На 24 август 2021 година започна целосната примена на новиот Закон за заштита на личните податоци. Со донесувањето на новиот Закон се врши усогласување на македонското законодавство со европската регулатива и истиот треба да одговори на новите предизвици во однос на правото на приватност и заштитата на личните податоци, а кои предизвици пред се произлегуваат од зголемената употреба на информатичката технологија и глобализацијата во обработката на личните податоци.
Со оглед на тоа дека Законот за заштита на личните податоци внесе бројни новини во постапката за заштита на личните податоци, правата на субјектите на личните податоци и обврските на контролорите и офицерите за лични податоци и воедно создаде голем број на дилеми околу неговата примена кај контролорите и субјектите на лични податоци, Адвокатското друштво Пепељугоски со цел да го олесни неговото доследно применување, во продолжение ги издвои и даде одговори на најчесто поставуваните прашања околу примената на Законот во пракса.
- Што се подразбира под личен податок?
Личен податок е секоја информација која се однесува на идентификувано физичко лице или физичко лице кое може да се идентификува (субјект на лични податоци), а физичко лице кое може да се идентификува е лице чиј идентитет може да се утврди директно или индиректно, посебно врз основа на идентификатор како што се име, матичен број на граѓанинот, податоци за локација, мрежен идентификатор, или врз основа на едно или повеќе обележја специфични за неговиот физички, физиолошки, генетски, ментален, економски, културен или социјален идентитет на тоа физичко лице.
2. Која е разликата помеѓу контролор и офицер?
Контролор е физичко или правно лице кое самостојно или заедно со други ги утврдува целите и начинот на обработка на личните податоци. Покрај физичко и правно лице, контролор може да биде и орган на државна власт, државен орган, правно лице основано од државата за вршење на јавни овластувања, агенција или друго тело.
Офицер е овластено лице за заштита на личните податоци кое е назначено од страна на контролорот. Офицер може да биде лице вработено кај контролорот кое ги исполнува условите предвидени со закон или лице кое е ангажирано врз основа на договор за услуги.
3. Кој може да биде офицер за лични податоци?
Офицерот за заштита на личните податоци се определува врз основа на неговите стручни квалификации, а особено врз основа на стручни знаења за легислативата и практиките во областа на заштитата на личните податоци, како и неговата способност да ги извршува законските обврски.
Имено, за офицер за заштита на личните податоци се определува лицe, коe:
– ги исполнува условите за вработување определени со Законот за работни односи;
– активно го користи македонскиот јазик;
– во моментот на определувањето со правосилна судска пресуда не му е изречена казна или прекршочна санкција забрана за вршење на професија, дејност или должност;
– има завршено високо образование и
– има стекнати знаења и вештини по однос на практиките и прописите за заштита на личните податоци, согласно со одредбите од овој закон.
За офицер за заштита на личните податоци не може да биде определен управителот или директорот на друштвото, ниту пак претседателот на здружението на граѓани од причина што постои судир на интереси помеѓу задачите и должностите кои е должно да ги извршува како офицер и задачите и должностите што ги има како овластено лице во правно лице.
Контролорот е должен јавно да ги објави контакт податоците за офицерот за заштита на лични податоци и за неговото назначување да ја извести Агенцијата за заштита на личните податоци.
4. Што кога друштвото има само еден вработен кој е истовремено управител или пак вработените не ги исполнуваат законските услови?
Во случаите кога друштвото има само еден вработен и тоа овластеното лице во тоа друштво или пак кога вработените во друштвото не ги исполнуваат законските услови за да бидат назначени како офицер за заштита на лични податоци, друштвото може да ангажира лице кое е стручно и обучено за заштитата на лични податоци врз основа на договор за услуги и истиот да ја извршува работата на офицер.
5. Кои друштва имаат обврска да донесат подзаконски акти за заштита на лични податоци и да назначат офицер?
Обврската за носење подзаконски акти усогласени со новиот Закон за заштита на лични податоци и назначување на офицер за заштита на лични податоци зависи пред се од видот, обемот и категориите на субјекти на лични податоци кои се обработуваат, а не од бројот на вработени во друштвото.
Сепак, контролорот кој обработува лични податоци за помалку од 10 вработени како единствена збирка на лични податоци, нема обврска за примена на технички и организациски мерки, освен ако постои веројатност дека обработката која што ја врши претставува ризик за правата и слободите на субјектите на личните податоци или ако обработката вклучува посебни категории на лични податоци или лични податоци поврзани со казнени осуди.
6. Како се менува веќе назначен офицер за заштита на лични податоци?
Офицерот се менува во истата постапка како што се назначува, со донесување на одлука од страна на контролорот. За промената на офицерот и назначувањето на нов офицер за заштита на лични податоци треба веднаш да биде известена Агенцијата за заштита на личните податоци, а воедно и податоците на новиот офицер треба да бидат јавно објавени и достапни за сите субјекти.
7. Дали е потребно кандидатите за вработување да дадат изречна согласност за обработка на нивните лични податоци во постапката за вработување?
За време на траењето на постапката за вработување, кандидатите нема потреба да дадат посебна изречна согласност за обработка на нивните податоци. Истите ги имаат дадено своите лични податоци со цел избор на кандидат за вработување, па оттука истото е и правен основ за обработка на неговите лични податоци. Сепак ова се однесува само додека трае постапката за вработување. Треба да се има предвид дека доколку работодавачот сака да создаде своја база во која ќе чува лични податоци од кандидати со цел идни, потенцијални вработувања, тогаш за тоа е потребно да го извести кандидатот кој ќе биде внесен во базата и да побара изречна согласност од него дали сака да биде вклучен во истата и да се чуваат неговите лични податоци. Доколку не се добие согласност податоците да се чуваат во база на потенцијални кандидати, тогаш истите треба да се поништат.
8. Што се подразбира под „право да се биде заборавен“?
Под право на бришење или „право да се биде заборавен“ се подразбира правото на субјектот на личните податоци да побара од контролорот да ги избрише неговите лични податоци кога личните податоци повеќе не се потребни за целите за кои биле собрани, кога субјектот ја повлекува својата претходно дадена согласност за обработка, кога субјектот ќе поднесе приговор на обработката, кога личните податоци биле незаконски обработени, кога истите треба да бидат избришани со цел да се испочитува обврска од закон или кога биле собрани во врска со понуда на услуги на информатичко општество.
Во случаите кога субјектот ќе побара од контролорот бришење на неговите податоци, контролорот е должен да ги избрише личните податоци во рок од 30 дена од денот на поднесување на барањето за бришење ако се исполнети наведените услови.
9. Што се подразбира под обработувач на лични податоци и кои страни се сметаат за обработувачи?
Обработувач на збирка на лични податоци е физичко или правно лице, орган на државна власт, државен орган или правно лице основано од државата за вршење на јавни овластувања, агенција или друго тело кое обработува лични податоци во име на контролорот.
Обработката на личните податоци од страна на обработувачот се врши врз основа на претходно склучен Договор или друг правен акт во согласност со закон и обработувачот е должен да гарантира примена на соодветни технички и организациски мерки преку кои ќе обезбедува заштита на правата на субјектот на личните податоци.
Во пракса најчесто како обработувачи се јавуваат сметководителите, адвокатите, доставните служби, лица кои го одржуваат информацискиот систем и сл. Лицата кои пружаат хигиенски услуги, хаусмајсторски услуги и слично, иако при вршењето на својата работа можат да имаат увид во одредени податоци, за нив не се бара склучување на посебен договор од причина што тие не вршат обработка на податоците.
10. Во случај на пренос на податоци, дали е потребно да се бара дозвола од Агенцијата за заштита на личните податоци?
Пренос на личните податоци во трета земја или меѓународна организација може да се изврши кога Агенцијата ќе процени дека третата земја или меѓународната организација обезбедува соодветно ниво на заштита.
Постапката зависи пред се од државата каде се врши преносот. Доколку станува збор за пренос кој се врши во рамки на ЕУ или ЕЕП тогаш е доволно само да се извести Агенцијата дека се врши пренос преку пополнување на пријава објавена од страна на Агенцијата. Доколку преносот се врши во држава надвор од ЕУ или ЕЕП тогаш за тоа е потребно да се добие изречно одобрение од страна на Агенцијата.
11. Дали користењето на сервери и cloud сервиси кои се наоѓаат надвор од територијата на Република Северна Македонија се смета како пренос на податоци?
Доколку се користи cloud сервис кој се наоѓа на сервер надвор од територијата на државата тогаш се врши пренос на податоци кон трета земја. Постапката во однос на овој пренос на податоци зависи од државата во која се наоѓа серверот каде што се чуваат податоците. Доколку станува збор за држава во ЕУ/ЕПП, бидејќи најчесто Microsoft имаат сервери и во ЕУ/ЕПП тогаш доволно е само да се поднесе пријава до Агенцијата. Доколку сепак серверот се наоѓа надвор од ЕУ/ЕПП тогаш ќе треба да се добие одобрение од Агенцијата.
12. Кога е дозволено да се врши снимање на службени или деловни простории?
Контролорот може да врши видео надзор во службени или деловни простории само ако е тоа потребно за заштита на животот или здравјето на луѓето, заштита на сопственоста, заштита на животот и здравјето на вработените поради природата на работата или обезбедување на контрола над влегувањето и излегувањето од службените простории за безбедносни цели. Не е дозволено снимање на гардероби, соблекувални, санитарни јазли и слични простории.
За вршењето на видео надзор потребно е да се известат вработените, како и да се истакне на видно место известување кое ќе содржи информации дека се врши видео надзор, името/називот на контролорот кој го врши видео надзорот и за начинот на кој може да се добијат информации за тоа каде и колку време се чуваат снимките од системот за видео надзор.
Подготвено од Адвокат м-р Марика Трајкова и Адвокат м-р Ангела Јанкоска.