24-ти Август започнува примената на новиот Закон за заштита на лични податоци
ОБВРСКИ НА КОНТРОЛОРИТЕ СОГЛАСНО ЗАКОНОТ ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ
I ЗНАЧЕЊЕ И ДЕФИНИЦИИ НА ТЕРМИНИТЕ
КОНТРОЛОР е правно лице кое самостојно или заедно со други ги определува целите и начинот на обработка на личните податоци.
ОБРАБОТУВАЧ (пример: ДРУШТВО ЗА СМЕТКОВОДСТВЕНИ УСЛУГИ) е правно лице кое ги обработува личните податоци во име и за сметка на контролорот-КЛИЕНТ.
ОФИЦЕР ЗА ЗАШТИТА НА ЛИЧНИТЕ ПОДАТОЦИ е лице кое е овластено од контролорот-клиентот да обезбедува усогласеност на работењето со прописите за заштита на личните податоци и да ја следи нивната имплементација.
II ОБВРСКИ НА КОНТРОЛОРОТ СОГЛАСНО ЗЗЛП
1. ВНАТРЕШНА АНАЛИЗА РЕЛЕВАНТНИТЕ ФАКТОРИ И КРИТЕРИУМИ СО ЦЕЛ ДА УТВРДИ ДАЛИ ТРЕБА ДА ОПРЕДЕЛИ ОФИЦЕР И НАЗНАЧУВАЊЕ НА ОФИЦЕР ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ
Контролорот треба да направи внатрешна анализа на релевантните фактори и критериуми со цел да утврди дали треба да определи офицер за заштита на личните податоци односно да оцени дали врши обработка на лични податоци во голема мера или не, а притоа да се земат предвид особено и следните фактори: бројот на засегнати субјекти на лични податоци, обемот на податоци кои се обработуваат, времетраење на обработката на податоците, географската распространетост на обработката.
По спроведување на внатрешната анализа доколку контролорот оцени дека во своето работење обработува само лични податоци на своите вработени (на пример евиденција за 2-3 вработени лица), односно не обработува како на пример лични податоци за клиенти (физички лица), или лични податоци за вработените кај клиенти правни лица и/или не обработува лични податоци преку систем за вршење на видео надзор, во тој случај може да одлучи да не определи офицер за заштита на личните податоци, а во спротивно имајќи ја предвид природата на дејноста која ја вршите, потребата за определување на офицер за заштита на личните податоци е реална.
Овој процес на анализирање треба да биде документиран, имајќи предвид дека секој контролoрот е должен да ја демонстрира усогласеноста со начелата поврзани со обработка на личните податоци.
Група на правни лица може да определат еден офицер за заштита на личните податоци, под услов офицерот за заштита на личните податоци да биде лесно достапен за секое правно лице во рамки на групата, Агенцијата и субјектите на лични податоци.
Офицерот за заштита на личните податоци може да биде:
- вработен кај контролорот, или
- вработен кај обработувачот, или
- да ги извршува работите врз основа на договор за услуги.
По определувањето на офицерот за заштита на личните податоци, контролорот е должен податоците за офицерот за заштита на личните податоци и тоа: име и презиме, електронска пошта, телефонски број и назив и седиште на контролорот или обработувачот задолжително да ги:
- објави на својата веб страницата, односно огласна табла;
- достави со допис до Агенцијата за заштита на личните податоци.
2. АНАЛИЗА СОГЛАСНО ПРАВИЛНИКОТ ЗА БЕЗБЕДНОСТ НА ЛИЧНИ ПОДАТОЦИ (https://dzlp.mk/mk/podzakonski_akti)
Контролорите при користење на услуги за обработка на личните податоци од страна на обработувач должни се да спроведат
- анализа на потенцијалните обработувачи во однос на нивните технички и организациски мерки за обезбедување на гаранција дека обработката на личните податоци ќе се одвива во согласност со барањата предвидени во прописите за заштита на личните податоци, како и за обезбедување на заштита на лични податоци, и
- анализа на ризиците врз работењето на контролорот што можат да произлезат при обработката на личните податоци од страна на обработувачите, а пред склучување на договор се должни да ја побараат од обработувачите да им ја презентираат безбедносната политика во однос на обработката на личните податоци.
3. ДОГОВОР СО ОБРАБОТУВАЧ (ДРУШТВО ЗА СМЕТКОВОДСТВО)
По извршената анализа, контролорот мора да склучи и договор со оној обработувач за кој ќе оцени дека ги исполнил бараните услови според прописите за заштита на личните податоци, а кој договор е обврзувачки за обработувачот во однос на контролорот и со кој се регулира предметот и времетраењето на обработката, природата и целта на обработката, видот на личните податоци и категориите на субјекти на личните податоци, како и обврските и правата на контролорот. Исто така во овој договор/акт треба да бидат предвидени соодветни заштитни мерки (технички и/или организациски) за обезбедување безбедност на обработката на личните податоци соодветно на ризикот, односно да применат мерки кои ќе го минимизираат ризикот на обработката. Имајќи предвид дека ризик секогаш постои, контролорите/обработувачите освен што треба да го минимизираат тој ризик според претходно спроведена анализа на ризик со која ќе ги идентификуваат и проценат безбедносните ризици на сите активности при обработката на личните податоци, треба и да предвидат ефективни мерки за управување со тие ризици.
4. ИЗЈАВА ОД ВРАБОТЕНИТЕ
Контролорот има обврска да обезбеди претходна изјава од вработените за обработување на личните податоци на вработени со цел изготвување плата и е-пдд пресметки.
5. ИЗВЕСТУВАЊЕ ЗА ОБРАБОТКА НА ЛИЧНИ ПОДАТОЦИ КОЈА ПРЕДИЗВИКУВА ВИСОК РИЗИК
Агенцијата за заштита на личните податоци според член 71 од Законот за заштита на личните податоци (,,Службен весник на Република Северна Македонија” бр.42/20), ќе води Евиденција на збирки на лични податоци со висок ризик. Секој контролор кој ќе процени дека обработката на личните податоци предизвикува висок ризик за правата и слободите на физичките лица е должен да достави Известување за обработка на лични податоци која предизвикува висок ризик за правата и слободите на физичките лица, а кое известување се доставува во електронска форма преку веб страницата на Агенцијата www.azlp.mk заради евидентирање во евиденцијата на збирки на лични податоци со висок ризик.
За да може контролорот да го достави Известувањето потребно е претходно електронски да се евидентира во Евиденцијата на збирки на лични податоци со висок ризик преку самостојно определување на корисничко име и лозинка на пристап.
6. ПОЛИТИКА ЗА ВОСПОСТАВУВАЊЕ НА СИСТЕМ ЗА ЗАШТИТА НА ЛИЧНИТЕ ПОДАТОЦИ
Согласно Правилникот за безбедност на обработката на личните податоци (,,Службен весник на Република Северна Македонија” бр.122/20), контролорите треба да донесат Политика за воспоставување на систем за заштита на личните податоци со која ќе се регулира начинот на постапување на контролорот и вработените кај контролорот при обработката со личните податоци со цел да се исполнат стандардите и начелата поврзани со обработката на личните податоци; ќе се дефинира процесот на управување со системот за заштита на личните податоци преку примена на технички и организациски мерки за безбедност на личните податоци при нивната обработка; ќе се определат збирките на лични податоци кои се водат со наведување на категориите на субјекти на лични податоци, категориите на лични податоци и рокот на чување; поделба на должностите и одговорностите на раководството и вработените кај контролорот во однос на системот за заштита на личните податоци, поделба на должностите на офицерот на заштита на личните податоци и одговорен за сигурноста на информацискиот систем.
7. ПОДЕТАЛНИ ПОЛИТИКИ И ПРОЦЕДУРИ ВО КОИ ЌЕ СЕ ОПИШАНИ ТЕХНИЧКИТЕ И ОРГАНИЗАЦИСКИТЕ МЕРКИ ЗА ОВЛАСТЕНИТЕ ЛИЦА КОИ ИМААТ ПРИСТАП ДО ЛИЧНИТЕ ПОДАТОЦИ И ДО ИНФОРМАЦИСКИОТ СИСТЕМ И ИНФОРМАТИЧКАТА ИНФРАСТРУКТУРА
Врз основа на Политиката за воспоставување на систем за заштита на личните податоци ќе треба да се донесат подетални политики и процедури во кои ќе се опишани техничките и организациските мерки за овластените лица кои имаат пристап до личните податоци и до информацискиот систем и информатичката инфраструктура, каде ќе бидат документирани процесите според член 10 став (3) од Правилникот за безбедност на обработката на личните податоци, како на пример: анализа на ризик, општ опис на техничките и организациските мерки за обезбедување тајност и заштита на обработката на личните податоци соодветно на ризикот; активности за обука и подигнување на свеста на раководството и вработените за приватноста и безбедносните ризици кај контролорот; начинот на обезбедување на автентикација на овластените лица во информацискиот систем и друго.
Правилниците односно подзаконските акти објавени во Службен весник на Република Северна Македонија можете да ги најдете на нашата веб страница www.azlp.mk, во делот прописи и обрасци, подзаконски акти, односно на следниот линк https://dzlp.mk/mk/podzakonski_akti.
Исто така, според одредбите на членот 16 од Законот за заштита на личните податоци, контролорот е должен да преземе соодветни мерки за обезбедување на сите информации наведени во членовите 17 и 18 од овој закон и на секоја комуникација врз основа на членовите од 19 до 26, како и членот 38 од овој закон, поврзани со обработката која се однесува на субјектот на личните податоци на концизен, транспарентен, разбирлив начин и во лесно достапна форма, со користење на јасен едноставен јазик, особено за информации кои посебно се наменети за дете. Информациите треба да бидат дадени во писмена форма или со други средства, вклучувајќи каде што е применливо по електронски пат. По барање на субјектот на личните податоци, информациите може да се дадат усно, под услов идентитетот на субјектот на личните податоци да е докажан со други средства.
8. КАКО КОНТРОЛОРИТЕ КЕ ДЕМОНСТРИРААТ УСОГЛАСНОСТ СО ЗЗЛП?
Контролорите ќе можат да ја демонстрираат усогласеноста со прописите за заштита на личните податоци на тој начин што ќе имаат подготвено и донесено, како на пример:
1. Политика за воспоставување на систем за заштита на личните податоци,
2. Анализа на ризик со која ќе се идентификувани и проценети безбедносните ризици на сите активности при обработката на личните податоци, како и да се предвидат ефективни мерки за управување со тие ризици во работењето на контролорот, а според прописите за заштита на личните податоци,
3. подетални политики и процедури во кои ќе се опишани техничките и организациските мерки за овластените лица кои имаат пристап до личните податоци и до информацискиот систем и информатичката инфраструктура,
4. уреден начинот на претходно информирање на субјектите на личните податоци во однос на обработката на нивните лични податоци, каде ќе бидат разработени следните елементи: зошто собирате (обработувате) лични податоци (целта); кои категории на лични податоци ги собирате; која е правната основа за обработка на личните податоци, кој е одговорен за обработката на личните податоци (податоци за контролорот); корисниците или категориите на корисници на личните податоци, доколку ги има; временскиот период за кој ќе се чуваат личните податоци, а ако тоа е невозможно, критериумите што се користат за одредување на тој период; постоењето на право да се бара од страна на контролорот пристап, исправка или бришење на личните податоци или ограничување на обработката на личните податоци кои се однесуваат на субјектот на личните податоци; правото на приговор, правото на поднесување барање до Агенцијата согласно со овој закон; информација дали давањето на личните податоци е законска или договорна обврска или услов кој е потребен за склучување на договор, како и дали субјектот на личните податоци има обврска да ги даде личните податоци и можните последици ако овие податоци не бидат дадени; како обезбедувате безбедност на обработката на личните податоци, а кои елементи се неопходни за обезбедување на правична, транспарентна и законита обработка на личните податоци на субјектите на лични податоци од страна на контролорите според прописите за заштита на личните податоци. Притоа Ви посочуваме како пример да ја видите Изјавата за приватност при вршење на видео надзор која е дадена во прилог како Образец бр.4 на Правилникот за содржината и формата на актот за начинот на вршење на видео надзор (,,Службен весник на Република Северна Македонија” бр.122/20),
5. начинот на вршењето на видео надзор уреден со посебен акт според одредбите на Правилникот за содржината и формата на актот за начинот на вршење на видео надзор („Службен весник на Република Северна Македонија“ бр.122/20), а врз основа на претходно изработена Анализа на целта односно целите за која се поставува видеонадзор според одредбите пропишани во Правилникот за содржината на анализа на целта, односно целите за која се поставува видеонадзор и извештајот од извршена периодична оценка на постигнатите резултати од системот за вршење на видеонадзор („Службен весник на Република Северна Македонија“ бр.122/20),
6. методологија за спроведување на проценка на влијанието на заштитата на личните податоци според критериумите дадени во Прилогот 2, кој е составен дел на Правилникот за процесот на проценка на влијанието на заштитата на личните податоци („Службен весник на Република Северна Македонија“ бр.122/20),
7. процедура за одлучување на избор на обработувач со која задолжително ќе предвиди: анализа на потенцијалните обработувачи во однос на нивните технички и организациски мерки за обезбедување на гаранција дека обработката на личните податоци ќе се одвива во согласност со барањата предвидени во прописите за заштита на личните податоци, како и за обезбедување на заштитата на правата на субјектите на лични податоци и анализа на ризиците врз работењето на контролорот што можат да произлезат при обработката на личните податоци од страна на обработувачите,
8. дефинирање/определување на збирките на лични податоци со јасно определување кој е основот за обработка (пример конкретен член од закон, согласност, договор), опис како на категориите на личните податоци, така и опис на категориите на субјекти на личните податоци и рокот на чување, водење евиденција на активностите за обработка според членот 34 од Законот за заштита на личните податоци, како и донесен соодветен документ ,,Список (преглед) со рокови на чување на личните податоци според член 23 од Правилникот за безбедност на обработката на личните податоци,
9. воспоставен внатрешен процес на евидентирање на нарушувањата на безбедноста на личните податоци, без оглед дали ќе биде потребно да се извести Агенцијата според прописите за заштита на личните податоци,
10. во однос на веб-страниците на контролорите, истите треба да бидат усогласени со одредбите од членовите 9, 16, 28, 29 и 36 од Законот за заштита на личните податоци, со правилата предвидени членот 19 од Правилникот за безбедност на обработката на личните податоци, како и со одредбите од членот 168 од Законот за електронските комуникации, односно да имаат предвидено и применето соодветни технички мерки со кои ќе се гарантира точниот идентитет на страницата, како и доверливоста на информациите што ги испраќа или ги собира преку веб страницата; политика за приватност, како и политика за колачиња, доколку користи.
Контролорот е одговорен за усогласеноста со начелата поврзани со обработката на личните податоци, при што е должен да ја демонстрира усогласеноста (отчетноста).
III ОБРАБОТУВАЧ - СМЕТКОВОДСТВЕНИ БИРОА
Сметководителите според прописите за заштита на личните податоци, ќе треба да применат заштита како обработувач, имајќи предвид дека во име на контролорот (правните лица - клиенти) ќе изготвувате плати и е-пдд пресметки за нивните вработени.
Како обработувач, е потребно да воспостават систем за заштита на личните податоци според одредбите од членот 36 од Законот за заштита на личните податоци и одредбите од Правилникот за безбедност на обработката на личните податоци1, со кои ќе се обезбеди безбедност на обработката на личните податоци соодветно на ризикот на обработката.
Сметководителите, како обработувачи, треба да ги обезбедат од Клиентот изјавата од вработените кај клиентите, бидејќи обврската за информирање за ваквата обработка на личните податоци на субјектите на личните податоци е на контролорите (правните лица - клиенти).
20.08.2021
ПКФ Нова консалтинг