Контролорот и обработувачот мора да определат ОЗЛП кога:
- обработката на лични податоци се врши од страна на органите на државната власт,
- основните активности на обработката поради својата природа, опсег и/или цели, бараат во голема мера редовно и систематско следење на субјектите на лични податоци, или
- основните активности се состојат од обемна обработка на посебни категории на лични податоци или личните податоци се поврзани со казнени осуди и казнени дела.
Во одредени случаи контролорот или обработувачот или здруженија и други тела што ги претставуваат категориите на контролори или обработувачи, може исто така да определат офицер за заштита на личните податоци.
Контролорот може да определи ОЗЛП, дури и ако тоа не го бара ЗЗЛП. Во ваков случај, треба да се разбере дека истите барања за положбата, статусот и задачите важат како и во случај кога определувањето на ОЗЛП е задолжително.
Доколку контролорот одлучи дека не треба да определи ОЗЛП, поради неисполнување на критериумите образложени погоре, одлуката за неопределување на ОЗЛП треба да биде документирана (елаборирана) за да се демонстрира принципот на отчетност.
Тука се подразбираат органите на државната и на локалната власт и други државни органи основани согласно со Уставот и со закон, институциите кои вршат дејности од областа на образованието, науката, здравството, културата, трудот, социјалната заштита и заштитата на детето, спортот, како и во други дејности од јавен интерес утврден со закон, а организирани како агенции, фондови, јавни установи и јавни претпријатија основани од Република Северна Македонија или од општините, од градот Скопје, како и од општините во градот Скопје.
Основни активности се примарни деловни активности на контролорот, односно обработувачот. Ова значи дека, ако во своето работење контролорот треба да обработува лични податоци за да ги постигне клучните цели, тогаш таквата активност потпаѓа под поимот основна активност. Треба да се разбере дека ова е различно од обработката на личните податоци за други секундарни цели, што исто така може да биде нешто што контролорите го прават секојдневно, но не е дел од остварувањето на нивните примарни цели. На пример: за повеќето организации, обработката на личните податоци за човечки ресурси ќе биде секундарна функција во однос на нивните главни (клучни) деловни активности и затоа нема да биде дел од нивните основни активности.
Притоа, редовното и систематско следење на субјектите на личните податоци ги вклучува сите форми на следење и профилирање, без оглед дали станува збор за „онлајн“ или „офлајн“ следење, а при одредување дали обработката е во голем обем, треба да се земат предвид повеќе фактори, а особено бројот на засегнатите субјекти на личните податоци, обемот и категориите на личните податоци што се обработуваат, времетраење на обработката на податоците, географската распространетост на обработката.
На пример: ова практично значи дека доколку анализата „покаже“ дека контролорот, односно обработувачот во своето работење обработува единствено лични податоци само за своите вработени што не претставува негова основна активност (трговско друштво или организација на пример до 50 вработени) и при тоа не обработува лични податоци за други категории на субјекти на лични податоци (на пример за клиенти физички лица) и/или не обработува лични податоци преку систем за вршење на видео надзор, не подлежи на обврската за определување на ОЗЛП.
Овој процес на анализирање треба да биде документиран, имајќи предвид дека секој контролор е должен да ја демонстрира усогласеноста со начелата поврзани со обработка на личните податоци.
Основната улогата на ОЗЛП е да помогне во следењето на внатрешната усогласеност на контролорот, односно обработувачот со прописите за заштита на личните податоци, како и да информира и советува во однос на исполнувањето на обврските за заштита на личните податоци, да дава совети во врска со процената на влијанието врз заштитата на личните податоци и да дејствува како контакт точка за субјектите на личните податоци и АЗЛП.
ОЗЛП мора да биде лице/а коe има квалификации и стручни знаења за легислативата и практиките во областа на заштитата на личните податоци, како и способност, положба и статус кои му овозможуваат да ги извршува своите работи целосно независно без да добива било какви упатства од највисокото раководство во однос на извршувањето на неговите работи и притоа да биде навремено и целосно вклучен во сите прашања поврзани со заштитата на личните податоци, како и да има ресурси неопходни за извршување на работите, пристап до личните податоци и операциите на обработка и обезбедена можност да го одржува неговото стручно знаење.
Во однос на неговата положба, важно е да се разбере дека ОЗЛП за своите работи директно одговара пред највисокото раководно ниво на контролорот, односно обработувачот. Имајќи предвид дека ОЗЛП може да врши и други задачи и должности, при неговото определување важно е да се обезбеди дека таквите задачи и должности нема да доведуваат до судир на интереси во вршењето на неговите работи.
На пример: за ОЗЛП не може да биде определен управителот на контролорот/обработувачот, ниту овластеното лице за сигурност на информацискиот систем (администраторот на информацискиот систем).
ОЗЛП може да биде вработен или да ги извршува работите врз основа на договор за услуги (постоечки вработен или надворешно назначен), а неговото назначување е добар пример за демонстрирање на усогласеноста со ЗЗЛП, како и демонстрирање на отчетноста.
Контакт податоците за ОЗЛП се објавуваат јавно на веб страницата на контролорот, односно обработувачот
Контролорот, односно обработувачот ја известува Агенцијата со соодветен допис, кој треба да содржи:
- назив и седиште на контролорот, односно обработувачот,
- име и презиме на ОЗЛП,
- контакт податоци за ОЗЛП (електронска пошта и телефонски број).
ОЗЛП не е лично одговорен за усогласеноста со прописите за заштитата на личните податоци. Одговорноста за усогласување со ЗЗЛП е на контролорот или обработувач. ОЗЛП има клучна улога во исполнувањето на обврските за заштита на личните податоци кај контролорот или обработувачoт.