverenik je nedavno izrazio jedinstveni nezvanični stav, kojim se u celosti potvrđuje naše viđenje ovog pitanja. Pošto je zaštita podataka u Republici Srbiji još uvek oblast koja je u razvoju, treba je pažljivo pratiti, pošto će se praksa Poverenika s vremenom verovatno menjati.