Контролорот има обврска да води грижа обработката на личните податоци да биде законска. Обработка на личните податоци се врши ако има:

  • Законска основа

Вообичаено законската основа за обработка на личните податоци се наоѓа во законските прописи на одделен сектор или област.[6]  

  • Согласност од субјектот на личните податоци

Контролорот има обврска да докаже дека субјектот дал согласност за обработка на неговите лични податоци. Ако согласноста е дадена во форма на писмена изјава, треба да е дадена во разбирлива и лесно достапна форма, со користење на јасен и едноставен јазик. Субјектот има право согласноста да ја повлече во секое време. Повлекувањето на согласноста не влијае на законитоста на обработката, заснована на дадена согласност пред нејзиното повлекување.

За да се оцени дали согласноста за обработка на лични податоци е доброволно дадена од страна на субјектот, треба да се утврди дали исполнувањето на правата и обврските од договорот е условено од дадената согласност.[7]

Обработката ќе се смета за законска, доколку истата се врши заради:

  • Исполнување на договор во кој субјектот е договорна страна

Во секој конкретен случај ќе се цени кои податоци се неопходни за целта која треба да се оствари со воспоставување на договорниот однос. Притоа, нема генерално правило врз основа на кое би се определиле податоците кои ќе се сметаат за неопходни за соодветната цел, па затоа секој конкретен договор треба темелно да биде разгледан.[8]

  • Исполнување на законска обврска на контролорот

Секој контролор има обврска да открие лични податоци од своите збирки, кога за тоа постои законска основа.[9]

  • Заштита на животот или суштинските интереси на субјектот

Ова подразбира дека обработката на личните податоци може да се врши и заради заштита на физичкиот и морален интегритет или други битни интереси на субјектот на личните податоци.[10]

  • Извршување на работи од јавен интерес или на службено овластување

Повикувањето на оваа законска основа, понекогаш претставува опасност од дискреционо постапување. За да се спречи ова, треба да се имаат предвид следните критериуми:           

Во јавниот сектор, извршување на работи од јавен интерес или извршување на службено овластување на контролорот или на трето лице на кое му се откриени податоците, мора да има основа во закон. Во приватниот сектор, овластувањето мора да има основа во одреден правен акт.[11]

  • Исполнување на легитимен интерес на контролорот

Секој интерес што не е спротивен на основните законски начела, може да се смета за легитимен, но ако обработката на податоците би ги загрозила основните права и слободи на субјектот на податоци, тогаш преовладуваат неговите интереси и обработката нема да се дозволи. Оттука, балансирањето на интересите може да служи како законска основа за операциите на обработка на личните податоци што не можат да се подведат под која било друга законска основа.[12]

 

[6] Пример: Во Изборниот законик се наоѓа законската основа за обработка на личните податоци на граѓаните во Избирачкиот список.

[7] Пример: Операторите на електронски комуникациски услуги, банките, осигурителните друштва или кои било други друштва, по воспоставувањето на деловен однос со корисниците, клиентите, осигурениците, можат да ги користат нивните лични податоци за вршење на директен маркетинг, единствено врз основа на нивна изречна согласност, која треба да биде во форма што овозможува да се изјаснат дали податоците може да се користат за оваа цел или не. Врз основа на ваквата согласност, може да се врши обработка на нивните лични податоци единствено за цели на директен маркетинг, но не и за други цели.

[8] Пример: Главно, во секој договор се врши обработка на личните податоци на физичките лица или застапниците на правните лица како договорни страни (име и презиме, место на живеење, матичен број, број на лична карта), но дали и кои други лични податоци ќе бидат обработувани зависи од предметот на договорот и целта заради која се склучува.

[9] Пример: Физичките и правните лице, органите на државната власт или други тела имаат обврска да достават лични податоци до надлежните судовите, заради нивно изведување како доказ во судски постапки, кога овие податоци се побарани на начин утврден со закон.

[10] Пример: Во исклучителни случаи, како што се природни катастрофи, вонредна или воена состојба и слично, овластените органи ќе имаат право да откријат одредени лични податоци (име и презиме, локација) за да може да се пронајде или спаси одредено лице.

[11] Пример: Институтот за јавно здравје и центрите за јавно здравје заради извршување на работа од јавен интерес – навремена превенција и спречување на ширење на заразна болест, може да вршат обработка на лични податоци на заболените лица, но и на лица со кои заболените биле во контакт.    

[12] Пример: Личните податоци на одреден субјект (име и презиме и телефонски број) јавно се објавени во телефонски именик за конкретна цел – остварување контакт. Овие лични податоци кои се претходно јавно објавени во телефонски именик, може да се обработуваат и за друга цел – за спроведување истражување, доколку субјектот биде прашан дали се согласува да учествува во истражувањето. Притоа ваквата обработка на личните податоци ќе се смета за легитимна, особено затоа што на ваков начин не се загрозуваат слободите и правата на субјектот. Но, користењето на податоците од телефонскиот именик за вршење на директен маркетинг, нема да може да се подведе под оваа законска основа, затоа што во ЗЗЛП е експлицитно наведено дека директен маркетинг може да се врши исклучиво врз основа на изречна согласност на субјектот на лични податоци.