最近在几个中国出海创业群里,听到不少朋友聊起在塞尔维亚注册公司后被要求提交数据保护材料的事。有人收到邮件说“需要完成隐私合规审查”,一头雾水;也有人担心不处理会影响银行开户或税务登记。别急——这事儿虽然听着专业,但咱们一步步来,其实有路可循。

我叫JingJing,是律咖网的内容策划,过去十年一直专注整理各国创业的公开信息。今天就想和你像朋友一样聊聊:在贝尔格莱德办公司,突然遇上“隐私合规审查”,到底该怎么办?

🔍 塞尔维亚的隐私合规,到底是啥?

先说个背景:塞尔维亚虽不是欧盟成员国,但它一直在推进加入欧盟的谈判进程,因此在法律体系上积极向欧盟靠拢。其中就包括个人数据保护领域

塞尔维亚现行的主要法规是《关于个人数据保护的法案(Law on the Protection of Personal Data, ZLPD)》,它很大程度上参考了欧盟的GDPR框架。这意味着,如果你的公司在贝尔格莱德运营,并收集员工、客户或合作伙伴的姓名、联系方式、身份证号等信息,就可能触发合规义务。

但这不是一刀切的要求。是否必须立即开展隐私合规审查,通常取决于以下几个因素:

  • 公司是否有雇员?
  • 是否通过网站或APP收集用户信息?
  • 是否与欧盟企业合作并传输数据?
  • 是否属于特定行业(如金融、医疗、教育)?

如果是小型初创、暂无雇员、仅用于注册用途的空壳公司,目前实践中多数情况下不会主动被查。但一旦开始实际运营,尤其是涉及人力资源管理或线上服务,当地劳动监察部门或信息保护专员办公室(Office of the Information Commissioner, Ombudsman of the Republic of Serbia) 就有可能介入。

📌 温馨提示:Ombudsman官网提供英文版指引,可访问 https://www.poverenik.rs/en/home 查看最新政策动向。

🧭 应对三步走:务实派的操作清单

面对“隐私合规审查”这个任务,不必慌张。根据我们整理的本地实践案例和律师访谈摘要,建议按以下三个步骤推进:

第一步:确认你的责任等级

不是所有公司都需要立刻建立完整的隐私管理体系。你可以先做个简单判断:

需要重点关注的情况包括:

  • 已雇佣本地员工(哪怕只有1人)
  • 使用本地HR系统管理员工档案
  • 网站支持塞尔维亚语或使用本地支付方式
  • 收集访客IP地址、邮箱、表单提交记录

现阶段可暂缓深入处理的情况:

  • 公司仅为持股平台,无实际业务
  • 所有操作均在中国境内完成
  • 暂未招聘、无客户数据存储

👉 行动建议:登录Ombudsman官网下载《小型企业数据处理自查表》(Self-Assessment Checklist for SMEs),用20分钟快速评估风险等级。

第二步:准备基础合规文件

如果确定需要合规,核心是要准备好两份基础文件:

  1. 隐私政策声明(Privacy Policy)
    需包含:数据收集目的、存储期限、用户权利说明、联系方式。可用英文+塞尔维亚语双语发布。

  2. 数据处理登记册(Record of Processing Activities, RoPA)
    这是ZLPD明确要求的内部文档,记录你收集哪些数据、为何收集、存多久、是否共享等。不需要公开,但检查时需能出示。

💡 小贴士:有些本地会计事务所已推出“RoPA模板+填写指导”服务包,费用约80–150欧元,适合初期使用。但我们建议最终由熟悉ZLPD的本地律师审阅。

第三步:指定代表 & 定期更新

根据法律规定,非塞尔维亚设立的企业若在该国处理个人数据,应指定一名本地代表(类似GDPR中的Article 27代表)。这个人可以是律师、合规顾问或合作方,职责是在监管机构联系时作为联络点。

此外,每年至少要进行一次内部审查,确保:

  • 员工签署过数据使用知情同意书
  • 系统权限设置合理(最小必要原则)
  • 备份与网络安全措施到位

⚠️ 注意:近期有创业者反馈,因长期未更新公司联系方式,导致Ombudsman寄送的通知信件未能送达,进而被列入“待跟进名单”。建议保持注册地址通信畅通。

❓ 常见问题解答(FAQ)

Q1:我没有雇员,只是注册了公司,需要现在做隐私合规吗?

不一定。当前实践中,Ombudsman主要关注有实际数据处理行为的企业。如果你尚未开展业务,可先完成以下准备动作:

  • 保存好公司章程和股东决议文件
  • 记录未来计划中可能涉及的数据类型
  • 关注Ombudsman发布的行业指南更新 一旦开始雇佣或上线服务,再启动正式合规流程也不迟。

Q2:隐私政策一定要翻译成塞尔维亚语吗?

虽然法律没有强制要求对外公示必须用塞尔维亚语,但为避免沟通误解,强烈建议提供双语版本。特别是涉及员工权益时,仅提供英文可能被视为未充分告知。可通过本地翻译公司或法律服务机构协助完成。

推荐渠道:Prevodilac Translation Agency(贝尔格莱德知名语言服务提供商)

Q3:如果被抽查但还没准备好,会有什么后果?

根据ZLPD规定,违规行为可能导致行政处罚。具体处罚金额依情节而定,例如:

  • 未登记数据处理活动:最高约5000欧元罚款
  • 未响应数据主体请求:最高约3000欧元
  • 严重泄露事件未报告:可达10万欧元以上

不过,对于首次轻微违规且积极配合整改的企业,通常会给予限期纠正机会而非直接处罚。关键是要表现出主动配合的态度,并尽快补齐材料。

📌 官方申报入口:Ombudsman电子服务平台

✅ 结论:三个行动建议

  1. 先判断,再行动:不要盲目花钱买全套合规方案,先评估自身业务是否已触及监管红线。
  2. 找对人,少走弯路:联系一位懂英语、熟悉ZLPD的本地律师或合规顾问,哪怕只做一次咨询,也能帮你避开大坑。
  3. 保持透明沟通:无论是对公司员工还是监管机构,清晰的信息披露都能提升信任度。

如果你正在考虑在塞尔维亚落地项目,或者已经遇到类似“被要求补交材料”的情况,欢迎加我的微信 lvga2015 备用。我们可以一起讨论更具体的场景,比如:

  • 如何设计跨境团队的数据共享机制?
  • 在贝尔格莱德租办公室时怎么谈隐私条款?
  • 怎样选择靠谱的本地法律顾问?

我也建了一个小范围的跨境创业交流群,里面有不少在东欧做事的朋友,大家分享过签证踩坑、银行开户技巧、甚至哪里能找到会说中文的会计师。不承诺变现,但可以一起少走点弯路。

🔸 英格兰对阵塞尔维亚足球赛安全出行提示
🗞️ 来源: England Football – 📅 2025-12-26
🔗 阅读原文

🔸 英国政府发布塞尔维亚旅行安全警告
🗞️ 来源: UK Government – 📅 2025-12-26
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。 本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。 政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。 如内容有需要修订之处,欢迎随时与我联系。