🇷🇸 Сербия · ZZPL · Повереник · DPO · EU-кандидат
Персональные данные в Сербии: ZZPL для IT-компаний
Закон о заштити података о личности (ZZPL) действует с 21 августа 2019 года.
Штрафы — до RSD 2 000 000 (~€17 000) за одно нарушение. Новый закон с GDPR-уровнем штрафов
готовится. Разбираем ZZPL, Повереника, DPO, трансграничную передачу и dual compliance для
IT-компаний в Белграде.
- ZZPL · в силе 21.08.2019
- Повереник · Inspection · RSD 2M max
- DPO · Whitelist · SCCs · 72 часа
- EU-кандидат · IP Box · Dual compliance
- 1ZZPL: структура, принципы, путь к GDPR
- 2Повереник: регулятор, проверки, enforcement
- 3Штрафы: RSD 50K–2M, почему такие низкие
- 4Новый закон: GDPR-уровень штрафов и прямые полномочия
- 5DPO: кому обязателен, что публиковать
- 6Трансграничная передача: whitelist, SCCs, Россия
- 7Breach notification: 72 часа Поверенику
- 8IT-компании в Сербии: dual compliance ZZPL + GDPR
- 9Почему Сербия популярна у IT: льготы и compliance
- 10Чек-лист: 8 пунктов compliance
- ?FAQ
1ZZPL: структура, принципы, путь к GDPR
Zakon o zaštiti podataka o ličnosti (ZZPL) — сербский Закон о защите персональных данных — был принят в ноябре 2018 года и вступил в силу 21 августа 2019 года. Закон принимался сознательно как GDPR-аналог: Сербия — кандидат в ЕС с 2012 года, и гармонизация законодательства о ПДн является прямым требованием переговорного процесса (глава 23 «Правосудие и основные права»).
2012
Кандидат в ЕС
Сербия получила официальный статус кандидата на вступление в ЕС
2018
ZZPL принят
Ноябрь 2018 · Закон о заштити података о личности опубликован
2019
ZZPL в силе
21 августа 2019 · Полная замена предыдущего закона 2008 года
202?
Новый закон
Готовится GDPR-уровень штрафов и прямые полномочия Повереника
Структура ZZPL повторяет GDPR: те же шесть правовых оснований обработки, те же права субъектов (доступ, исправление, удаление, переносимость, ограничение, возражение), те же требования к согласию. Если вы знакомы с GDPR, ориентироваться в ZZPL будет просто — с поправкой на специфику правоприменения и штрафной системы.
Zakonitost / Lawfulness
Законность, добросовестность, прозрачность
Наличие правового основания, честность перед субъектом, информированность
Ograničenje svrhe / Purpose limitation
Ограничение цели
Данные — только для заявленных целей. Вторичное использование — отдельное основание
Minimizacija / Data minimisation
Минимизация данных
Только необходимый объём. «На всякий случай» — нарушение принципа
Tačnost / Accuracy
Точность
Актуальность данных, процедура исправления устаревшей информации
Ograničenje čuvanja / Storage limitation
Ограничение хранения
Нельзя хранить бессрочно. Нужна политика retention с расписанием удаления
Celovitost / Integrity & accountability
Целостность и подотчётность
Безопасность данных + обязанность доказать соответствие требованиям
Экстерриториальность: Как и GDPR, ZZPL применяется к любому контроллеру, который обрабатывает ПДн лиц, находящихся на территории Сербии, — независимо от страны регистрации компании. Сайт с сербской аудиторией = ZZPL в объёме полностью.
2Повереник: регулятор, проверки, enforcement
Повереник за информације од јавног значаја и заштиту података о личности (Poverenik) — независимый государственный орган, сочетающий функции омбудсмена по свободе информации и регулятора персональных данных. Назначается парламентом Сербии, подотчётен только закону. Именно Повереник — главный адресат вопросов compliance по ZZPL.
🔍
Инспекционные полномочия
Плановые и внеплановые проверки по жалобам субъектов и по собственной инициативе. Запрос документов, доступ к системам
⚖️
Корректирующие меры
Предписания об устранении нарушений, временный запрет обработки, инициирование судебного штрафа через компетентный суд
📢
Консультативные полномочия
Издаёт обязательные рекомендации и методические руководства по применению ZZPL, отвечает на запросы контроллеров
С 2025 года Повереник существенно усилил надзорную активность по трём направлениям: accountability (наличие RoPA, политик, внутренних процедур), мониторинг сотрудников (видеонаблюдение, keyloggers, GPS-трекинг корпоративных устройств) и утечки через email (пересылка ПДн на личные ящики, отсутствие шифрования). IT-компании, где сотрудники работают удалённо и используют личные устройства, автоматически попадают в зону повышенного внимания.
📋
Accountability (2025 — приоритет №1)
Повереник проверяет наличие внутреннего реестра деятельности по обработке (RoPA), политик безопасности, процедур DSR. Отсутствие документации = нарушение, даже если данные фактически защищены
👁️
Мониторинг сотрудников (2025 — приоритет №2)
Контроль переписки, отслеживание местоположения, запись экрана — всё это обработка ПДн. Нужны: уведомление сотрудников, правовое основание, пропорциональность
📧
Email-утечки (2025 — приоритет №3)
Пересылка списков клиентов, HR-данных или платёжных реквизитов на личные ящики сотрудников классифицируется как инцидент безопасности. Требует уведомления Повереника
Важно: В отличие от GDPR-регуляторов ЕС, Повереник не штрафует напрямую — он направляет материалы в компетентный суд, который назначает штраф. Это замедляет процесс, но не делает его менее болезненным: судебное разбирательство — публичный процесс, репутационные последствия сохраняются.
3Штрафы: RSD 50K–2M, почему такие низкие
Штрафная система ZZPL — главное структурное отличие от GDPR. Максимальный штраф на порядок ниже европейского, а механизм назначения штрафов принципиально иной: Повереник сам штрафовать не вправе, он направляет дело в суд.
Стандартный штраф
RSD 50K – 2M
≈ €425 – €17 000
За большинство нарушений ZZPL: отсутствие правового основания, нарушение прав субъекта, ненадлежащая безопасность
Фиксированный штраф
RSD 100K
≈ €850
За отсутствие DPO (если обязателен) и за нарушения в области direct marketing / рекламных рассылок
Совокупный максимум
RSD 4M
≈ €34 000
Суммарный предел штрафов по нескольким нарушениям в рамках одного производства
💡 Почему штрафы такие низкие?
Повереник не имеет прямых административных полномочий назначать штрафы — только суд. Это ограничение ZZPL изначально вызвало критику со стороны ЕС. При подготовке нового закона одно из ключевых требований — передать Поверенику прямые административные полномочия и поднять размер санкций до GDPR-уровня
⚠️ Не недооценивайте риски
低кий штраф ≠ низкий риск. Судебное производство публично. Повереник публикует решения. Репутационный ущерб для B2B-компании может многократно превысить сумму штрафа. Кроме того, Повереник вправе запретить обработку — что для IT-продукта равносильно остановке бизнеса
По курсу июня 2025 года (≈ 117 RSD/EUR) RSD 2 000 000 = около €17 100. Для сравнения: GDPR позволяет штрафовать до €20 000 000 или 4% мирового оборота за нарушения второй категории. Разрыв кратный — и именно поэтому новый сербский закон в разработке.
4Новый закон: GDPR-уровень штрафов и прямые полномочия
Действующий ZZPL — переходный этап. ЕС в рамках переговоров о вступлении (глава 23) прямо указывает, что Сербии необходимо усилить независимость регулятора, повысить санкции и расширить инструментарий enforcement. Работа над новым законом ведётся, и его ключевые параметры уже обозначены.
СЕЙЧАС
Штрафы через суд · Max RSD 2M (~€17K)
Повереник выявляет нарушение, передаёт в суд, суд назначает штраф. Долго, публично, но исполняется не мгновенно
НОВЫЙ ЗАКОН
Прямые административные штрафы Повереника
Повереник получит полномочия назначать штрафы самостоятельно — без суда — аналогично GDPR-регуляторам ЕС
СЕЙЧАС
Max штраф — RSD 4M совокупно (~€34K)
Невысокий барьер, особенно для крупных IT-компаний. Не создаёт достаточного deterrent-эффекта
НОВЫЙ ЗАКОН
GDPR-уровень: до €20M или 4% оборота
Двухуровневая штрафная система как в GDPR — менее серьёзные нарушения до €10M/2%, критические до €20M/4%
НОВЫЙ ЗАКОН
Усиленная независимость Повереника
Увеличение ресурсов, расширение штата инспекторов, более чёткое разграничение полномочий — требование ЕС для переговорной главы 23
Практический совет: Не ждите принятия нового закона, чтобы навести порядок с compliance. Компании, которые построят документацию и процессы сейчас, при переходе на новые требования потратят минимальные ресурсы. Те, кто откладывает — окажутся под давлением GDPR-уровня штрафов без подготовленной инфраструктуры.
5DPO: кому обязателен, что публиковать
ZZPL воспроизводит требования GDPR Art. 37 об обязательном назначении лица, ответственного за защиту данных (DPO / лице за заштиту података). Ключевое отличие от GDPR — более чёткие категории обязательного назначения без расплывчатого «large scale».
Обязателен
Государственные органы
Все госорганы и публичные учреждения — без исключений, независимо от объёма обработки
Обязателен
Масштабный систематический мониторинг
Систематическое и масштабное наблюдение за субъектами данных — рекламные сети, аналитика поведения, СКУД
Обязателен
Специальные категории в масштабе
Масштабная обработка: биометрия, здоровье, генетика, религия, политические взгляды, судимости
Рекомендуется
B2C SaaS с сербской аудиторией
Если пользователей тысячи и ведётся аналитика поведения — формально может подпадать под «масштабный мониторинг»
Рекомендуется
HR-tech / EHR / LegalTech
Платформы, обрабатывающие чувствительные профессиональные, медицинские или юридические данные пользователей
Не требуется
Малый B2B без специальных категорий
Компания обрабатывает только контактные данные клиентов-юрлиц и собственных сотрудников без масштабного профилирования
📌Контактные данные DPO публикуются — на сайте компании в доступном месте (раздел Политики конфиденциальности)
📨Контакт DPO сообщается Поверенику — при назначении подаётся уведомление в Повереник с именем и контактами DPO
🚫Конфликт интересов запрещён — DPO не может одновременно быть CEO, CFO, CTO или юридическим директором (лицом, принимающим решения об обработке)
🌐Внешний DPO разрешён — аутсорсинг допустим, нужен договор с чётким описанием задач и независимостью DPO от контроллера
Штраф за отсутствие DPO: фиксированные RSD 100 000 (~€850). Небольшая сумма по меркам GDPR, но это отправная точка — новый закон значительно повысит санкцию.
6Трансграничная передача: whitelist, SCCs, Россия
ZZPL допускает свободную трансграничную передачу ПДн только в страны, включённые в список стран с надлежащим уровнем защиты, утверждённый Повереником. В основу списка положены: членство в ЕС/ЕЭА, ратификация Конвенции 108 Совета Европы (с дополнительным Протоколом) и наличие независимого надзорного органа. Для стран вне списка — нужны дополнительные гарантии.
| Страна / группа | Статус | Что нужно для передачи |
|---|---|---|
| 🇪🇺 ЕС и ЕЭА | Whitelist | Свободная передача без дополнительных гарантий |
| 🇨🇭 Швейцария, Великобритания | Whitelist | Adequacy-решение признано Повереником |
| 🇯🇵 🇨🇦 🇰🇷 Япония, Канада, Ю.Корея | Whitelist | Входят в список стран с надлежащей защитой |
| 🇷🇺 Россия | Не в whitelist | SCCs, BCR или разрешение Повереника. Россия — отдельные требования 152-ФЗ → |
| 🇰🇿 Казахстан | Не в whitelist | SCCs или разрешение Повереника. Отдельная оценка уровня защиты |
| 🇺🇸 США | Условно | После EU-US Data Privacy Framework — зависит от сертификации получателя. SCCs как альтернатива |
| Прочие страны | Не в whitelist | SCCs (стандартные договорные оговорки), BCR (внутрикорпоративные правила) или разрешение Повереника |
SCCs по-сербски: Повереник принял шаблонные договорные оговорки, близкие к GDPR SCCs 2021 года. Если у вас уже есть SCCs с процессорами под GDPR, их можно адаптировать для целей ZZPL — структура идентична, нужна только замена реквизитов применимого права.
7Breach notification: 72 часа Поверенику
Требования ZZPL к уведомлению об инцидентах безопасности практически идентичны GDPR Art. 33–34: 72 часа на уведомление Повереника и «без необоснованной задержки» для субъектов при высоком риске. С 2025 года это одна из приоритетных тем надзорной деятельности.
1
Обнаружение и оценка · немедленно
Зафиксировать факт инцидента. Оценить: затронуты ли ПДн? Какие категории? Сколько субъектов? Есть ли вероятность вреда?
2
Уведомление Повереника · в течение 72 часов
Даже если оценка не завершена — уведомить Повереника в течение 72 часов с момента, когда стало известно об инциденте. Можно дополнять позже
3
Уведомление субъектов · без задержки при высоком риске
Если инцидент может повлечь значительный вред субъектам (финансовый, репутационный, дискриминация) — уведомить напрямую. Язык — понятный, не технический
4
Документирование всех инцидентов · всегда
Даже если уведомление не требовалось — зафиксировать в журнале инцидентов: дата, описание, меры реагирования, вывод об отсутствии высокого риска
📋 Что должно содержать уведомление Поверенику
Описание характера нарушения (тип данных, категории субъектов)
Приблизительное число затронутых субъектов и записей
Имя и контактные данные DPO или иного ответственного лица
Вероятные последствия нарушения для субъектов
Меры, принятые или планируемые для устранения последствий
Статус расследования (при неполной информации — дополняется позже)
8IT-компании в Сербии: dual compliance ZZPL + GDPR
Большинство IT-компаний в Белграде работают одновременно в двух регуляторных пространствах: сербские пользователи и сотрудники — ZZPL, европейские клиенты — GDPR. Хорошая новость: законы достаточно похожи, чтобы единая документальная база покрывала оба.
🇷🇸
ZZPL · Повереник
Сербские субъекты данных
- Сотрудники в Сербии (HR-данные)
- Пользователи с сербскими IP / контактами
- Клиенты — сербские юрлица (их сотрудники)
- DPO + уведомление Поверенику
- Whitelist или SCCs для трансфера
🇪🇺
GDPR · EU DPA
Европейские субъекты данных
- Клиенты и пользователи из ЕС/ЕЭА
- Представитель в ЕС (Art. 27 GDPR)
- SCCs для трансфера из ЕС в Сербию
- Cookie Banner по GDPR
- Штрафы до €20M / 4% оборота
⚠️ Prior consultation с Повереником при high-risk DPIA
ZZPL требует предварительной консультации с Повереником, если DPIA выявила высокий остаточный риск, который не удаётся устранить мерами безопасности. Это аналог GDPR Art. 36. На практике: если вы запускаете функцию биометрической аутентификации, масштабное профилирование или систему мониторинга сотрудников — сначала проводим DPIA, затем при необходимости консультируемся с Повереником, и только потом запускаем. Нарушение этого порядка — самостоятельное нарушение ZZPL.
Оптимальная структура документов для dual compliance: единая Политика конфиденциальности с двумя блоками («Для пользователей из Сербии — ZZPL» и «Для пользователей из ЕС — GDPR»), один DPO, покрывающий оба закона, и единый шаблон DPA с разделом о применимом праве. Это стандартная юридическая упаковка для международного IT-продукта.
9Почему Сербия популярна у IT: льготы и compliance
Сербия привлекает IT-компании и аутсорс-разработчиков по ряду структурных причин: развитый технический университет, сильная инженерная культура и конкурентная стоимость разработки. К этому добавляется налоговая система, специально заточенная под IT. Однако налоговые льготы и compliance с ZZPL — независимые обязательства.
💼
IP Box — 3% налог на прибыль от IP
Прибыль от использования интеллектуальной собственности (ПО, патенты) облагается по ставке 3% вместо стандартных 15% налога на прибыль. Одна из лучших IP Box систем в регионе
🧑💻
Предпринимательство программистов (паушалац)
IT-специалисты могут работать как индивидуальные предприниматели с низкой фиксированной налоговой нагрузкой. Упрощает привлечение местных разработчиков
🏛️
EU-кандидат с 2012 года
Стабильный институциональный курс на евроинтеграцию. Нормативная база (включая ZZPL) системно гармонизируется с европейскими стандартами
🌍
Визовая доступность и география
Белград — безвизово для граждан большинства постсоветских стран. Прямые рейсы в Москву, Стамбул, Дубай. Часовой пояс UTC+1 — удобен для работы с ЕС и частично с СНГ
⚠️ Распространённое заблуждение: «Малый бизнес освобождён от ZZPL»
ZZPL не содержит освобождений по размеру компании. Стартап из трёх человек с сербскими пользователями обязан соблюдать ZZPL точно так же, как крупная корпорация. Единственные исключения — сугубо личная или домашняя обработка данных. IT-продукт с регистрацией пользователей под это исключение не подпадает. Для сравнения: Грузия с аналогичным GDPR-подобным законом также не имеет размерных изъятий. Обязательства универсальны.
Итого, юридическая упаковка для работы в Сербии — это не опция «для больших компаний», а базовый элемент операционной готовности продукта.
10Чек-лист: 8 пунктов compliance для Сербии
- 1Политика конфиденциальности под ZZPLобязательноПокрывает 6 принципов, правовые основания обработки, права субъектов, сроки хранения, трансграничные передачи, реквизиты контроллера и DPO. Публикуется на сайте до начала сбора данных
- 2Реестр деятельности по обработке (RoPA)обязательноВнутренний документ: все виды обработки, цели, категории данных и субъектов, получатели, сроки хранения, меры безопасности. Предъявляется Поверенику при проверке
- 3DPO (если применимо) + уведомление ПовереникаобязательноОцените критерии: масштабный мониторинг, специальные категории, госорган. Если обязателен — назначить, опубликовать контакты, уведомить Повереника
- 4DPA с каждым процессором данныхобязательноAWS, Google Workspace, Stripe, HubSpot, Intercom — каждый получатель ПДн, действующий от вашего имени, требует договора обработки данных. Для нахождения данных вне whitelist — SCCs
- 5Процесс обработки запросов субъектов (DSR)обязательноОтвет на запросы о доступе, исправлении, удалении, переносимости — в установленные законом сроки. Нужны: ответственное лицо, шаблоны ответов, лог входящих запросов
- 6Incident Response Plan + журнал инцидентовобязательно72-часовое окно уведомления Повереника. Нужен план: кто принимает решение, кто уведомляет, как документировать. Все инциденты фиксируются — даже те, о которых не уведомляли
- 7Cookie Banner + согласие на аналитикуобязательноАналитика и ретаргетинг требуют предварительного согласия. Гранулированное управление категориями cookies, хранение состояния согласия, отказ без последствий
- 8Политика мониторинга сотрудниковприоритет 2025Если ведётся контроль переписки, GPS, запись экрана — нужны: правовое основание, уведомление сотрудников, пропорциональность, срок хранения логов. Приоритетное направление надзора Повереника в 2025 году
?FAQ: ZZPL и защита данных в Сербии
ZZPL распространяется на иностранные компании, работающие с сербской аудиторией?
Да, ZZPL действует экстерриториально. Любая компания — вне зависимости от страны регистрации — которая обрабатывает персональные данные лиц, находящихся на территории Сербии, подпадает под действие закона. Это прямой аналог принципа GDPR «по месту нахождения субъекта данных». SaaS с сербскими пользователями, зарегистрированный в Эстонии или Кипре, обязан соблюдать ZZPL в полном объёме.
Как работает штрафная система — Повереник штрафует напрямую или через суд?
По действующему ZZPL — только через суд. Повереник выявляет нарушение в ходе проверки или рассматривая жалобу субъекта, составляет материалы и направляет их в компетентный суд по делам о нарушениях. Суд назначает штраф в размере от RSD 50 000 до RSD 2 000 000 (≈ €425–€17 000). Ожидается, что новый закон передаст Поверенику прямые административные полномочия, как у GDPR-регуляторов ЕС.
Нужен ли DPO небольшой IT-компании в Сербии?
Зависит от вида обработки. DPO обязателен при: (1) обработке специальных категорий данных (биометрия, здоровье и пр.) в масштабе, (2) систематическом и масштабном мониторинге поведения субъектов, (3) для госорганов. B2B SaaS без специальных категорий и без масштабного профилирования формально под обязательность не подпадает. Однако назначение ответственного лица (даже без официального статуса DPO) — хорошая практика, которая упрощает взаимодействие с Повереником.
Можно ли передавать данные сербских пользователей на серверы AWS в Европе?
Да. Страны ЕС/ЕЭА входят в whitelist Повереника — передача в AWS eu-west или eu-central регионы допустима без дополнительных механизмов. Однако у вас должен быть подписан DPA с AWS (AWS Data Processing Addendum) и раскрыт факт передачи в Политике конфиденциальности. Это стандартный элемент юридической упаковки.
Что изменится для бизнеса с принятием нового закона о ПДн?
Главное изменение — штрафная система: с нынешних RSD 2M (~€17K) до GDPR-уровня (€10M/2% и €20M/4%). Второе — Повереник получит прямые административные полномочия назначать штрафы без суда, что ускорит enforcement. Третье — усиленная независимость Повереника. Компании, имеющие работающий compliance уже сейчас, при переходе понесут минимальные затраты; остальным придётся строить всё с нуля под жёстким давлением новых санкций.
Как выглядит dual compliance для IT-компании с сербскими и европейскими пользователями?
ZZPL и GDPR достаточно схожи для построения единой документальной базы. Оптимальная структура: единая Политика конфиденциальности с блоками под каждый закон, один DPO, покрывающий обе юрисдикции, единый шаблон DPA с разделом о применимом праве. SCCs необходимы для передачи данных из ЕС в Сербию (Сербия не входит в список adequacy decision Еврокомиссии). Для работы с европейскими клиентами также понадобится представитель в ЕС согласно GDPR Art. 27.
⚖️
ZZPL с 21.08.2019
GDPR-принципы · Повереник · RSD 2M max · новый закон с €20M в разработке
🔍
Повереник усиливает надзор
2025: приоритеты — accountability, мониторинг сотрудников, email-утечки
🇷🇸🇪🇺
Dual compliance
ZZPL для сербских субъектов + GDPR для EU-клиентов · SCCs для трансфера
🇷🇸 Нужна юридическая упаковка для работы в Сербии?
Политика конфиденциальности под ZZPL, DPA с процессорами, Cookie Banner, SCCs для трансфера,
назначение DPO — полный пакет за 5–7 рабочих дней.
Работаем с IT-компаниями, аутсорс-командами и релокантами в Белграде.
Заказать юридическую упаковку для Сербии →Работаем с IT-компаниями, аутсорс-командами и релокантами в Белграде.
Бесплатная консультация · Фиксированная цена · Срок от 5 дней