Што опфаќа обработка со висок ризик?
Согласно ЗЗЛП, кога при користење на технологии за некој вид на обработка, земајќи ги предвид природата, обемот, контекстот и целите на обработката на лични податоци, постои веројатност истата да предизвика висок ризик за правата и слободите на физичките лица, станува збор за обработка со висок ризик и за ваквата обработка е потребно да се извести АЗЛП.
Како да направите проценка дали станува збор за обработка со висок ризик?
Најпрво, треба да констатирате дали при обработката на личните податоци применувате технолошки решенија (на пр. софтверско решение) со кои се обработуваат лични податоци со цел да бидат достапни и употребливи за секој кој што има право и потреба да ги користи.
Доколку применувате, тогаш е потребно да направите оценка каква е природата на личните податоци коишто ги обработувате. На пример дали станува збор за лични податоци како име, презиме, телефонски број, адреса на живеење, матичен број или пак за посебни категории на лични податоци кои откриваат верско, расно, етничко потекло, политички ставови, податоци кои се однесуваат на здравјето, биометриски податоци, податоци за сексуална ориентација на физичкото лице и сл.
Потоа правите оценка дали станува збор за обемна обработка, а при оваа проценка ги земате предвид следните фактори:
- број на засегнати субјекти на лични податоци, било да е конкретен број или процент од релевантното население,
- обем на податоци и/или опфат на различни видови податоци што се обработуваат,
- траење или непрекинатост на операциите на обработка на личните податоци,
- географски опсег на активностите за обработка на личните податоци.
Што подразбира број на засегнати субјекти на лични податоци, било да е конкретен број или процент од релевантното население?
Ова подразбира за колку физички лица за конкретна евиденција/збирка на лични податоци ќе собирате, обработувате и чувате лични податоци. На пример: кај збирка на вработени имате точен број на физичките лица за кои ќе обработувате лични податоци, а кај збирка на клиенти, можете да се водите од бројот на клиенти за кои веќе обработувате лични податоци (во случај кога станува збор за веќе воспоставен збирка/евиденција) и тој број да го изразите во проценти (0,001 % од вкупното население во Скопје или сл.).
Што подразбира обем на податоци и/или опфат на различни видови податоци што се обработуваат?
Ова подразбира кои категории на лични податоци за конкретната евиденција/збирка на лични податоци ќе ги собирате, обработувате и чувате за физичкото лице. На пример: дали собирате име, презиме и адреса, или име, презиме, адреса, матичен број, или пак име, презиме, адреса, матичен број, електронска пошта, број за контакт и сл. Оттука, ќе можете да го оцените обемот односно опфатот т.е. сетот на лични податоци кои ги обработувате, на пример сет од три категории на лични податоци кои не содржат посебни категории на лични податоци, сет од три категории на лични податоци кои содржат и посебни категории на лични податоци итн.
Што подразбира траење или непрекинатост на операциите на обработка на личните податоци?
Ова подразбира да го оцените временскиот период (траењето) на операциите на обработка на личните податоци, односно дали личните податоци за физичките лица ги обработувате еднаш, двапати и/или трипати во период од еден или три месеци и после тоа се бришат/уништуваат личните податоци (инцидентна/повремена обработка), или тие континуирано се обработуваат односно се преземаат операции на обработка со определена динамика според вашиот делокруг на работа (континуирана/систематска обработка).
Што подразбира географски опсег на активностите за обработка на личните податоци?
Ова подразбира дали активностите за обработка на личните податоци на физичките лица се одвиваат на една определена локација/место/подрачје (на пример: во седиштето на контролорот), или пак се обработуваат на повеќе адреси различни од седиштето во рамки на одредена општина, град или на целата територија на Република Северна Македонија, или се пренесуваат и во друга држава.
Потоа, по направената оценка дали станува збор за обемна обработка, правите оценка и на целта и контекстот на обработката, односно јасно ја определувате целта и вршите анализа дали категориите на субјекти на лични податоци, категориите на лични податоци и рокот на нивно чување се во функција на исполнување на целта, односно дали таа конкретна цел може да се исполни само со определениот сет на податоци и се потребни за определениот период на чување.
Во случај, кога целта на обработката на личните податоци е веќе утврдена со закон, тогаш само правите оценка дали категориите на лични податоци и рокот на нивно чување се во функција на исполнување на таа законска цел.
По овој чекор, правите анализа на ризикот, односно ги идентификувате заканите (несакани исходи) и ја одредувате веројатноста и влијанието (последицата) од остварувањето на секој ризик. Ризикот се изразува како функција од веројатноста да се случи заканата и влијанието од несаканата закана доколку се случи (ризикот=веројатност x влијание).
НАПОМЕНАОвој начин на проценка дали станува збор за обработка на лични податоци со висок ризик се однесува на веќе воспоставените збирки/евиденции на лични податоци, кои Вие како контролори веќе ги водите во рамки на Вашиот делокруг на работа. За секој нов процес на обработка на личните податоци, а особено кога се воведуваат нови технологии за обработка на личните податоци, според природата, обемот, контекстот и целите на обработка, како и кога обработката е вклучена во Листата на видовите на операции на обработка за кои се бара проценка на влијанието на заштитата на личните податоци (,,Службен весник на Република Северна Македонија” бр.122/20) воспоставена од АЗЛП објавени на нашата веб страница www.azlp.mk , треба да се изврши проценка на влијанието на заштитата на личните податоци според упатствата пропишани во Правилникот за процесот на проценка на влијанието на заштитата на личните податоци (,,Службен весник на Република Северна Македонија” бр.122/20). |
Како и на кој начин се доставува известување за обработка на лични податоци со висок ризик?
Секој контролор кој ќе процени дека обработката на личните податоци предизвикува висок ризик за правата и слободите на физичките лица е должен да достави Известување за обработка на лични податоци која предизвикува висок ризик за правата и слободите на физичките лица, а кое известување се доставува во електронска форма преку веб страницата на АЗЛП заради евидентирање во евиденцијата на збирки на лични податоци со висок ризик.
За да може контролорот да го достави Известувањето потребно е претходно електронски да се евидентира во Евиденцијата на збирки на лични податоци со висок ризик преку самостојно определување на корисничко име и лозинка на пристап.
По извршената регистрација, контролорот во системот на евиденцијата на збирки на лични податоци со висок ризик ги внесува следните податоци:
- назив на контролорот – правно лице, орган на државната власт, државен орган, правно лице основано од државата за вршење на јавни овластувања, агенција или друго тело; даночен број; претежна дејност; организациска форма; општина; населено место; контакт – телефон; електронска пошта; факс; веб – страница; одговорно лице; име и презиме на офицерот за заштита на личните податоци; контакт телефон на офицерот на заштита на личните податоци; електронска пошта на офицерот за заштита на личните податоци и работно место или број и датум на договор за ангажирање на офицерот за заштита на личните податоци; назив, односно име на овластениот претставник доколку го има и седиште, односно адреса на живеење на овластениот претставник и
- контролор – физичко лице: име и презиме; место и адреса на живеење; податоци за вработување (занимање или функција што ја врши); датум на раѓање; место на раѓање и државјанство.
Откако ќе бидат внесени наведените податоци, контролорот го отпечатува конфирмациското писмо. Конфирмациското писмо пополнето, заверува со печат и потпишано од функционерот, или од одговорното лице се испраќа во електронски до АЗЛП.
По отпечатување на конфирмациското писмо, контролорот може да продолжи со електронското внесување на податоците за збирките на лични податоци со висок ризик преку одбирање на понудените опции или пополнување на податоците за категорија или категории на субјектите на личните податоци, односно категории на личните податоци кои се однесуваат на нив.
По исклучок, контролорите кои се веќе регистрирани во Централниот регистар на збирки на лични податоци, нетреба повторно да се евидентираат како контролор во Евиденцијата на збирки на лични податоци со висок ризик, туку ќе треба да достават само Известување, во електронска форма преку веб страницата на АЗЛП заради евидентирање во евиденцијата на збирки на лични податоци со висок ризик.
Формата и содржината на образецот на известувањето е пропишана во одредбите на Правилникот за известување за обработка на лични податоци со висок ризик (,,Службен весник на Република Северна Македонија” бр.122/20).
НАПОМЕНАОваа обврска за доставување на известување се однесува само на оние контролори кои ќе проценат дека обработката на личните податоци предизвикува висок ризик за правата и слободите на физичките лица. Оттука, не треба сите контролори да бидат евидентирани во оваа евиденција како контролори. |
Сите операции за кои е потребно да се спроведе проценка на влијанието врз заштитата на личните податоци, а притоа претставуваат операции од висок ризик согласно условите наведени погоре, ќе подлежат на обврската и за известување согласно членот 71 од ЗЗЛП. Ова исто така треба да се разбере и на начин дека доколку за одредена операција се спроведе проценка на влијанието врз заштитата на личните податоци, но по проценката се утврди дека не постои веројатност истата да предизвика висок ризик за правата и слободите на физичките лица пред да биде извршена обработката, тогаш таквата обработка не подлежи на обврската за известување до АЗЛП.
Добра практика е да се настојува секогаш да се направи проценка дали станува збор за операција со висок ризик без разлика дали таквата обработка навистина ќе резултира со висок ризик.
