Контролорот има обврска да постапува во согласност со начелата за заштита на личните податоци:
- Законитост, правичност и транспарентност
За да се оцени дали обработката на личните податоци е правична, особено е релевантна транспарентноста односно информираноста на субјектите на личните податоци за обработката на нивните податоци. Субјектите треба да бидат информирани за целите заради кои се собираат и обработуваат нивните лични податоци. Обработката на личните податоци во согласност со закон подразбира постоење на законска основа и почитување на евентуалните законски ограничувања што произлегуваат од други закони.[1]
- Ограничување на целите
Личните податоци се собираат за конкретни, јасни и законски утврдени цели и истите не смее да се обработуваат на начин што не е во согласност со тие цели. Податоците може да се користат и за цели различни од оние за кои законски се собрани, само ако постои законска основа за обработка на податоците и за други цели.[2]
- Сведување на минимум на податоците што се обработуваат
Податоците треба да се соодветни, релевантни и не во поголем обем од она што е потребно за исполнување на целта заради која се собрани. „Начелото на неопходност“ го ограничува обемот на податоци што може да се обработуваат, само на оние што се неопходни за исполнување на целите заради кои се обработуваат.[3]
- Точност
Ова начело се однесува на квалитетот на податоците. Тие треба да бидат точни и каде што е потребно ажурирани. Контролорот се грижи за точноста на податоците и е должен да ги ажурира или дополни, кога е тоа потребно.[4]
- Ограничување на чувањето на податоците
Податоците треба да бидат чувани во форма која овозможува идентификација на субјектите на личните податоци, не подолго од она што е потребно за остварување на целите за кои се обработуваат. Ова начело го ограничува периодот во кој податоците може да бидат законски обработувани, при што по престанување на целите заради кои истите се собрани, треба да се избршат или уништат, односно да се анонимизираат. Кога контролорот за одредена категорија на лични податоци ќе ги утврди роковите на нивно чување, се смета дека постапил во согласност со ова начело. Вообичаено, овие правила се имплементираат преку воведување на соодветни процедури во согласност со прописите за архивско и канцелариско работење.[5]
- Интегритет и доверливост
Регулативата пропишува начело на интегритет и доверливост, според кое податоците треба да се обработуваат на начин кој гарантира соодветно ниво на безбедност на личните податоци, вклучувајќи заштита од неовластена и незаконска обработка и заштита од случајно губење, уништување или оштетување, со примена на соодветни технички и организациски мерки.
- Барање за отчетност
Регулативата воведува ново барање за отчетност, според кое контролорот е одговорен за усогласеноста на неговото работење со овие начела и треба да биде способен да ја демонстрира усогласеноста со овие начела.
[1] Пример: Со Законот за електронски комуникации е утврдено дека операторите се должни да водат евиденција за сите воспоставени претплатнички односи со корисниците, која особено треба да содржи податоци за: име, презиме, адреса и матичен број. Обработката на овие податоци од страна на операторите се врши во согласност со закон.
[2] Пример: Личните податоци на вработениот се обработуваат од страна на работодавачот со цел остварување на правата, како и извршување на обврските и одговорностите што произлегуваат од договорот за вработување. Ако законодавецот со одредено законско решение му наметне на работодавачот обврска имињата на вработените да ги внесе во друга збирка на лични податоци заради остварување на одредени права на вработените кои не произлегуваат од договорот за вработување, работодавачот врши обработка на податоците за цел различна од првичната за која биле собрани.
[3] Пример: Доколку одредено лице пополнува пријавен лист со цел да учествува во наградна игра, доволно е да го наведе своето име и презиме и податок за контакт (адреса на живеење или телефонски број). Податокот за неговиот брачен статус или неговиот единствен матичен број се нерелевантни, несоодветни и преобемни во однос на целта што треба да се постигне. Доколку работодавачот бара од кандидатот кој аплицира за вработување да достави и негова фотографија, овој личен податок е нерелевантен, несоодветен и преобемен во однос на целта што треба да се постигне. Без оглед на видот на воспоставениот деловен однос, обработката на податокот за национална припадност од страна на банките за нивните клиенти, или од страна на операторите на електронски комуникациски услуги за нивните корисници, би била нерелевантна, несоодветна и преобемна.
[4] Пример: Управата за водење на матични книги, како орган во состав на Министерството за правда кој ја води матичната евиденција во согласност со Законот за матична евиденција е обврзана континуирано да ја ажурира истата, односно да врши замена на постојните податоци на граѓаните со нови (промена на презиме, адреса на живеење и сл.)
[5] Пример: По престанување на важењето на договорот за осигурување помеѓу осигурителното друштво и неговиот клиент, а по истекот на роковите за чување, согласно прописите за канцелариско и архивско работење, документацијата по однос на тој деловен однос треба да биде уништена.
[1] Пример: Со Законот за електронски комуникации е утврдено дека операторите се должни да водат евиденција за сите воспоставени претплатнички односи со корисниците, која особено треба да содржи податоци за: име, презиме, адреса и матичен број. Обработката на овие податоци од страна на операторите се врши во согласност со закон.
[2] Пример: Личните податоци на вработениот се обработуваат од страна на работодавачот со цел остварување на правата, како и извршување на обврските и одговорностите што произлегуваат од договорот за вработување. Ако законодавецот со одредено законско решение му наметне на работодавачот обврска имињата на вработените да ги внесе во друга збирка на лични податоци заради остварување на одредени права на вработените кои не произлегуваат од договорот за вработување, работодавачот врши обработка на податоците за цел различна од првичната за која биле собрани.
[3] Пример: Доколку одредено лице пополнува пријавен лист со цел да учествува во наградна игра, доволно е да го наведе своето име и презиме и податок за контакт (адреса на живеење или телефонски број). Податокот за неговиот брачен статус или неговиот единствен матичен број се нерелевантни, несоодветни и преобемни во однос на целта што треба да се постигне. Доколку работодавачот бара од кандидатот кој аплицира за вработување да достави и негова фотографија, овој личен податок е нерелевантен, несоодветен и преобемен во однос на целта што треба да се постигне. Без оглед на видот на воспоставениот деловен однос, обработката на податокот за национална припадност од страна на банките за нивните клиенти, или од страна на операторите на електронски комуникациски услуги за нивните корисници, би била нерелевантна, несоодветна и преобемна.
[4] Пример: Управата за водење на матични книги, како орган во состав на Министерството за правда кој ја води матичната евиденција во согласност со Законот за матична евиденција е обврзана континуирано да ја ажурира истата, односно да врши замена на постојните податоци на граѓаните со нови (промена на презиме, адреса на живеење и сл.)
[5] Пример: По престанување на важењето на договорот за осигурување помеѓу осигурителното друштво и неговиот клиент, а по истекот на роковите за чување, согласно прописите за канцелариско и архивско работење, документацијата по однос на тој деловен однос треба да биде уништена.
[6] Пример: Во Изборниот законик се наоѓа законската основа за обработка на личните податоци на граѓаните во Избирачкиот список.
[7] Пример: Операторите на електронски комуникациски услуги, банките, осигурителните друштва или кои било други друштва, по воспоставувањето на деловен однос со корисниците, клиентите, осигурениците, можат да ги користат нивните лични податоци за вршење на директен маркетинг, единствено врз основа на нивна изречна согласност, која треба да биде во форма што овозможува да се изјаснат дали податоците може да се користат за оваа цел или не. Врз основа на ваквата согласност, може да се врши обработка на нивните лични податоци единствено за цели на директен маркетинг, но не и за други цели.
[8] Пример: Главно, во секој договор се врши обработка на личните податоци на физичките лица или застапниците на правните лица како договорни страни (име и презиме, место на живеење, матичен број, број на лична карта), но дали и кои други лични податоци ќе бидат обработувани зависи од предметот на договорот и целта заради која се склучува.
[9] Пример: Физичките и правните лице, органите на државната власт или други тела имаат обврска да достават лични податоци до надлежните судовите, заради нивно изведување како доказ во судски постапки, кога овие податоци се побарани на начин утврден со закон.
[10] Пример: Во исклучителни случаи, како што се природни катастрофи, вонредна или воена состојба и слично, овластените органи ќе имаат право да откријат одредени лични податоци (име и презиме, локација) за да може да се пронајде или спаси одредено лице.
[11] Пример: Институтот за јавно здравје и центрите за јавно здравје заради извршување на работа од јавен интерес – навремена превенција и спречување на ширење на заразна болест, може да вршат обработка на лични податоци на заболените лица, но и на лица со кои заболените биле во контакт.
[12] Пример: Личните податоци на одреден субјект (име и презиме и телефонски број) јавно се објавени во телефонски именик за конкретна цел – остварување контакт. Овие лични податоци кои се претходно јавно објавени во телефонски именик, може да се обработуваат и за друга цел – за спроведување истражување, доколку субјектот биде прашан дали се согласува да учествува во истражувањето. Притоа ваквата обработка на личните податоци ќе се смета за легитимна, особено затоа што на ваков начин не се загрозуваат слободите и правата на субјектот. Но, користењето на податоците од телефонскиот именик за вршење на директен маркетинг, нема да може да се подведе под оваа законска основа, затоа што во ЗЗЛП е експлицитно наведено дека директен маркетинг може да се врши исклучиво врз основа на изречна согласност на субјектот на лични податоци.
[13] „Службен Весник“ бр. 38/09 и 158/10
[14] Документацијата содржи: План за создавање систем на технички и организациски мерки за обезбедување тајност и заштита на обработката на личните податоци; Правилник за техничките и организациските мерки за обезбедување тајност и заштита на обработката на личните податоци; Процедура за определување на обврските и одговорностите на администраторот на информацискиот систем и на овластените лица при пристапувањето до документите и информатичко-комуникациската опрема; Процедура за пријавување, реакција и санирање на инциденти; Процедура за начинот на правење на сигурносна копија, архивирање и чување, како и за повторно враќање на зачуваните лични податоци; Процедура за начинот на уништување на документите, како и за начинот на уништување, бришење и чистење на медиумите; Упатство за начинот на водење евиденција за овластените лица кои вршат обработка на лични податоци и пренесуваат медиуми надвор од работните простории на контролорот.
[15] Централниот регистар е достапен на интернет-страницата www.azlp.mk. Тој им е достапен на контролорите за да можат да ги регистрираат своите збирки на интернет преку едноставна процедура и без надомест.
[16] Содржината и формата на актот што треба да биде донесен од страна на контролорот е пропишана со Правилникот за содржината и формата на актот за начинот на вршење на видеонадзор на ДЗЛП.