Во овој дел ќе ги најдете најчестите прашања што ги добива Агенцијата за заштита на личните податоци. Можете да пребарувате и филтрирате по категории како на пример: контролор, видео надзор, офицери за заштита на личните податоци, права на субјектот на личните податоци, колачиња итн.
- Сите
- Видеонадзор
- Исклучок за домаќинства
- КОВИД-19
- Колачиња
- Контролори
- Контролори/обработувачи
- Легитимен интерес
- Начела за заштита на личните податоци
- Обработка од висок ризик
- Општи прашања
- Отворени податоци
- Офицер за заштита на личните податоци
- Права на субјектите на лични податоци
- Пренос на лични податоци
- Претходно одобрување од АЗЛП
- Псевдонимизирани податоци
- Работодавач-вработен
- Согласност
- Училишта/градинки
Види одговор за прашањето: Проценка на влијанието се спроведува само во случај на збирка на лични податоци од висок ризик. Како се дефинира висок ризик?
Не.
Проценката на влијанието врз заштитата на личните податоци им помага на контролорите да ги идентификуваат и да ги минимизираат ризиците по заштитата на личните податоци и се смета за клучна алатка за отчетност.
Согласно член 39 од ЗЗЛП, Агенцијата утврди листа на видовите операции за обработка кои налагаат спроведување проценка на влијанието врз заштитата на личните податоци.
Меѓу другото, подолу се дадени критериуми што треба да се земат предвид при оценувањето дали обработката на лични податоци подразбира висок ризик или не:
- посебни категории на лични податоци или податоци од исклучително лична природа (здравје, биометриски податоци, генетски податоци, сексуална ориентација, членство во синдикати, итн.);
- податоци поврзани со осетливи групи на субјекти на лични податоци (баратели на азил, деца, постари лица, итн.);
- систематско следење (на пр., систем за видеонадзор во неколку правни лица);
- користење или примена на иновативни технолошки или организациски решенија (на пр., апликации од типот „интернет на нештата“);
- оценување или бодување (на пр., профилирање);
- автоматизирано донесување одлуки со правен или сличен значаен ефект (на пр., онлајн одлука за доделување заем од банка или тест за вработување кој користи претходно програмирани алгоритми и критериуми).
Во повеќето случаи, контролорот може да смета дека обработката е со висок ризик доколку таа истовремено исполнува два критериума.
Во однос на поимот „обемна обработка на посебни категории на лични податоци“ од член 39, став (3), точка б) од ЗЗЛП, подолу се наведени неколку фактори што треба да се земат превид за конкретната обработка да се смета за обемна:
- бројот на субјекти чиишто лични податоци се обработуваат;
- обемот на лични податоци кои се обработуваат;
- географскиот опфат на активноста; и
- времетраењето на обработката.
На пример, обработката на посебна категорија на лични податоци што може да се смета за екстензивна е обработката што ја вршат болници како контролори, за разлика од обработката што ја врши индивидуален лекар.
Не.
Проценката на влијанието врз заштитата на личните податоци им помага на контролорите да ги идентификуваат и да ги минимизираат ризиците по заштита на личните податоци и се смета за клучна алатка за отчетност.
Според член 39, став (5) од ЗЗЛП, Агенцијата може да утврди и да објави листа на видови операции за обработка кои не налагаат спроведување на проценка на влијанието врз заштитата на личните податоци.
Доколку станува збор за обработка на податоци за здравјето, контролорот треба да ги исполнува условите за законска обработка, односно правниот основ од член 10, став (1) од ЗЗЛП и постоење на еден од исклучоците дадени во член 13, став (2) од ЗЗЛП.
Сепак, обработката на податоци за здравјето може да се врши со претходно добиено одобрување од АЗЛП согласно член 84 од ЗЗЛП.
Одобрување не се бара во случај кога обработката на лични податоци е утврдена со закон кој содржи безбедносни и други мерки за заштита на правата и слободите на субјектите на лични податоци.
Во овие случаи Агенцијата донесува решение во рок од 90 дена по приемот на барањето за одобрување.
Проценката на влијанието врз заштитата на личните податоци му помага на контролорот да ги идентификува и да ги минимизира ризиците по заштитата на личните податоци и се смета за клучна алатка за отчетност.
Согласно член 39 од ЗЗЛП, Агенцијата утврди листа на видовите операции за обработка кои налагаат спроведување проценка на влијанието врз заштитата на лични податоци.
Меѓу другото, подолу се дадени критериуми што треба да се земат предвид при оценувањето дали обработката на лични податоци подразбира висок ризик или не:
- посебни категории на лични податоци или податоци од исклучително лична природа (здравје, биометриски податоци, генетски податоци, сексуална ориентација, членство во синдикати, итн.);
- податоци поврзани со осетливи групи на субјекти на лични податоци (баратели на азил, деца, постари лица, итн.);
- систематско следење (на пр., систем за видеонадзор во неколку правни лица);
- користење или примена на иновативни технолошки или организациски решенија (на пр., апликации од типот „интернет на нештата“);
- оценување или бодување (на пр., профилирање);
- автоматизирано донесување одлуки со правен или сличен значаен ефект (на пр., онлајн одлука за доделување заем од банка или тест за вработување кој користи претходно програмирани алгоритми и критериуми).
Во повеќето случаи, контролорот може да смета дека обработката е со висок ризик доколку таа истовремено исполнува два критериума.
Техничките (задолжителните) колачиња се секогаш активни. Тие се неопходни за функционирањето на интернет-страницата и не смеат да бидат исклучени во системите.
Субјектите на лични податоци може да бидат информирани за обработката на лични податоци преку колачиња како дел од политика/изjавата за приватност на контролорот.
Согласност е единствениот можен правен основ за обработка на лични податоци во контекст на колачиња. Тоа е уредено во Законот за електронски комуникации (член 168). Сепак, постои и исклучок за колачиња што се технички неопходни.
Освен согласност, контролорот мора претходно да обезбеди јасни информации за субјектот на лични податоци согласно членовите 17 и 18 од ЗЗЛП.
Користењето стандардни договорни клаузули за пренос на лични податоци во САД во предвид треба да ја земе неодамнешната пресуда бр. C-311/18 на Судот на правдата на Европската Унија (позната како Шремс II) со која се оспорува можноста за користење инструменти за пренос на лични податоци и оттука користењето на стандардни договорни клаузули.
Имено, постојат одредени грижи за соодветното ниво на заштита на личните податоци во однос на преносот на лични податоци во САД. Затоа се советува организациите кои пренесуваат лични податоци во САД, дополнително на стандардните договорни клаузули, да утврдат дали постојат дополнителни мерки коишто може да се применат заедно со овие клаузули, со цел да се одржи соодветно ниво на заштита.
Доколку тоа не е можно, организацијата што го врши преносот на лични податоци треба да го суспендира или прекине таквиот пренос, освен кога станува збор за еднократна ситуација согласно член 53 од ЗЗЛП.
Треба да се користат новите стандардни договорни клаузули. Се советува старите договорни клаузули да бидат заменети со новите најдоцна до 27 декември 2022 година.
Обврската за назначување офицер за заштита на личните податоци е предмет на условите дадени во член 41, став (1) од ЗЗЛП.
Контролорот и обработувачот мора да назначат офицер за заштита на личните податоци во случаите кога:
(а) обработката ја врши орган на државната власт, освен судовите кои постапуваат во рамките на нивните надлежности;
(б) основните активности на контролорот или обработувачот вклучуваат операции за обработка кои, според нивната природа, обем и/цели, налагаат редовно и систематско следење на субјектите на лични податоци од голем обем;
основните активности на контролорот или обработувачот вклучуваат обемна обработка на посебни категории на лични податоци според член 13 од ЗЗЛП или лични податоци поврзани со казнени осуди и казнени дела според член 14 од ЗЗЛП.
Оттука, обврската не зависи од големината на организацијата или од категоријата на контролори.
Дали контролорот спаѓа во некоја специфицирана категорија не е релевантно за прашањето на задолжително назначување на офицер.
Во однос на толкувањето за формулацијата „основните активности на контролорот или обработувачот вклучуваат обемна обработка на посебни категории на лични податоци“, таква екстензивна обработка може да вршат болници во капацитет на контролори, за разлика од индивидуални лекари.
Оттука, лекарите или адвокатите како самостојни вршители на дејност не се обврзани да назначат офицер за заштита на лични податоци.
Субјектите на лични податоци имаат право од контролорот да побараат да ги избрише нивните лични податоци, при што контролорот е обврзан да ги избрише таквите податоци во рок од 30 дена по приемот на барањето.
Контролорот треба да обезбеди информации за дејството што го преземал во однос на барањето за бришење на личните податоци (право да се биде заборавен) без непотребно одлагање и најдоцна во рок од еден месец по приемот на барањето.
Овој рок може да се продолжи за два дополнителни месеци кога тоа е неопходно, со оглед на сложеноста и бројот на поднесени барања. Во таков случај, контролорот треба да го извести лицето за ваквото продолжување во рок од еден месец од приемот на барањето, заедно со образложение на причините за одложувањето.
Важно е да се напомене дека правото на бришење на личните податоци (право да се биде заборавен) не е апсолутно. Меѓу другото, тоа не се применува:
- за остварување на правото на слобода на изразување и информирање (на пр., за новинарски цели);
- кога контролорот има законска обврска за обработка на лични податоци (на пр., обработка на евиденција за работните часови на вработените);
- во случај на вршење работи од јавен интерес или јавно овластување (на пр., за целите на научни истражувања или за целите на архивирање од јавен интерес, за научни или историски истражувања или за статистички цели, при што бришењето на личните податоци ќе ја направи обработката невозможна или сериозно ќе го попречи остварувањето на целите на таквата обработка, или кога се врши попис на населението во земјата); и
- за утврдување, остварување или одбрана на правни барања.
Офицерот за заштита на личните податоци не смее да има судир на интереси за да може да дејствува во независен капацитет.
Оттука, офицерот може да врши други задачи само доколку тие не водат кон судир на интереси.
Примери за работни позиции кои може да бидат во судир со позицијата на офицерот се високи раководни позиции (како што се: извршен оперативен директор, главен извршен директор, директор на здравствена институција, раководител на одделот за маркетинг, раководител на одделот за човечки ресурси или раководител на одделот за информатичка технологија).
Доколку некоја организација доброволно назначи офицер за заштита на лични податоци, тогаш за лицето се применуваат условите од членовите 41 до 43 од ЗЗЛП во однос на неговото/нејзиното назначување, позиција и задачи исто како назначувањето на ваков офицер да било задолжително.
Обработката на податоци поврзани со вакциналниот статус против КОВИД-19 се смета за обработка на посебна категорија на лични податоци (податоци за здравјето).
Трети страни кои вршат услуги за одржување се сметаат за „трета страна“ според дефиницијата дадена во член 4, став (1), точка 10) од ЗЗЛП.
Според дефиницијата, „трето лице“ е физичко или правно лице, орган на државната власт, државен орган или правно лице основано од државата за вршење на јавни овластувања, агенција или друго тело, кое не е субјект на лични податоци, контролор, обработувач или лице кое, под директно овластување од контролорот или од обработувачот, е овластено да обработува лични податоци.
Оттука, сервиси за одржување не се сметаат ниту за контролор, ниту за обработувач.
Доколку компанијата НН склучи договор со служба за одржување, работниците не треба да имаат пристап до лични податоци иако тие може да наидат на такви податоци (во канцеларија или во дом). Бидејќи работниците не се вработени во компанијата НН, тие не се под нејзина надлежност.
Следствено, работниците се сметаат за трета страна и контролорот е должен да примени соодветни безбедносни мерки за да спречи неовластен пристап до личните податоци.
Работодавецот е обврзан да ја организира работата на начин кој овозможува заштита на животот и здравјето на сите работници, па така, во контекст на пандемија, ваквата обработка е законска, но чувањето податоци за измерената температура на вработените се смета за прекумерна обработка на лични податоци.
Обработка на податоци за здравјето може да се врши само по претходно добиено одобрување од АЗЛП согласно член 84 од ЗЗЛП.
Одобрување не се бара во случај кога обработката на лични податоци е утврдена со закон кој содржи безбедносни и други мерки за заштита на правата и слободите на субјектите на лични податоци.
Во овие случаи Агенцијата донесува решение во рок од 90 дена по приемот на барањето за одобрување.
Функцијата на офицер за заштита на лични податоци може да се извршува и врз основа на договор на дело склучен со физичко лице или со организација надвор од контролорот или обработувачот.
Важно е секој член на организацијата што ја извршува функцијата на офицер за заштита на лични податоци да ги исполнува сите услови пропишани со законот.
Псевдонимизирани податоци се лични податоци и за нив се применува ЗЗЛП, додека анонимизирани податоци се анонимни информации за кои не се применува ЗЗЛП.
Анонимизираните податоци се информации кои не се поврзуваат со идентификувано лице или лице кое може да се идентификува, додека псевдонимизираните податоци вклучуваат замена на личните податоци (на пр., име на лицето) со единствен идентификатор кој не е поврзан со идентитетот на лицето, но сепак претставува личен податок бидејќи лицето може да се идентификува со користење на клуч.
Видеонадзорот во смисла на одредбите од ЗЗЛП се однесува на обработка на лични податоци што вклучува создавање видеозапис кој е дел или е наменет да биде дел од систем за чување снимки.
ЗЗЛП не се применува во конкретниот случај поради фактот дека не се обработуваат лични податоци на субјектот.
Обработката на лични податоци преку систем за видеонадзор налага исполнување на сите услови пропишани во ЗЗЛП.
Прво, контролорот може да врши видеонадзор на службените простории само доколку смета дека тоа е потребно за:
- заштита на животот и здравјето на луѓето;
- заштита на приватната сопственост;
- заштита на животот и здравјето на вработените, поради природата на работата што се извршува; или
- контрола на движењето во и надвор од службените простории.
Обработката мора да биде законска. Најчестиот правен основ за обработка на лични податоци преку видеокамери е легитимен интерес согласно член 10, став (1), точка ѓ) од ЗЗЛП (други можни правни основни се законска обврска и согласност).
Кога податоците се обработуваат врз основа на легитимен интерес, контролорот треба да направи тест за легитимен интерес за да утврди што преовладува во конкретниот случај: легитимниот интерес на деловниот субјект или правото за заштита на лични податоци на физичкото лице.
Ако контролорот го докаже легитимниот интерес за вршење на видеонадзор, мора да ги извести субјектите на лични податоци преку неговата политика/изјава за приватност, но треба да објави и известување согласно член 89, став (3) од ЗЗЛП.
Ваквото известување мора да биде јасно, видливо и јавно на начин кој им овозможува на субјектите на лични податоци да бидат информирани дека се врши видеонадзор.
Известувањето треба да ги содржи следниве информации:
- дека е поставен систем за видеонадзор;
- име/назив на контролорот што го врши видеонадзорот;
- начин на кој може да се добијат информации за местото и периодот на чување на снимките од системот за видеонадзор;
- субјектите на лични податоци треба да бидат информирани за обработката на лични податоци согласно членовите 17 и 18 од ЗЗЛП.
Исто така, контролорот треба да ги извести вработените дека во службените простории има поставено систем за видеонадзор.
Според член 90 од ЗЗЛП, контролорот треба да го регулира начинот за вршење видеонадзор преку посебен акт (пример за организациски мерки).
Освен тоа, член 92 од ЗЗЛП и посебните законите за безбедност и здравје при работа или за конкретен сектор (банкарство, сектор безбедност) пропишуваат спроведување анализа и периодични проверки бидејќи може да постојат и други барања поврзани со предметната материја.
Не само што е дозволено, туку и мора да се пријави бидејќи тоа претставува законска обврска на контролорот.
Поконкретно, наставниците, професионалните соработници и другите вработени во училиштата се обврзани да преземат мерки за заштита на правата на учениците и каква било повреда на овие права, особено во форма на физичко или психичко насилство, сексуално злоставување, занемарување или немарен однос, злоупотреба или искористување на учениците, и мора веднаш да го информираат директорот на училиштето, кој пак е обврзан тоа да го пријави до надлежните органи.
Од тие причини, во такви случаи не се применува согласноста.
Тоа е можно, врз основа на докажан легитимен интерес или согласност доколку не постои друг правен основ.
Тоа е можно, врз основа на докажан легитимен интерес или согласност доколку не постои друг правен основ.
Тоа е можно, врз основа на докажан легитимен интерес или согласност доколку не постои друг правен основ.
Тоа е можно, врз основа на докажан легитимен интерес или согласност доколку не постои друг правен основ.
Не. Родителите и воспитувачите/воспитувачките од конкретна група во градинка доброволно разменуваат контакт информации за слободна комуникација преку некоја платформа, во затворена група каде комуницираат и разменуваат информации.
Се претпоставува дека референцираната комуникација се одвива надвор од рамките на редовниот начин за информирање на родителите од страна на градинката.
Тоа е можно, врз основа на докажан легитимен интерес или согласност доколку не постои друг правен основ.
Добра практика за усогласување со начелото на транспарентност е изработка и објавување на детална политика/известување/изјава за приватност.
На граѓаните треба да им се даде документ со јасни, концизни, транспарентни, разбирливи и лесно достапни информации, напишани на едноставен јазик, коишто опишуваат што прави контролорот со нивните лични податоци.
Контролорот мора да ги информира граѓаните за целите на обработката на лични податоци, правниот основ за обработката, рокот на чување, дали податоците се споделуваат со други, легитимниот интерес на контролорот или на третата страна, намерата за пренос на личните податоци во трети земји или меѓународни организации, контакт информации на офицерот за заштита на лични податоци, итн.
Изјавата за приватност треба да биде прилагодена на сите компоненти пропишани со законот (членови 16, 17, и 18).
На пример, доколку контролорот нема сопствена веб-страница, примерок од изјавата за приватност може да биде поставен на истакнато место. Во спротивно, изјавата за приватност треба да биде објавена на веб-страницата.
Секоја обработка на лични податоци треба да се води според начелата од ЗЗЛП.
Еден од нив е начелото на „минимален обем на податоци“, што значи дека податоците мора да бидат соодветни, релевантни и ограничени само на оние кои се потребни за целите за кои се обработуваат.
Од тие причини, веројатно е дека во овој конкретен случај станува збор за прекумерно обработување на лични податоци.
Тоа може да се смета за легитимен интерес доколку контролорот го докаже таквиот интерес преку спроведување тест за балансирање, но се советува за тоа да се изготват внатрешни правила каде би било елаборирано и доделувањето награди и објавувањето на победниците, со што учесниците би биле запознаени со можноста за објава на нивните имиња.
Од тие причини, се препорачува учесниците однапред да бидат известени за намерата имињата и презимињата на победниците од организираната наградна игра да бидат јавно објавени.
Фотографирање на училишна претстава со приватни мобилни телефони од страна на родителите на децата не подлежи на примена на Законот за заштита на личните податоци бидејќи се смета за лична активност.
Освен согласност, ваквата обработката може да се заснова на докажан легитимен интерес.
Сепак, субјектите на лични податоци треба да бидат однапред информирани (на пример, преку говорниот апарат) дека разговорот ќе се снима и дека личните податоци ќе се обработуваат за целите на подобрување на услугата.
Кога станува збор за фотографирање и јавно објавување на фотографии од јавен настан, треба да се знае дека во секој случај треба да се утврди постоење на правен основ за обработката на лични податоци.
На пример, во некои конкретни случаи правен основ може да биде легитимен интерес, согласност, јавен интерес.
Во случај на легитимен интерес, обработката на лични податоци може да се смета дека се заснова на легитимен интерес на деловниот субјект, освен кога пред таквиот интерес предимство имаат интересите или основните права и слободи на субјектите на лични податоци кои налагаат заштита на личните податоци, особено кога субјектот на лични податоци е дете.
Оттука, иако законот не исклучува фотографирање на јавен настан, физичките лица треба да бидат известени однапред за фотографирањето и за намерата фотографиите да се објават на социјалните мрежи, веб-страницата на компанијата или преку други медиуми.
Притоа, лицата може да бидат информирани за намерата за фотографирање и објавување на фотографиите преку поставување на известување на истакнато место.
Исто така, кога обработката на лични податоци се заснова на легитимен интерес, претходно треба да се направи тест за балансирање (тест за легитимниот интерес) за да се утврди што преовладува во конкретниот случај: легитимниот интерес на компанијата или правото на заштита на личните податоци на граѓаните.
Доколку деловниот субјект не може да го докаже својот легитимен интерес, личните податоци можат да се обработуваат според некој друг правен основ, на пример, согласност добиена според законот.
Услов за законска обработка е правниот основ даден во член 10, став (1) од ЗЗЛП и постоење на еден од исклучоците дадени во член 13, став (2) од ЗЗЛП.
Во случај на одобрување, обработката на податоци за здравјето може да се изврши само по претходно добиено одобрување од АЗЛП согласно член 84 од ЗЗЛП.
Одобрување не е потребно во случај кога обработката на личните податоци е утврдена со закон кој содржи безбедносни и други мерки за заштита на правата и слободите на субјектите на лични податоци.
Во такви случаи Агенцијата донесува решение во рок од 90 дена по приемот на барањето за одобрување.
Генерално, судовите ги обработуваат личните податоци врз основа на законска обврска или јавно овластување.
На судовите им требаат таквите информации за ги утврдат и докажат фактите во постапката што се води за спорот, па затоа контролорот мора да ги обезбеди информации до судот.
Мора да постои соодветен правен основ за обработка на личните податоци според член 10 од ЗЗЛП.
Доколку ревизијата се извршува во согласност со закон, тогаш согласноста не може да биде применлив правен освен за обработката.
Работодавачот може да се обиде да го докаже својот легитимен интерес преку спроведување тест за легитимен интерес или да побара согласност од кандидатот (согласноста мора да ги исполнува условите дадени во член 11 од ЗЗЛП).
Во секој случај, кандидатот мора да биде запознаен со ваквата обработка во согласност со начелото на транспарентност.
Според член 13 од ЗЗЛП, биометриските податоци се посебна категорија на лични податоци.
Условот за законска обработка е правниот основ од член 10, став (1) од ЗЗЛП и постоење на еден од исклучоците дадени во член 13, став (2) од ЗЗЛП.
На пример, правниот основ за обработка на биометриски податоци за влез во службени простории може да биде изречна согласност.
Сепак, бидејќи ова преставува однос меѓу работодавач и вработен (нееднаков однос, однос на зависност), треба да се постави прашањето дали вработениот доброволно ја дава својата согласност (доброволноста е еден од условите за согласност).
Од тие причини, работодавачот треба да се осигури дека согласноста е доброволна и на вработениот мора да му овозможи алтернатива за поинаков влез во службените простории (преку картичка, код, итн.)
Во случај на одобрување, обработката на биометриски податоци може да се изврши само по претходно одобрување од АЗЛП согласно член 84 од ЗЗЛП, иако обработката се врши по изречна согласност дадена од субјектот на лични податоци.
Одобрување не е потребно во случај кога обработката на лични податоци е утврдена со закон кој содржи безбедносни и други мерки за заштита на правата и слободата на субјектите на лични податоци.
Во такви случаи Агенцијата донесува решение во рок од 90 дена од приемот на барањето за одобрување.
Доколку рокот на чување е утврден во закон што ги регулира работните односи, тогаш постои правен основ за таквата обработка на лични податоци според член 10, став (1), точка (в) од ЗЗЛП.
Важно е да се разбере дека согласноста не е единствениот правен основ за обработка на лични податоци.
Работодавачот може да инсталира ГПС уред на службено возило доколку може да докаже постоење на легитимен интерес за истото.
Имено, работниците понекогаш ги користат ресурсите на компанијата за приватни цели, па затоа може да се каже дека постои правен основ за обработката на личните податоци на работниците.
Законот за работни односи не го пропишува начинот за утврдување на правото на платено отсуство.
Барање докази во случај кога работникот има право на платено отсуство (поради важни лични причини како што е раѓање на дете) за да се потврди оправданоста на користењето платено отсуство не е спротивно на одредбите од законот и за истото може да се најде правен основ во форма на легитимен интерес.
Оправданоста на користењето платено отсуство може да се утврди преку увид во сертификат кој ја докажува важната лична причина за барање платено отсуство, освен доколку не е поинаку утврдено во колективниот договор или во интерните акти на работодавачот.
Содржината на фактурата ја утврдуваат неколку закони, на пример, Законот за данокот на додадена вредност, Законот за регистрирање на готовински плаќања.
Меѓу другото, еден од елементите на содржината на сметката е ознака за операторот (лицето) на самиот инструмент за наплата.
Оттука, нема потреба да се стави и името на лицето. Напротив, контролорот може да пропише интерни ознаки за неговите вработени како дел од интерните акти.
Овој метод на достава на списокот за плата до вработените не е спротивен на одредбите од законот, под услов да се применуваат соодветни технички и организациски мерки.
Одредбите од законот се применуваат без оглед на тоа дали одредени лични податоци биле претходно јавно објавени.
Оттука, доколку контролорот има намера да обработува лични податоци, тој мора да има соодветен правен основ за обработката согласно член 10 од ЗЗЛП.
Исто така, бидејќи личните податоци не се добиени директно од субјектот на лични податоци, контролорот мора да ги достави до субјектите на лични податоци сите информации пропишани во член 18 од ЗЗЛП (на пр., кој е изворот на податоците).
Според член 94 од ЗЗЛП, обработката на лични податоци за целите на директен маркетинг, вклучително и профилирање до степен до кој тоа се однесува на директниот маркетинг, е дозволена само доколку личните податоци се обработуваат откако субјектот на лични податоци дал изречна согласност (член 11 од ЗЗЛП).
Грануларноста е тесно поврзана со потребата согласноста да биде специјална/посебна.
Имено, кога се дава согласност за неколку различни цели (при што целта на обработката мора да биде колку што е можно поспецифична), грануларноста значи дека целите се одделени и дека за секоја цел се дава посебна согласност.
На пример, родителите или старателите треба да бидат во можност да дадат согласност на училиштето за фотографирање на учениците за образовни цели, но да не дадат согласност за јавно објавување на фотографиите на веб-страницата на училиштето или во дневен весник за промоција на училиштето.
Одделување на целите на обработката може да се постигне преку ставање празно поле за штиклирање пред секоја цел за обработката за родителот/старателот да може да означи согласност, доколку сака.
Не.
Рокот за чување е пропишан во Законот за работни односи и работодавецот има правен основ (законска обврска) за обработката, и затоа нема потреба да се користи согласност.
Не.
Според член 10, став (1) од ЗЗЛП, постојат шест правни основи за обработка на лични податоци:
- согласност;
- договор;
- законска обврска;
- суштински интереси;
- јавен интерес/јавно овластување;
- легитимен интерес.
За секоја обработка на лични податоци мора да постои соодветен правен основ. Оттука, правниот основ за обработка на лични податоци преку договор за вработување е договорот, правниот основ за обработка на лични податоци преку формуларите за задолжително социјално осигурување е законска обврска на контролорот, и правниот основ за податоците за контакт е легитимен интерес на работодавецот (доколку е докажан).
Согласноста е само еден од шесте правни основни пропишани со законот. Доколку за некоја конкретна обработка постои правен основ, нема потреба да се бара согласност, посебно или како дел од договорот за вработување.
Не.
Според член 10, став (1) од ЗЗЛП, постојат шест правни основи за обработка на лични податоци:
- согласност;
- договор;
- законска обврска;
- суштински интереси;
- јавен интерес/јавно овластување;
- легитимен интерес.
За секоја обработка на лични податоци мора да постои соодветен правен основ. Оттука, правниот основ за обработка на лични податоци преку договор меѓу банка и клиент е договорот.
За други категории на податоци правниот основ може да биде законска обврска на контролорот.
Согласноста е само еден од шесте правни основни пропишани со законот. Доколку за некоја конкретна обработка постои правен основ, нема потреба да се користи согласност.
Салонот за убавина обработува податоци врз основа на договор помеѓу салонот и клиентот.
Сепак, во моментот на фотографирање некое лице за маркетиншки цели, потребен е друг правен основ, како што е согласност или легитимен интерес.
Не. Во таков случај обработката се заснова на договор/дејствија кои му претходат на склучувањето договор, па затоа нема потреба за согласност, ниту пак нарачката преку електронска пошта се смета за согласност.
Не.
Според член 96 од ЗЗЛП, обработката на лични податоци за целите на директен маркетинг, што вклучува и профилирање до степенот до кој тоа се однесува на директниот маркетинг, е дозволена само доколку личните податоци се обработуваат откако субјектот на лични податоци дал експлицитна согласност (член 11 од ЗЗЛП).
Од тие причини, согласноста е единствениот можен правен основ за целите на директен маркетинг.
Според Законот за облигациони односи, доверувањето наплата на побарувања (долгови) не налага добивање согласност од должникот, но доверителот е обврзан да го извести должникот за доверувањето на наплатата на друго правно лице, што значи дека станува збор за договорен однос.
Освен тоа, воспоставување контакт со лица кои не се должникот налага поразличен правен основ од аспект на согласност или докажан легитимен интерес.
Во случај на малолетно дете, согласност треба да се добие од родител или старател, освен во случај на обработка на лични податоци што се однесува на услуги на информатичкото општество кои се нудат директно на детето.
Во таков случај детето може да даде согласност, но само ако е на возраст од 14 години и постаро.
Да. Согласноста е единствениот можен правен основ за обработка на лични податоци во контекст на користење колачиња.
Тоа е предвидено во Законот за електронски комуникации (член 168). Сепак, постои и исклучок за колачиња кои се технички неопходни.
Освен согласност, контролорот мора да обезбеди и јавни информации на субјектот на лични податоци согласно членовите 17 и 18 од ЗЗЛП.
Не. Контролорот нема потреба да побара и добие согласност за секоја обработка на лични податоци.
Секоја активност за обработка на лични податоци мора да се заснова на некој од правните основи дадени во член 10, став (1) од ЗЗЛП.
Согласноста е само еден од правните основи за обработка на лични податоци пропишани со законот.
Доколку постои друг правен основ за обработка на личните податоци (на пр., законска обврска или договор), нема потреба да се користи согласност.
На пример, според Законот за работни односи, работодавецот е обврзан да води евиденција за работните часови на вработените, додека според Законот за здруженија и фондации, едно здружение на граѓани е должно да води список со неговите членови, и во ваквите случаи нема потреба за согласност бидејќи законската обврска на контролорот претставува правен основ за обработката на лични податоци.
Согласноста се користи за обработка на лични податоци за целите на директен маркетинг, вклучувајќи и профилирање, согласно член 96 од ЗЗЛП.
Друг пример каде се користи согласност е фризерски салон кој, во својство на контролор, објавува слики од сопствената дејност (популарна рубрика „пред и потоа“) на социјалните медиуми или обработува податоци преку колачиња поставени на веб-страницата, бидејќи за тоа не може да покаже легитимен интерес.
Рокот за чување на лични податоци често е утврден во посебните законите (на пр., прописите за работни односи го утврдуваат периодот за чување на списоците за плати на вработените).
Сепак, кога прописите не утврдуваат рок за чување се применува начелото на ограничување на рокот на чување даден во член 9 од ЗЗЛП.
Личните податоци мора да се чуваат во форма која дозволува идентификација на субјектите на лични податоци во период кој не е подолг од она што е неопходно за целите на обработката на личните податоци.
Личните податоци може да се чуваат подолг рок само доколку се обработуваат за целите на архивирање од јавен интерес, за научни или историски истражувања или за статистички цели согласно член 86, став (1) од ЗЗЛП, при што треба да се применат соодветни технички и организациски мерки во согласност со ЗЗЛП, со цел да се заштитат правата и слободите на субјектите на лични податоци.
Доколку рокот за чување не е утврден со закон, контролорот ги чува личните податоци сè додека тие се потребни за целите на обработката на лични податоци.
Личен податок е секоја информација која се однесува на идентификувано физичко лице или физичко лице што може да се идентификува (субјект на лични податоци), додека физичко лице што може да се идентификува е лице чијшто идентитет може да се утврди, директно или индиректно.
Лични податоци се широк концепт. Подолу се дадени неколку примери:
- име и презиме;
- домашна адреса, електронска пошта, телефонски број;
- датум на раѓање, возраст на лицето;
- единствен матичен број;
- податоци за членство во синдикат;
- IP адреса или домен на компјутерот што се користи за посетување веб-страници;
- информација за локација;
- број на кредитна или дебитна картичка;
- податоци за здравјето;
- биометриски податоци (на пр., отпечаток од прст);
- приказ на некое лице на снимка или слика од видеонадзор, аудиоснимка и слично;
- регистарски број на возило;
- друго.
Контролорот мора да ја скенира ситуацијата во организацијата, што вклучува и мапирање на движењето на личните податоци (ги утврдува категориите на лични податоци што се обработуваат, дали се обработуваат посебни категории на лични податоци, како и законитоста, транспарентноста и целите на обработката на лични податоци, пренос на лични податоци, итн.).
За да биде транспарентен, контролорот треба да воспостави политика за приватност. Во некои случаи, контролорот треба да води евиденција за обработката на лични податоци. Исто така, тој мора да обезбеди остварување на правата на субјектите на лични податоци.
Повеќе информации за општите обврски на контролорот се дадени во информаторот „10 БРЗИ ЧЕКОРИ ЗА УСОГЛАСУВАЊЕ СО ЗАКОНОТ ЗА ЗАШТИТА НА ЛИЧНИТЕ ПОДАТОЦИ“, објавена на веб-страницата на АЗЛП.
Според прописите за работни односи, копирање или скенирање на документи за лична идентификација или банкарски картички не е законска обврска на работодавачот.
Меѓу другото, банкарската картичка содржи верификациски број (CSC, CVV или HVS), што претставува уникатен троцифрен или четирицифрен број отпечатен на картичката веднаш до бројот на сметката и служи како доказ за физичко поседување на картичката при набавки преку интернет.
Кога станува збор за личната карта, таа содржи одредени лични податоци на субјектот (на пр., фотографии на вработените) што го става под знак прашање правниот основ за законитост на обработката.
Затоа мора да постои правен основ според член 10 од ЗЗЛП којшто, во ретки случаи, може да биде докажан легитимен интерес, со анонимизирање на непотребните податоци (на пр., CVV бројот не е потребен, но бројот на тековната сметка е потребен).
