Голем број организации (деловни субјекти, институции, итн.) се соочуваат со огромни предизвици во процесот на идентификување на сите видови на лични податоци со кои располагаат, каде се чуваат овие податоци и какво е нивното значење за самото работење, што е предуслов за постигнување усогласеност со Законот за заштита на личните податоци.
    Потребно е квалитетно управување со податоците, односно правилно воспоставен механизам преку кој ќе се утврди кои податоци треба да се обработуваат, зачуваат, избришат, итн.
    Затоа контролорите треба прецизно да ги идентификуваат и лоцираат личните податоци во рамките на нивните информациски системи, како и во системите за чување податоци во хартиена форма, и да имаат предвид дека само квалитетна стратегија за управување со податоците ќе доведе до целосна усогласеност со Законот за заштита на личните податоци.
    За да се избегнат санкции во случај на неусогласеност со законските прописи, клучните лица во организацијата мора да се посветат на прашањата за усогласеност со прописите, вклучително и со прописите за заштита на личните податоци.





    Податоците кои го откриваат расното или етничкото потекло, верските или филозофските убедувања, или членството во синдикати, како и обработката на генетски и биометриски податоци за целите на идентификување на некое физичко лице, податоци кои се однесуваат на здравјето или на сексуалниот живот и сексуалната ориентација на лицето, се сметаат за посебни категории на лични податоци и тие подлежат на строго дефиниран и детален режим на обработка согласно Законот за заштита на личните податоци.
    Обработката на овие податоци претставува висок ризик по правата и слободите на физичките лица. Од таа причина, контролорите треба да се воздржат од собирање такви податоци, кога тоа е можно.





    Личните податоци мора да се собираат за конкретни, експлицитни и легитимни цели и не смеат да подлежат на натамошна обработка која не е конзистентна со таквите цели. (Исклучокот од правилото за натамошна обработка на личните податоци се однесува само за цели на архивирање од јавен интерес, научни и историски истражувања и за статистички цели, што се смета дека е во согласност со иницијалната цел на обработката).
    На пример, авионска компанија собира податоци од патниците кои се потребни за извршување на договорните обврски (купување авионски билет) член 10 став (1) алинеја 2 од Законот за заштита на личните податоци. Ваквата обработка се заснова на договор. Сепак, доколку од авионската компанија се бара да обезбеди податоци на службите за миграција за целите на контрола, тоа претставува нова обработка (доставување на податоци) и има различна цел од првичната обработка, па затоа таквата обработка на личните податоци кои првично биле собрани за целите на извршување на договорни обврски налага постоење на нов правен основ од член 10 став (1) од Законот за заштита на личните податоци.
    Оттука, секоја нова цел на обработката на личните податоци која е некомпатибилна со првичната цел мора да има сопствен правен основ.
    Целта за која се обработуваат личните податоци мора да биде изречно наведена во моментот кога се собираат податоците. Конкретно, целта мора да биде дефинирана пред обработката и таа мора да биде доволно јасна и конкретна за да се зголеми транспарентноста и да се обезбеди правната сигурност, при што податоците мора да бидат неопходни и релевантни за таквата цел и треба да се обработуваат само доколку дефинираната цел не може да се постигне на друг начин.





    Сите контролори имаат обврска да применат соодветни мерки за исполнување на барањето за транспарентност со што лицата чиишто лични податоци се обработуваат се квалитетно и навремено информирани за користењето на нивните податоци. Ваква обврска постои без оглед на фактот дали се обработуваат лични податоци на клиенти, корисници, вработени, пациенти или други лица.
    Информациите што се обезбедуваат мора да бидат објаснети на јасен и едноставен јазик што може да го разбере секој, а кога станува збор за обработка на лични податоци на деца, тогаш овие информации треба дополнително да се прилагодат на нивната возраст и свесност.
    На лицата мора да им биде јасен начинот на кој се обработуваат нивните податоци, ризиците што произлегуваат од обработката и безбедносните мерки што се применуваат за ублажување на тие ризици.
    Контролорите сами одредуваат како ќе го исполнат барањето за транспарентност, но се препорачува тоа да се направи во форма на сеопфатна и детална политика/изјава за приватност со издвоени наслови која е поставена на официјалната веб-страница.
    Други примери за транспарентно обезбедување информации на физички лице вклучуваат:
    на јавен настан организиран од контролорот, каде гостите се информираат дека може да бидат фотографирани или снимени преку поставување известување за таквата можност на видливо и достапно место; или
    ако постои систем за видео надзор, преку поставување на изјава/налепница со потребните информации.





    Пример: едно лице купува производ преку онлајн продавница.
    Онлајн продавницата обработува одредени податоци кои се потребни за целите на склучување договор за купопродажба, вклучително и е-мејл адреса на клиентот. Ваквата обработка се заснова на договорен однос и таа е законска согласно ЗЗЛП (доколку се обработуваат само податоците кои се потребни).
    Сепак, подоцна на истиот е-мејл се испраќа порака со одредени промоции и производи. Тоа не е во согласност со ЗЗЛП, и доколку контролорот (онлајн продавницата) сака да ги обработува тие лични податоци за целите на директен маркетинг, прво треба да побара согласност од лицето.





    Личните податоци може да се собираат директно од лицето чиишто податоци ќе се обработуваат (на пр., податоци за родителот и за детето кога се запишува во градинка) или индиректно (на пр., при запишување на детето во градинка, родителот обезбедува информации за тоа кои лица, освен родителот, може да го земат детето од градинката).
    Оваа обработка е можна само доколку постои правен основ согласно член 9 од ЗЗЛП и само доколку се почитуваат начелата за обработка на личните податоци.
    Контролорите сами одредуваат како ќе ги обезбедат овие информации, а еден можен начин е преку објавување на детална политика/изјава за приватност со изводени наслови на официјалната веб-страница.





    Види прашање бр. 6.
    Ако податоците не ги собирате директно од лицата чиишто лични податоци се обработуваат, дали ги информирате за изворот од каде ги добивте нивните податоци?
    Конкретно, прашањето се однесува на вашиот систем за управување со податоци. Дали имате контрола врз вашата обработка на лични податоци? Дали имате правен основ за таквиот начин на собирање лични податоци? Дали лицата чиишто лични податоци се обработуваат се свесни за таквата обработка?





    Кога во вашата организација се обработуваат лични податоци, без оглед дали тие се податоци на клиенти, пациенти, студенти и слично, важно е таквите податоци да бидат соодветни, релевантни и ограничени на она што е неопходно за целите за кои се обработуваат за да се избегне прекумерна обработка на лични податоци. Пример за прекумерна обработка на лични податоци е сексуалната ориентација на вработените или на лицата кои аплицираат за работа, или политичката партија за која вработените гласале на последните избори.





    Обработката на личните податоци мора да биде безбедна што, меѓу другото, налага проценка на ризиците за да се намали можноста од случајно или неовластено губење, користење, менување, откривање или пристапување до податоците.
    За да ги минимизираат потенцијалните ризици, контролорите треба да применат соодветни технички мерки (на пр., псевдонимизација, криптирање, користење силни лозинки на компјутерите и на другата техничка опрема) и организациски мерки (на пр., едукација на вработените, изјави за доверливост, јасна распределба на одговорностите, заштита на пристапот до просториите и до хардверска и софтверска опрема, верификација на овластувањата за пристап).
    Во сите овие процеси може да ви помогне офицерот за заштита на личните податоци, доколку организацијата има определено таков лице.






    Ризиците не се намалуваат само со примена на квалитетни хардверски и софтверски решенија, туку и преку квалитетни интерни правила, посебно со оглед на големиот број на нарушувања на безбедноста на личните податоци кои се случуваат токму поради човечки грешка.
    Исто така, контролорите треба редовно да ги едуцираат вработените, особено за нивната обврска за доверливост, заштита на пристапот до податоци, вклучително и преку овластувања за пристап, користење на податоците во согласност со инструкциите од претпоставените и во согласност со воспоставените правила за дејноста што ја вршат, јасна поделба на одговорностите, итн.
    Исто така, контролорите треба да внимаваат и на транспарентноста за обработката на лични податоци кон вработените како субјекти на лични податоци.
    Од таа причина, треба да применат соодветни технички мерки (на пр., псевдонимизација, криптирање, доверливост) и организациски мерки (на пр., едукација на вработените, јасна поделба на одговорностите, заштита на пристапот до просториите и до хардверската и софтверската опрема, верификација на овластувањата за пристап).
    На сите овие обврски треба да им се пристапи сериозно, детално и квалитетно, што значи донесување политики/ стратегии/ протоколи за безбедност и запознавање на вработените со содржината на истите.
    За да ги минимизираат потенцијалните ризици, контролорите треба да применат соодветни технички мерки (на пр., псевдонимизација, криптирање, користење силни лозинки на компјутерите и другата техничка опрема) и организациски мерки (на пр., едукација на вработените, изјави за доверливост, јасна распределба на одговорностите, заштитен пристап до просториите и до хардверската и софтверската опрема, верификација на овластувањата за пристап).
    Во сите овие процеси може да помогне офицерот за заштита на личните податоци, доколку организацијата има определено такво лице.





    Едно од темелните начела на ЗЗЛП се однесува на ограничување на рокот за чување на личните податоци кое пропишува дека личните податоци мора да се избришат или да се анонимизираат веднаш штом тие повеќе не се потребни за целите за коишто биле собрани.
    Тука треба да се нагласи важноста на законодавството што ја уредува дејноста што ја врши контролорот бидејќи рокот за чување на личните податоци најчесто е уреден со закон, на пример, согласно прописите за архивски материјал, податоците за исплатени плати, како и аналитичките картички за исплата на задолжителните придонеси на плата се сметаат за архивски материјал, односно се чуваат за неодреден временски период.
    Постои и исклучок кога податоците може да се чуваат за подолг временски период, а тој се однесување на архивирање од јавен интерес, научни и историски истражувања и статистички цели, но само доколку се применуваат соодветни технички и организациски мерки.
    Исто така, треба да се забележи дека рокот за чување на личните податоци се применува само на податоците кои овозможуваат идентификација на физички лица.






    Личните податоци кои повеќе не се потребни за целите на обработката треба да се избришат или да бидат анонимизирани.
    Личните податоци мора да бидат избришани целосно, неповратно и заедно со сите резервни копии во моментот кога тие повеќе не се потребни, а во случај тие да биле незаконски пренесени на некоја трета страна, контролорите треба да обезбедат дека и третата страна ги избришала податоците.






    Личните податоци што се обработуваат мора да бидат точни, комплети и ажурирани.
    За таа цел, се советува контролорите редовно да ги проверуваат податоците за да обезбедат дека тие се точни. Ажурирањето на податоците е важно поради фактот дека некое лице може да трпи последици кога некоја организација обработува неточни податоци за него/неа, на пример, ако базата на податоци во банката содржи застарени податоци, лицето може да трпи негативни последици при оценка на неговата/нејзината кредитоспособност.
    Исто така, обврската за ажурирање на личните податоци треба да се гледа во контекст на целта на обработката, бидејќи постојат случаи кои забрануваат ажурирање на податоците (на пример, медицинските досиеја за извршена хируршка операција не треба да се менуваат, односно ажурираат, бидејќи примарната цел на чувањето на таквите записи е да се документираат настани како историски записи, а доколку подоцна се докаже дека тие биле неточни, може да се додадат белешки кои се јасно означени како последователни внесови).






    Види прашање бр.13.
    Ажурирањето е важно поради штетата што може да му се нанесе на физичкото лице доколку организацијата обработува неточни податоци за него/неа, па затоа подолго одложување на исправката го зголемува ризикот од нанесување штета на лицето.
    Исто така, кога станува збор за остварување на правата на субјектите на лични податоци (правото на исправка), законот утврдува дека на барањето треба да се одговори веднаш и не подоцна од истекот на рокот од 30 дена (кој може да се продолжи, но само во исклучителни околности).



    ПРАВА НА СУБЈЕКТИТЕ НА ЛИЧНИ ПОДАТОЦИ (КЛИЕНТИ, КОРИСНИЦИ)




    Обработката мора да биде транспарентна за клиентите/корисниците.
    Тие имаат право да бидат информирани за правата што ЗЗЛП ги гарантира на физичките лица, односно: правото да бидат информирани, правото на исправка, правото на бришење, правото на ограничување на обработката, правото на преносливост на податоците, правото на приговор и правото да не бидат предмет на одлуки кои се темелат единствено на автоматизирана обработка, вклучително и профилирање, односно треба да ги добијат сите информации пропишани во член 16 и член 17 од ЗЗЛП и известувањата пропишани во членовите 19 до 26 од ЗЗЛП.
    Исто така, физичките лица мора да бидат информирани за можноста да ја повлечат нивната согласност или да поднесат барање за утврдување прекршување на правата што ги уживаат согласно ЗЗЛП.
    Сите известувања мора да бидат напишани на јасен и едноставен јазик, а во случај на известувања наменети за деца, тие мора да бидат прилагодени на возраста и свесноста на децата.
    Контролорите сами го утврдуваат начинот на известување, но се препорачува тоа да биде во форма на детална политика/изјава за приватност со одвоени наслови која е објавена на официјалната веб-страница или на друг соодветен начин.






    Се советува контролорите да развијат постапки со кои јасно се обезбедува остварување на правото на пристап до личните податоци (на пример, преку обезбедување соодветни информации на вработените за важноста на остварувањето на правата на физичките лица и за условите во кои тие права се остваруваат, преку јасно распределување на одговорностите на секое работно место, итн.).
    За таа цел може да се изготват формулари кои го олеснуваат остварувањето на овие права од страна на субјектите на лични податоци.






    Се советува контролорите да развијат постапки со кои јасно се обезбедува остварување на правото на исправка на личните податоци (на пример, преку обезбедување соодветни информации на вработените за важноста на остварувањето на правата на физичките лица и за условите во кои тие права се остваруваат, преку распределување на одговорностите на секое работно место, итн.).
    За таа цел може да се изготват формулари кои го олеснуваат остварувањето на овие права од страна на субјектите на лични податоци.






    Се советува контролорите да развијат постапки со кои јасно се обезбедува остварување на правото на преносливост на податоците (на пример, преку обезбедување соодветни информации на вработените за важноста на остварувањето на правата на физичките лица и за условите во кои тие права се остваруваат, преку јасно распределување на одговорностите за секое работно место, итн.)
    За таа цел може да се изготват формулари кои го олеснуваат остварувањето на овие права од страна на субјектите на лични податоци.
    Физичките лица треба да бидат информирани за нивните права, а контролорите треба да применат соодветни мерки за да ги обезбедат информациите пропишани во член 16 и член 17 од ЗЗЛП и известувањата пропишани во членовите 19 до 26 од ЗЗЛП.






    Се советува контролорите да развијат постапки со кои јасно се обезбедува остварување на правото на приговор (на пример, преку обезбедување информации на вработените за важноста на остварувањето на правата на физичките лица и за условите во кои тие права се остваруваат, преку јасно распределување на одговорностите за секое работно место, итн.).
    За таа цел може да се изготват формулари кои го олеснуваат остварувањето на правата од страна на субјектите на лични податоци.
    Пример за вакви формулари е даден во делот ОБРАСЦИ.
    Физичките лица треба да бидат информирани за нивните права, а контролорите треба да применат соодветни мерки за да ги обезбедат информациите пропишани во член 16 и член 17 од ЗЗЛП и известувањата пропишани во членовите 19 до 26 од ЗЗЛП.





    Физичките лица имаат право да не бидат предмет на донесување индивидуални одлуки исклучиво врз основа на автоматизирана обработка, вклучително и профилирање, кои создаваат правни дејство за нив.
    Пример за такво донесување одлуки е случај на брза оценка на кредитоспособноста на потенцијален клиент каде агенцијата за оценка на кредитоспособноста собира одредени податоци (на пр., податоци за несолвентност) и потоа тие податоци се внесуваат во алгоритам за оценување кој ја пресметува вкупната вредност на кредитоспособноста на потенцијалниот клиент.
    Физичките лица имаат право да ги разберат причините за одлуките што биле донесени за нив преку автоматска обработка и можните последици од истите и, во одредени ситуации, тие имаат право да го оспорат профилирањето (на пр., директен маркетинг).
    Од тие причини, контролорите треба да осигурат човечка интервенција, да им дозволат на физичките лица да го искажат своето мислење и да ги оспорат таквите одлуки.
    Контролорите може да бидат изземени од ваквата забрана само доколку одлуката е потребна за склучување договор меѓу физичкото лице и правниот субјект и истата е дозволена со законски пропис или се заснова на експлицитна согласност од физичкото лице.


    ПРАВА НА ВРАБОТЕНИТЕ




    Обработката на лични податоци мора да биде транспарентна за физичките лица (вработените).
    За таа цел, тие треба да бидат запознаени со идентитетот и контакт деталите на контролорот; целта и правниот основ за обработката, и во случај на обработка што се заснова на легитимен интерес, треба да знаат кои се тие интереси; категориите на корисниците на личните податоци; намерата за пренос на личните податоци во трета земја или меѓународна организација; рокот за чување на личните податоци; правото на приговор или можноста за повлекување на согласноста и за поднесување барање за утврдување на прекршување на правата до АЗЛП; дали давањето на личните податоци е законска или договорна обврска и дали постои автоматизирано донесување одлуки и профилирање; како и сите други информации кои се уредени во член 16 и член 17 од ЗЗЛП.
    Контролорите се должни да ги информираат вработените на јасен и едноставен начин и да го одредат начинот на кој ќе се направи тоа, т.е. преку изјава за приватност, како дел од договорите за вработување, во интерните акти, преку обуки, итн.
    Во исто време контролорите треба да бидат усогласени и со прописите што ги регулираат работните односи, на пример, дали треба да се собираат, обработуваат и користат личните податоци на вработените или дали тие треба да се доставуваат до трети страни со цел остварување на правата и обврските кои произлегуваат од работниот однос или кои се поврзани со работниот однос, при што работодавачот однапред утврдува, преку работните прописи, кои податоци ќе се собираат, обработуваат, користат или ќе се даваат на трети страни.






    Контролорите се должни да бидат транспарентни во врска со обработката на личните податоци на нивните вработени. Во принцип, тие треба сами да го одредат начинот на кој ќе обезбедат транспарентност, т.е. дали тоа ќе го направат преку политиката за приватност, договорите за вработување, интерните акти, обуките или друго.
    За таа цел, контролорите треба редовно да ги следат прописите за заштита на личните податоци и прописите за работните односи и да ги ажурираат нивните постапки и документи во согласност со измените и дополнувањата на законодавството.





    Како што е потребно редовно да се следат прописите за заштита на личните податоци и прописите за работни односи, така треба да се ажурираат постапките и документите во согласност со измените и дополнувањата на законодавството.
    Корисно е постапките и документите да се ревидираат и во случај кога тие не се доволно ефективни.






    Криптирањето е една од можните технички мерки кои овозможуваат високо ниво на безбедност во согласност со член 36 од ЗЗЛП.





    За да ги минимизираат потенцијалните ризици, контролорите треба да применат соодветни организациски мерки за безбедност (на пример, потпишување изјава за доверливост, едукација за вработените, јасна поделба на одговорностите, заштитен пристап до просториите и до хардверската и софтверската опрема, верификација на овластувањата за пристап), особено имајќи предвид дека голем број нарушувања на безбедноста на личните податоци се случуваат токму поради човечки фактор.





    Секоја организација која се јавува како контролор е одговорна за усогласување со барањата од ЗЗЛП.
    За да се избегнат санкции во случај на неусогласеност со законските прописи, клучните лица во организацијата мора да внимаваат на усогласеноста со прописите, вклучително и со прописите за заштита на личните податоци.


    ПРАВЕН ОСНОВ ЗА ОБРАБОТКА




    Обработката на лични податоци е законска само доколку постои законска обврска за тоа, доколку обработката е потребна за извршување на некој договор склучен со физичкото лице, доколку обработката е од витален интерес за физичкото лице, доколку лицето дало согласност за обработката, доколку обработката е од јавен интерес или неопходна за извршување на јавни овластувања, или доколку организацијата има легитимен интерес.
    При извршување на нивните задачи, јавните органи не смеат да се повикуваат на легитимен интерес како правен основ за обработка на лични податоци.
    ЗЗЛП пропишува построг режим во однос на податоците за расно и етничко потекло, политичка припадност, верски или филозофски убедувања, или членство во синдикати, како и за обработка на генетски и биометриски податоци кои овозможуваат идентификација на физички лица, податоци кои се однесуваат на здравјето или сексуалниот живот и сексуалната ориентација. Обработката на овие категории на лични податоци е генерално забранета и се дозволува само доколку постои правен основ и доколку е дозволена како исклучок во одредбата од член 13 став (2) од ЗЗЛП.






    Кога се користи како правен основ, согласноста мора да исполнува одредени услови од Законот за заштита на личните податоци, односно таа треба да биде:
    слободно дадена
    информирана
    конкретна
    мора да постои недвосмислено искажување на желбата на субјектот на лични податоци дека тој/таа, преку изјава или преку афирмативно дејство, дава согласност за обработка на неговите/нејзините лични податоци
    мора да биде дадена за конкретна цел
    мора да биде експлицитна и дадена преку афирмативно дејство (на пр., опција за потврдување во електронски формулар или потпишување на формуларот)
    мора да биде во пишана форма и видлива, со користење на јасен и едноставен јазик
    мора да се понуди и да се објасни можноста за повлекување на согласноста
    контролорите се должни да докажат (на пример, преку пишана или снимена согласност или на друг начин) дека побарале валидна согласност од физичкото лице, и таквата обврска постои до крајот на конкретната активност за обработка на лични податоци (доказот за добиена согласноста не мора да се чува подолго од потребното).





    Контролорите мора да овозможат еднакво лесен начин за физичките лица да ја повлечат согласноста и се обврзани да ги информираат за правото на повлекување на согласност.
    На пример, кога согласноста се дава во електронска форма (преку кликање со глувчето), физичкото лице мора да биде во можност да ја повлече согласноста на истиот начин, или доколку согласноста се дава преку кориснички интерфејс (на пр., веб-страница или апликација, интернет уред или е-пошта), физичкото лице мора да биде во можност да ја повлече согласноста преку истиот интерфејс.
    Физичките лица треба да бидат во можност да ја повлечат согласноста без да трпат штетни последици од истото или без да вложат дополнителен напор, што значи дека повлекувањето на согласноста е бесплатно и нема негативно влијание врз квалитетот на услугата.





    За да користат легитимен интерес како правен основ за обработка на лични податоци, контролорите мора да се осигурат дека обработката е потребна за нивните цели или за целите на некоја трета страна и дека интересите или основните права и слободи на субјектите на лични податоци немаат предност пред таквите интереси, особено во однос на заштита на личните податоци и кога субјектите на лични податоци се деца.
    Тоа значи дека пред да почнат со обработката на лични податоци, контролорите треба да направат тест за пропорционалност кој го сочинуваат неколку чекори.
    Постоењето на легитимен интерес налага внимателна оценка на тоа дали субјектот на лични податоци може разумно да очекува обработка на неговите/нејзините лични податоци за конкретна цел во моментот и контекстот на собирање лични податоци.
    При извршување на нивните работни задачи и обврски, јавните органи не можат да се повикаат на легитимен интерес како правен основ за обработка на лични податоци.





    За да користат легитимен интерес како правен основ за обработка на лични податоци, контролорите мора да се осигурат дека обработката е потребна за нивните цели или за целите на некоја трета страна и дека интересите или основните права и слободи на субјектите на лични податоци немаат предност пред таквите интереси, особено во однос на заштита на личните податоци и кога субјектите на лични податоци се деца.
    Тоа значи дека пред да почнат со обработка на лични податоци контролорите треба да направат тест на пропорционалност кој го сочинуваат неколку чекори.


    ДОСТАВУВАЊЕ НА ЛИЧНИ ПОДАТОЦИ НА ТРЕТИ СТРАНИ




    Во таков случај, контролорите треба, меѓу другото, да ги земат превид правниот основ за обработката, начелата за обработка на лични податоци и обврската за транспарентност пред физичките лица.
    На пример, во согласност со прописите за работни односи, личните податоци на вработените може да се споделат со трети страни, но само доколку тоа е регулирано со закон или се смета за неопходно за остварување на правата и обврските од работниот однос или е поврзано со вработувањето, при што, како дел од неговите работни прописи работодавачот мора однапред да утврди кои лични податоци ќе се собираат, обработуваат, користат или ќе се доставуваат до трети страни.





    Во таков случај, контролорите треба, меѓу другото, да ги земат превид правниот основ за обработката, начелата за обработка на лични податоци и обврската за транспарентност пред физичките лица.
    На пример, во согласност со прописите за работни односи, личните податоци на вработените може да се споделат со трети страни, но само доколку тоа е регулирано со закон или се смета за неопходно за остварување на правата и обврските од работниот однос или е поврзано со вработувањето, при што, како дел од неговите работни прописи работодавачот мора однапред да утврди кои лични податоци ќе се собираат, обработуваат, користат или ќе се доставуваат до трети страни.





    Сите контролори се должни да преземат соодветни мерки за транспарентност (член 16 и член 17 од ЗЗЛП) за да ги информираат физичките лица чиишто лични податоци се обработуваат за начинот на кој се користат нивните податоци, и оваа обврска е валидна без оглед на тоа дали се обработуваат лични податоци на клиенти, корисници, вработени, пациенти или друга категорија на лица.
    Информациите кои се обезбедуваат треба да бидат дадени на јасен и едноставен јазик кој е разбирлив за секое просечно лице, а во случај на обработка на лични податоци на деца, информациите треба да бидат прилагодени на возраста и свесноста на децата.
    Физичките лица мора да бидат запознаени со начинот на кој се обработуваат нивните податоци, ризиците кои произлегуваат од обработката и безбедносните мерки што се применуваат за намалување на овие ризици.
    Контролорите сами одредуваат како ќе го исполнат барањето за транспарентност, а еден пример за обезбедување такви информации е преку сеопфатна и детална изјава за приватност/политика за приватност со издвоени наслови која се објавува на официјалната веб-страница.


    ОФИЦЕР ЗА ЗАШТИТА НА ЛИЧНИТЕ ПОДАТОЦИ




    Контролорите и обработувачите определуваат офицер за заштита на личните податоци во следниве случаи:
    (а) кога обработката ја врши орган на државната управа, освен судовите кога постапуваат во рамките на нивните судски надлежности, но кои треба да определат офицер за другата обработка на лични податоци во согласност со ЗЗЛП;
    (б) кога основната дејност на контролорот или обработувачот се однесува на операции на обработка на лични податоци чијашто природа, обем и/или цел на обработката налага редовно и систематско следење на субјекти на лични податоци од голем обем;
    (в) кога основната дејност на контролорот или обработувачот се однесува на обемна обработка на посебни категории на лични податоци согласно член 13 од ЗЗЛП, обработка на лични податоци кои се однесуваат на кривични дела и кривични осуди согласно член 14 од ЗЗЛП.
    Во случаи кои не спаѓаат во некоја од категориите наведени погоре, контролорот или обработувачот или здружение или друго тело што ги претставува категориите на контролори или обработувачи може или треба, ако тоа е регулирано со закон на ниво на ЕУ и на ниво на држава-членка, да определи офицер за заштита на лични податоци. Офицер за заштита на лични податоци може да се определени на ниво на здружение или друго тело кое застапува група на контролори или обработувачи.
    Офицерот за заштита на лични податоци се определува врз основа на неговите/нејзините стручни квалификации, посебно врз основа на стручните знаење на законите и практиките поврзани со заштитата на личните податоци и способноста за целосно исполнување на работните задачи пропишани во член 43 и условите пропишани во член 41 став (5) од ЗЗЛП.
    Офицерот за заштита на личните податоци може да биде определен од редовите на вработените кај контролорот или обработувачот или може да биде надворешно лице ангажирано на договор на дело.
    Контролорот или обработувачот ги објавува контакт деталите на лицето определено како офицер за заштита на личните податоци и го известува надзорниот орган за истото.





    Важно е контролорите да се осигурат дека офицерот за заштита на личните податоци е соодветно и навремено вклучен во сите прашања поврзани со заштитата на личните податоци, и затоа се препорачува следново:
    • офицерот да биде поканет да учествува на редовните состаноци што ги одржува високото и средното раководство;
    • кога се донесуваат одлуки кои може да влијаат врз заштитата на личните податоци, на офицерот мора да му се обезбедат сите релевантни информации на валиден начин за тој/таа да може да даде соодветен совет;
    • мислењето на офицерот треба да се земе предвид, и во случај на несогласување, се препорачува документирање на причините зошто контролорот не постапил по советот даден од офицерот;
    • се препорачува организација на консултации со офицерот веднаш откако настанало нарушување на безбедноста на личните податоци или некој друг инцидент.



    ИЗВЕСТУВАЊЕ ЗА НАРУШУВАЊЕ НА БЕЗБЕДНОСТА НА ЛИЧНИТЕ ПОДАТОЦИ




    Нарушување на безбедноста на личните податоци може да се случи како резултат на губење, менување, неовластено откривање или пристапување до податоците или незаконско уништување.
    За да се намали можноста за таква појава, контролорите мора да применат технички мерки (на пр., псевдонимизација, криптирање) и организациски мерки (на пр. едукација на вработените).
    Ваквите мерки треба да се применат бидејќи нарушувањата на безбедноста може да доведат до кражба на идентитет, измама, финансиска загуба/материјална штета, нарушување на угледот, загуба на доверливоста.
    ЗЗЛП содржи детални одредби во однос на роковите и содржината на известувањата што треба да достават до АЗЛП во случај на нарушување на безбедноста на личните податоци.
    Конкретно, контролорите мора веднаш да ја известат АЗЛП, но не подоцна од истекот на 72 часа откако дознале за нарушувањето на безбедноста (во случај на задоцнета достава на известувањето, во истото треба да се наведе и причината за тоа), а ваквата обврска за известување на АЗЛП не постои во случај кога контролорите може да покажат дека не постои веројатност нарушувањето што не било известено да резултира во ризик по правата и слободите на физичките лица.
    Доколку постои веројатност нарушувањето да резултира во ризик по правата и слободите на физичките лица, контролорите треба да ги информираат и засегнатите физички лица.
    Обработувачите (на пр., сметководствено биро кое обезбедува одредени услуги на компанијата) го пријавуваат нарушувањето на безбедноста на личните податоци до контролорот (компанијата од примерот) кој потоа е одговорен да ја извести АЗЛП и да ги информира физичките лица.


    ЕВИДЕНЦИЈА ЗА АКТИВНОСТИТЕ ЗА ОБРАБОТКА НА ЛИЧНИ ПОДАТОЦИ




    Ако забележат дека настанало нарушување на безбедноста на личните податоци во нивната организација, контролорите треба веднаш да се пријават до АЗЛП, но не подоцна од истекот на 72 часа по дознавањето за нарушувањето на безбедноста, освен доколку можат да докажат, во согласност со принципот за одговорност, дека не постои веројатност нарушувањето на безбедноста на личните податоци да предизвика ризик по правата и слободите на физичките лица.
    Доколку контролорите не можат да го достават ваквото известување во рок од 72 часа, тогаш известувањето треба да ги содржи причините за доцнењето, а информациите може да се доставуваат постепено, но без непотребно одложување.
    Известувањето што се доставува до засегнатите физички лица треба да биде напишано на јасен и едноставен јазик и треба да ги содржи информациите пропишани во член 37 од ЗЗЛП.
    Законот пропишува и исклучоци од оваа обврска, на пример, кога контролорот применил соодветни технички и организациски мерки, односно мерки кои обезбедуваат дека не постои висок ризик за физичките лица, или кога информирањето на физичките лица претставува несразмерен напор (при што тие може да се информираат преку јавно соопштение или слично).
    Се советува контролорите да ги документираат овие постапки.






    Евиденцијата за активностите за обработка служи како доказ дека обработката на личните податоци е законска.
    Контролорите и, кога тоа е соодветно, претставниците на контролорите, треба да водат евиденција за активностите за обработка кои се во нивна надлежност. Таквата евиденција треба да ги содржи сите информации дадени во член 34 од ЗЗЛП.
    Содржината на евиденцијата за активностите за обработка на личните податоци мора да биде детално објаснета и да ги вклучи следниве информации: назив и контакт детали на контролорот (на пример, назив на правното лице и контакт), целта на обработката (со детално објаснување), опис на категориите на субјекти на лични податоци (на пример: податоци на вработените, податоци на членовите) и опис на категориите на лични податоци (на пример, име/презиме, адреса на живеење, итн.), категориите на корисници на личните податоци (вклучително и оние во трети земји или меѓународни организации), пренос на личните податоци во трети земји или меѓународни организации, роковите за бришење на различни категории на лични податоци (рокови за чување на личните податоци, назив и одредби од законот кога тоа е регулирано со посебен закон) и опис на техничките и организациските мерки за заштита на личните податоци.
    ЗЗЛП не пропишува обврска за доставување на евиденцијата за активностите за обработка до АЗЛП.
    Евиденцијата за активностите за обработка треба да се води во пишана и во електронска форма, а контролорите се должни да ја достават истата на увид до АЗЛП по поднесено барање.


    ОБРАБОТУВАЧИ




    Во својство на контролор, вашата компанија/организација може да ангажира друга компанија да врши обработка на личните податоци во ваше име.
    Најважната разлика меѓу контролор и обработувач се однесува на тоа дека контролорот е тој што донесува одлуки за целите и начините на обработка, додека обработувачот ги обработува податоците во име на контролорот, следејќи ги строгите инструкции што му се дадени.
    Активностите доверени на обработувачот може да се однесуваат на конкретна задача или може да бидат општи и многу сложени, а обработувач може да биде физичко или правно лице.
    Важно е да се појасни дека во ситуација каде, на пример, вработен во компанијата АА обработува податоци за човечките ресурси на друга компанија ББ, тогаш обработувач е компанијата АА, а не вработениот во таа компанија.
    Исто така, дополнително на обработката на лични податоци за други компании, обработувачите се јавуваат и во својство на контролор, на пример кога обработуваат лични податоци на нивните вработени за целите на пресметка на платите (бидејќи во таков случај тие ја утврдуваат целта и начинот на обработка на личните податоци на нивните вработени). На пример, компанија АА која е специјализирана за управување со податоци за човечки ресурси во име на друга компанија ББ што е поврзана со неа се јавува во својство на обработувач, но кога истата компанија АА ги обработува податоците на нејзините вработени, таа се смета за контролор за тој вид на обработка.
    Контролорот и обработувачот треба да склучат договор кој ги содржи сите елементи пропишани во член 32 став (2) од ЗЗЛП.
    Севкупната одговорност ја носи контролорот кој може да ги користи услугите само на обработувач кој нуди доволно гаранции за примена на соодветни технички и организациски мерки за заштита на личните податоци, при што контролорот е обврзан да ја надгледува работата на обработувачот. Сепак, тоа не го ослободува обработувачот од одговорност во случај кога не ги следи инструкциите од контролорот.
    Може да се заклучи дека контролорите не се обврзани да имаат обработувач, но тие имаат таков договорен однос кога на некое физичко или правно лице му довериле одредени видови на обработка во нивно име.





    Контролорот и обработувачот треба да склучат договор или да го регулираат нивниот однос со некој друг правен акт во согласност со европското или националното право, кој ги содржи сите елементи пропишани во член 32 став (3) од ЗЗЛП.


    ОБРАБОТКА НА ЛИЧНИТЕ ПОДАТОЦИ НА КОРИСНИЦИ НА ВЕБ-СТРАНИЦА




    Ако некоја организација има официјална веб-страница, тогаш таа може да се користи за квалитативно исполнување на барањето за транспарентност пред физичките лица чиишто податоци се обработуваат (на пример, клиенти, корисници).
    Се препорачува политиката за приватност да биде направена со издвоени наслови.
    Ако организацијата користи колачиња на веб-страницата, тогаш таа треба да обезбеди информации за видовите на колачиња што се користат и да им овозможи на корисниците да дадат согласност за истите според условите за секој вид на колачиња, и треба да примени соодветни технички и организациски мерки за заштита на личните податоци.





    Инсталирањето колачиња и читањето на информациите што се чуваат за физичките лица на терминалната опрема може да се направи само со претходно добиена согласност од лицата и откако им биле дадени јасни информации дека нивните податоци ќе се собираат и за која цел, согласно прописите за заштита на личните податоци. Од оваа обврска се изземени само колачињата кои се технички неопходни за комуникација помеѓу терминалната опрема на корисникот и интернет страницата што тој/таа ја посетува или за обезбедување услуга на интернет страницата на барање од корисникот.





    Контролорите треба да се осигурат дека изјавите за заштита на личните податоци се ажурирани и точни за да се избегне давање застарени или неточни информации, премногу информации или информации за кои повеќе не постои правен основ.


    ОБРАБОТКА НА ЛИЧНИ ПОДАТОЦИ ПРЕКУ ВИДЕО НАДЗОР









    За да го исполнат барањето за транспарентност, контролорите кои имаат систем за видео надзор се должни да постават известување кое ги содржи сите информации при влезот во периметарот на системот за видео надзор, и тоа преку едноставна и лесно разбирлива слика (на пример, слика од камера).





    Известувањето за видео надзор мора да содржи јасни информации дека просторот е под видео надзор, информации за контролорот, вклучително и контакт детали каде лицата може да ги остварат своите права, како и други информации пропишани во член 16 и член 17 од ЗЗЛП, вклучувајќи го и правниот основ за обработката, на пример, легитимен интерес на контролорот).





    Известувањето за видео надзор мора да содржи јасни информации дека просторот е под видео надзор, информации за контролорот, вклучително и контакт детали каде лицата може да ги остварат своите права, како и други информации пропишани во член 16 и член 17 од ЗЗЛП.


    ДИРЕКТЕН МАРКЕТИНГ




    Обработката на лични податоци за целите на директен маркетинг, вклучително и профилирање до степенот до кој тоа е поврзано со директен маркетинг, е дозволена само доколку личните податоци се обработуваат по претходно добиена експлицитна согласност од субјектот на лични податоци како што е регулирано во член 11 од ЗЗЛП.
    Кога обработуваат лични податоци за целите на директен маркетинг, контролорите треба да бидат свесни дека физичките лица имаат право на приговор за таквата обработка во секое време и без надомест. Ова право треба да им биде изречно и јасно наведено, одделно од сите други информации.
    На пример, кога праќаат содржини преку е-пошта до физички лица, контролорите треба да ја наведат и можноста лицата да ја откажат претплатата или слично, и таквата акција (откажување на претплата) треба да доведе до отстранување/бришење на е-поштата на лицето од мејлинг листата.





    Обработката на лични податоци за целите на директен маркетинг, вклучително и профилирање до степенот до кој тоа е поврзано со директен маркетинг, е дозволена само доколку личните податоци се обработуваат по претходно добиена изречна согласност од субјектот на лични податоци како што е регулирано во член 11 од ЗЗЛП.
    Кога обработуваат лични податоци за целите на директен маркетинг, контролорите треба да бидат свесни дека физичките лица имаат право на приговор за таквата обработка во секое време и без надомест. Ова право треба да експлицитно и јасно наведено, одделно од сите други информации.





    Контролорите се должни да ги информираат физичките лица за можноста да ја повлечат согласноста доколку обработката се темели на согласност и за можноста да поднесат приговор на обработката доколку таа се темели на легитимен интерес на контролорот.
    Овие права треба да бидат наведени на експлицитен и јасен начин, одделно од сите други информации.
    Треба да се забележи дека кога обработката се темели на легитимен интерес таа е легитимна до моментот на поднесување на поплака од страна на физичкото лице (на пример, опција за откажување на претплатата на крајот од пораките што им се праќаат), до правното лице кое ги испраќа маркетиншките пораки во име на контролорот, по што таа станува незаконска.
    Кога станува збор за согласност, контролорите мора да обезбедат можност за физичките лица да ја повлечат согласноста еднакво лесно како што ја дале, и се должни да ги информираат за ова право.
    На пример, кога согласноста се дава електронски (преку кликање со глувчето), физичкото лице мора да биде во можност да ја повлече согласноста на истиот начин, или ако согласноста се дава преку кориснички интерфејс (на пример, веб-страница или апликација, интернет уред, или е-пошта), физичкото лице мора да биде во можност да ја повлече согласноста преку истиот интерфејс.
    Физичките лица треба да бидат во можност да ја повлечат нивната согласност без да трпат штетни последици или без да вложат дополнителен напор, што значи дека повлекувањето на согласноста е бесплатно и нема негативно влијание врз квалитетот на услугата.





    Со оглед на тоа дека по поднесувањето на приговор или по повлекувањето на согласноста обработката на личните податоци станува незаконска, неопходно е контролорите брзо да реагираат на ваквите барања поднесени од физички лица со цел да бидат усогласени со законот и да избегнат незаконска обработка на личните податоци.


    ПРОЦЕНКА НА ВЛИЈАНИЕТО ВРЗ ЗАШТИТАТА НА ЛИЧНИТЕ ПОДАТОЦИ




    Кога постои веројатност дека обработката на лични податоци која користи нова технологија, и согласно природата, обемот, контекстот и целта на обработката, ќе резултира во висок ризик по правата и слободите на физичките лица, пред да почнат со обработката контролорите треба да направат проценка на влијанието врз заштитата на личните податоци за планираните операции на обработка.
    Таквата проценка треба да содржи:
    а) систематски опис на планираните операции за обработка и целите на обработката, и кога тоа е соодветно, легитимниот интерес на контролорот;
    б) оценка на неопходноста и пропорционалноста на операциите за обработка во однос на целите на обработката;
    в) оценка на ризиците по правата и слободите на субјектите на лични податоци; и
    г) планираните мерки за намалување на ризиците, вклучително и заштитни мерки, безбедносни мерки и механизми за да се осигури заштита на личните податоци и да се покаже усогласеност со ЗЗЛП, земајќи ги превид правата и легитимните интереси на субјектите на лични податоци и другите засегнати лица.