Често поставувани прашања (ЧПП) за контролорите

Општи прашања

Кои се обврските на контролорот што произлегуваат од ЗЗЛП?

Контролорот мора да ја скенира ситуацијата во организацијата, што вклучува и мапирање на движењето на личните податоци (ги утврдува категориите на лични податоци што се обработуваат, дали се обработуваат посебни категории на лични податоци, како и законитоста, транспарентноста и целите на обработката на лични податоци, пренос на лични податоци, итн.).

За да биде транспарентен, контролорот треба да воспостави политика за приватност. Во некои случаи, контролорот треба да води евиденција за обработката на лични податоци. Исто така, тој мора да обезбеди остварување на правата на субјектите на лични податоци.

Повеќе информации за општите обврски на контролорот се дадени во информаторот „10 БРЗИ ЧЕКОРИ ЗА УСОГЛАСУВАЊЕ СО ЗАКОНОТ ЗА ЗАШТИТА НА ЛИЧНИТЕ ПОДАТОЦИ“, објавена на веб-страницата на АЗЛП.

Што е личен податок?

Личен податок е секоја информација која се однесува на идентификувано физичко лице или физичко лице што може да се идентификува (субјект на лични податоци), додека физичко лице што може да се идентификува е лице чијшто идентитет може да се утврди, директно или индиректно.

Лични податоци се широк концепт. Подолу се дадени неколку примери:

  • име и презиме;
  • домашна адреса, електронска пошта, телефонски број;
  • датум на раѓање, возраст на лицето;
  • единствен матичен број;
  • податоци за членство во синдикат;
  • IP адреса или домен на компјутерот што се користи за посетување веб-страници;
  • информација за локација;
  • број на кредитна или дебитна картичка;
  • податоци за здравјето;
  • биометриски податоци (на пр., отпечаток од прст);
  • приказ на некое лице на снимка или слика од видеонадзор, аудиоснимка и слично;
  • регистарски број на возило;
  • друго. 

Колку долго контролорот мора да ги чува личните податоци?

Рокот за чување на лични податоци често е утврден во посебните законите (на пр., прописите за работни односи го утврдуваат периодот за чување на списоците за плати на вработените).

Сепак, кога прописите не утврдуваат рок за чување се применува начелото на ограничување на рокот на чување даден во член 9 од ЗЗЛП.

Личните податоци мора да се чуваат во форма која дозволува идентификација на субјектите на лични податоци во период кој не е подолг од она што е неопходно за целите на обработката на личните податоци.

Личните податоци може да се чуваат подолг рок само доколку се обработуваат за целите на архивирање од јавен интерес, за научни или историски истражувања или за статистички цели согласно член 86, став (1) од ЗЗЛП, при што треба да се применат соодветни технички и организациски мерки во согласност со ЗЗЛП, со цел да се заштитат правата и слободите на субјектите на лични податоци.

Доколку рокот за чување не е утврден со закон, контролорот ги чува личните податоци сè додека тие се потребни за целите на обработката на лични податоци.

Согласност

Дали контролорот треба да побара и добие согласност за секоја обработка на лични податоци? Кога треба и кога не треба да бара согласност?

Не. Контролорот нема потреба да побара и добие согласност за секоја обработка на лични податоци.

Секоја активност за обработка на лични податоци мора да се заснова на некој од правните основи дадени во член 10, став (1) од ЗЗЛП.

Согласноста е само еден од правните основи за обработка на лични податоци пропишани со законот.

Доколку постои друг правен основ за обработка на личните податоци (на пр., законска обврска или договор), нема потреба да се користи согласност.

На пример, според Законот за работни односи, работодавецот е обврзан да води евиденција за работните часови на вработените, додека според Законот за здруженија и фондации, едно здружение на граѓани е должно да води список со неговите членови, и во ваквите случаи нема потреба за согласност бидејќи законската обврска на контролорот претставува правен основ за обработката на лични податоци.

Согласноста се користи за обработка на лични податоци за целите на директен маркетинг, вклучувајќи и профилирање, согласно член 96 од ЗЗЛП.

Друг пример каде се користи согласност е фризерски салон кој, во својство на контролор, објавува слики од сопствената дејност (популарна рубрика „пред и потоа“) на социјалните медиуми или обработува податоци преку колачиња поставени на веб-страницата, бидејќи за тоа не може да покаже легитимен интерес.

Дали контролорот мора да побара и добие согласност во случај на обработка на лични податоци преку колачиња?

Да. Согласноста е единствениот можен правен основ за обработка на лични податоци во контекст на користење колачиња. 

Тоа е предвидено во Законот за електронски комуникации (член 168). Сепак, постои и исклучок за колачиња кои се технички неопходни.

Освен согласност, контролорот мора да обезбеди и јавни информации на субјектот на лични податоци согласно членовите 17 и 18 од ЗЗЛП.

Кој дава согласност за дете?

Во случај на малолетно дете, согласност треба да се добие од родител или старател, освен во случај на обработка на лични податоци што се однесува на услуги на информатичкото општество кои се нудат директно на детето.

Во таков случај детето може да даде согласност, но само ако е на возраст од 14 години и постаро.

Дали агенциите за наплата на долгови треба да добијат согласност за обработката на лични податоци што ја вршат?

Според Законот за облигациони односи, доверувањето наплата на побарувања (долгови) не налага добивање согласност од должникот, но доверителот е обврзан да го извести должникот за доверувањето на наплатата на друго правно лице, што значи дека станува збор за договорен однос.

Освен тоа, воспоставување контакт со лица кои не се должникот налага поразличен правен основ од аспект на согласност или докажан легитимен интерес.

Дали компанија може да испраќа маркетиншки пораки/електронска пошта без согласност од лицето?

Не.

Според член 96 од ЗЗЛП, обработката на лични податоци за целите на директен маркетинг, што вклучува и профилирање до степенот до кој тоа се однесува на директниот маркетинг, е дозволена само доколку личните податоци се обработуваат откако субјектот на лични податоци дал експлицитна согласност (член 11 од ЗЗЛП).

Од тие причини, согласноста е единствениот можен правен основ за целите на директен маркетинг.

Дали нарачка на производ/услуга преку електронска пошта се смета за согласност?

Не. Во таков случај обработката се заснова на договор/дејствија кои му претходат на склучувањето договор, па затоа нема потреба за согласност, ниту пак нарачката преку електронска пошта се смета за согласност.

Дали салон за убавина треба да има согласност од клиентите?

Салонот за убавина обработува податоци врз основа на договор помеѓу салонот и клиентот.

Сепак, во моментот на фотографирање некое лице за маркетиншки цели, потребен е друг правен основ, како што е согласност или легитимен интерес.

Дали согласност за обработка на лични податоци дадена при вработување го покрива и сегментот со договор за вработување, телефонски број, електронска пошта, придонеси за задолжително социјално осигурување М1-М2 и слично, или за тоа треба дополнителна согласност?

Не.

Според член 10, став (1) од ЗЗЛП, постојат шест правни основи за обработка на лични податоци:

  • согласност;
  • договор;
  • законска обврска;
  • суштински интереси;
  • јавен интерес/јавно овластување;
  • легитимен интерес.

За секоја обработка на лични податоци мора да постои соодветен правен основ. Оттука, правниот основ за обработка на лични податоци преку договор за вработување е договорот, правниот основ за обработка на лични податоци преку формуларите за задолжително социјално осигурување е законска обврска на контролорот, и правниот основ за податоците за контакт е легитимен интерес на работодавецот (доколку е докажан).

    Согласноста е само еден од шесте правни основни пропишани со законот. Доколку за некоја конкретна обработка постои правен основ, нема потреба да се бара согласност, посебно или како дел од договорот за вработување.

    Во случај на влегување во деловни односи со клиенти (банка), законот пропишува задолжително наведување на сите лица поврзани со клиентот, со име/презиме, единствен матичен број за граѓани (ЕМБГ), итн. Дали оваа ситуација налага согласност за обработка на личните податоци на поврзаните лица што ги навел клиентот на банката?

    Не.

    Според член 10, став (1) од ЗЗЛП, постојат шест правни основи за обработка на лични податоци:

    • согласност;
    • договор;
    • законска обврска;
    • суштински интереси;
    • јавен интерес/јавно овластување;
    • легитимен интерес.

    За секоја обработка на лични податоци мора да постои соодветен правен основ. Оттука, правниот основ за обработка на лични податоци преку договор меѓу банка и клиент е договорот.

    За други категории на податоци правниот основ може да биде законска обврска на контролорот.

    Согласноста е само еден од шесте правни основни пропишани со законот. Доколку за некоја конкретна обработка постои правен основ, нема потреба да се користи согласност.

    Дали компанијата има обврска да побара од вработените кои го напуштаат работното место да потпишат согласност за чување на нивните лични податоци?

    Не.

    Рокот за чување е пропишан во Законот за работни односи и работодавецот има правен основ (законска обврска) за обработката, и затоа нема потреба да се користи согласност.

    Во случај на обработка на лични податоци за целите на директен маркетинг, дали правното лице треба претходно да обезбеди изречна согласност од субјектот на лични податоци за секоја вид на директен маркетинг, без оглед дали тоа вклучува профилирање поврзано со директниот маркетинг?

    Според член 94 од ЗЗЛП, обработката на лични податоци за целите на директен маркетинг, вклучително и профилирање до степен до кој тоа се однесува на директниот маркетинг, е дозволена само доколку личните податоци се обработуваат откако субјектот на лични податоци дал изречна согласност (член 11 од ЗЗЛП).

    Што треба да содржи т.н. грануларна согласност во однос на заштитата на личните податоци?

    Грануларноста е тесно поврзана со потребата согласноста да биде специјална/посебна.

    Имено, кога се дава согласност за неколку различни цели (при што целта на обработката мора да биде колку што е можно поспецифична), грануларноста значи дека целите се одделени и дека за секоја цел се дава посебна согласност.

    На пример, родителите или старателите треба да бидат во можност да дадат согласност на училиштето за фотографирање на учениците за образовни цели, но да не дадат согласност за јавно објавување на фотографиите на веб-страницата на училиштето или во дневен весник за промоција на училиштето.

    Одделување на целите на обработката може да се постигне преку ставање празно поле за штиклирање пред секоја цел за обработката за родителот/старателот да може да означи согласност, доколку сака. 

    Отворени податоци

    Дали законот се применува на јавно објавени податоци?

    Одредбите од законот се применуваат без оглед на тоа дали одредени лични податоци биле претходно јавно објавени.

    Оттука, доколку контролорот има намера да обработува лични податоци, тој мора да има соодветен правен основ за обработката согласно член 10 од ЗЗЛП.

    Исто така, бидејќи личните податоци не се добиени директно од субјектот на лични податоци, контролорот мора да ги достави до субјектите на лични податоци сите информации пропишани во член 18 од ЗЗЛП (на пр., кој е изворот на податоците).

    Работодавач-вработен

    Дали списоците за плата може да се испраќаат на вработените преку електронска пошта?

    Овој метод на достава на списокот за плата до вработените не е спротивен на одредбите од законот, под услов да се применуваат соодветни технички и организациски мерки.

    Дали контролорот може да бара доказ за платено отсуство од вработениот?

    Законот за работни односи не го пропишува начинот за утврдување на правото на платено отсуство.

    Барање докази во случај кога работникот има право на платено отсуство (поради важни лични причини како што е раѓање на дете) за да се потврди оправданоста на користењето платено отсуство не е спротивно на одредбите од законот и за истото може да се најде правен основ во форма на легитимен интерес.

    Оправданоста на користењето платено отсуство може да се утврди преку увид во сертификат кој ја докажува важната лична причина за барање платено отсуство, освен доколку не е поинаку утврдено во колективниот договор или во интерните акти на работодавачот.

    Дали името и презимето на вработениот може да стои на издадена фактура?

    Содржината на фактурата ја утврдуваат неколку закони, на пример, Законот за данокот на додадена вредност, Законот за регистрирање на готовински плаќања.

    Меѓу другото, еден од елементите на содржината на сметката е ознака за операторот (лицето) на самиот инструмент за наплата.

    Оттука, нема потреба да се стави и името на лицето. Напротив, контролорот може да пропише интерни ознаки за неговите вработени како дел од интерните акти.

    Дали работодавачот може да ги копира или скенира документите за лична идентификација или банкарските картички на вработените?

    Според прописите за работни односи, копирање или скенирање на документи за лична идентификација или банкарски картички не е законска обврска на работодавачот.

    Меѓу другото, банкарската картичка содржи верификациски број (CSC, CVV или HVS), што претставува уникатен троцифрен или четирицифрен број отпечатен на картичката веднаш до бројот на сметката и служи како доказ за физичко поседување на картичката при набавки преку интернет.

    Кога станува збор за личната карта, таа содржи одредени лични податоци на субјектот (на пр., фотографии на вработените) што го става под знак прашање правниот основ за законитост на обработката.

    Затоа мора да постои правен основ според член 10 од ЗЗЛП којшто, во ретки случаи, може да биде докажан легитимен интерес, со анонимизирање на непотребните податоци (на пр., CVV бројот не е потребен, но бројот на тековната сметка е потребен).

    Дали работодавачот може да инсталира ГПС уред на службено возило?

    Работодавачот може да инсталира ГПС уред на службено возило доколку може да докаже постоење на легитимен интерес за истото.

    Имено, работниците понекогаш ги користат ресурсите на компанијата за приватни цели, па затоа може да се каже дека постои правен основ за обработката на личните податоци на работниците.

    Со оглед на економската динамика и потребата компаниите да се прилагодат на новите барања и трендови за да бидат во чекор со конкурентите на пазарот, дали тие имаат обврска да ги чуваат досиејата за вработените во период од 45 години откако работникот ја напуштил компанијата, онака како што налагаат важечките прописи?

    Доколку рокот на чување е утврден во закон што ги регулира работните односи, тогаш постои правен основ за таквата обработка на лични податоци според член 10, став (1), точка (в) од ЗЗЛП.

    Важно е да се разбере дека согласноста не е единствениот правен основ за обработка на лични податоци.

    Во случај на работни биографии поднесени за можно вработување во иднина или за огласени работни места, дали компанијата има обврска да обезбеди согласност од кандидатите нивните биографии да се чуваат во базата на податоци со можни кандидати?

    Работодавачот може да се обиде да го докаже својот легитимен интерес преку спроведување тест за легитимен интерес или да побара согласност од кандидатот (согласноста мора да ги исполнува условите дадени во член 11 од ЗЗЛП).

    Во секој случај, кандидатот мора да биде запознаен со ваквата обработка во согласност со начелото на транспарентност.

    Во случај на систем за контрола на пристап што се заснова на биометриски податоци, дали правното лице треба да ја информира АЗЛП пред да почне со обработка на таквите податоци и кои документи треба да се достават до АЗЛП за таа цел?

    Според член 13 од ЗЗЛП, биометриските податоци се посебна категорија на лични податоци.

    Условот за законска обработка е правниот основ од член 10, став (1) од ЗЗЛП и постоење на еден од исклучоците дадени во член 13, став (2) од ЗЗЛП.

    На пример, правниот основ за обработка на биометриски податоци за влез во службени простории може да биде изречна согласност.

    Сепак, бидејќи ова преставува однос меѓу работодавач и вработен (нееднаков однос, однос на зависност), треба да се постави прашањето дали вработениот доброволно ја дава својата согласност (доброволноста е еден од условите за согласност).

    Од тие причини, работодавачот треба да се осигури дека согласноста е доброволна и на вработениот мора да му овозможи алтернатива за поинаков влез во службените простории (преку картичка, код, итн.)

    Во случај на одобрување, обработката на биометриски податоци може да се изврши само по претходно одобрување од АЗЛП согласно член 84 од ЗЗЛП, иако обработката се врши по изречна согласност дадена од субјектот на лични податоци. 

    Одобрување не е потребно во случај кога обработката на лични податоци е утврдена со закон кој содржи безбедносни и други мерки за заштита на правата и слободата на субјектите на лични податоци.

    Во такви случаи Агенцијата донесува решение во рок од 90 дена од приемот на барањето за одобрување.

    Во случај на ревизија, дали треба да се обезбеди согласност од вработените или доволно е тие да бидат информирани?

    Мора да постои соодветен правен основ за обработка на личните податоци според член 10 од ЗЗЛП.

    Доколку ревизијата се извршува во согласност со закон, тогаш согласноста не може да биде применлив правен освен за обработката.

    Дали до судот може да се достават информации за вработените кои се потребни во спор за работни односи?

    Генерално, судовите ги обработуваат личните податоци врз основа на законска обврска или јавно овластување.

    На судовите им требаат таквите информации за ги утврдат и докажат фактите во постапката што се води за спорот, па затоа контролорот мора да ги обезбеди информации до судот.

    Претходно одобрување од АЗЛП

    Дали до АЗЛП треба да се достави барање за одобрување на обработка на лични податоци која се однесува на податоци за здравјето на вработените за целите на безбедност и здравје на работното место?

    Услов за законска обработка е правниот основ даден во член 10, став (1) од ЗЗЛП и постоење на еден од исклучоците дадени во член 13, став (2) од ЗЗЛП.

    Во случај на одобрување, обработката на податоци за здравјето може да се изврши само по претходно добиено одобрување од АЗЛП согласно член 84 од ЗЗЛП.

    Одобрување не е потребно во случај кога обработката на личните податоци е утврдена со закон кој содржи безбедносни и други мерки за заштита на правата и слободите на субјектите на лични податоци.

    Во такви случаи Агенцијата донесува решение во рок од 90 дена по приемот на барањето за одобрување. 

    Легитимен интерес

    Дали може да се фотографира конкретен настан?

    Кога станува збор за фотографирање и јавно објавување на фотографии од јавен настан, треба да се знае дека во секој случај треба да се утврди постоење на правен основ за обработката на лични податоци.

    На пример, во некои конкретни случаи правен основ може да биде легитимен интерес, согласност, јавен интерес.

    Во случај на легитимен интерес, обработката на лични податоци може да се смета дека се заснова на легитимен интерес на деловниот субјект, освен кога пред таквиот интерес предимство имаат интересите или основните права и слободи на субјектите на лични податоци кои налагаат заштита на личните податоци, особено кога субјектот на лични податоци е дете.

    Оттука, иако законот не исклучува фотографирање на јавен настан, физичките лица треба да бидат известени однапред за фотографирањето и за намерата фотографиите да се објават на социјалните мрежи, веб-страницата на компанијата или преку други медиуми.

    Притоа, лицата може да бидат информирани за намерата за фотографирање и објавување на фотографиите преку поставување на известување на истакнато место.

    Исто така, кога обработката на лични податоци се заснова на легитимен интерес, претходно треба да се направи тест за балансирање (тест за легитимниот интерес) за да се утврди што преовладува во конкретниот случај: легитимниот интерес на компанијата или правото на заштита на личните податоци на граѓаните.

    Доколку деловниот субјект не може да го докаже својот легитимен интерес, личните податоци можат да се обработуваат според некој друг правен основ, на пример, согласност добиена според законот.

    Дали може да се снимаат разговори за целите на подобрување на услугите без претходна согласност?

    Освен согласност, ваквата обработката може да се заснова на докажан легитимен интерес.

    Сепак, субјектите на лични податоци треба да бидат однапред информирани (на пример, преку говорниот апарат) дека разговорот ќе се снима и дека личните податоци ќе се обработуваат за целите на подобрување на услугата.

    Дали може јавно да се објавуваат имињата на победници од организирани награди игри?

    Тоа може да се смета за легитимен интерес доколку контролорот го докаже таквиот интерес преку спроведување тест за балансирање, но се советува за тоа да се изготват внатрешни правила каде би било елаборирано и доделувањето награди и објавувањето на победниците, со што учесниците би биле запознаени со можноста за објава на нивните имиња.

    Од тие причини, се препорачува учесниците однапред да бидат известени за намерата имињата и презимињата на победниците од организираната наградна игра да бидат јавно објавени. 

    Начела за заштита на личните податоци

    Една компанија работи на формулар за пријава во програма за лојалност. Освен вообичаените информации, како што се име и презиме, формуларот треба да вклучи и информации за брачен статус, сексуална ориентација, број за идентификација, итн.. Дали е тоа законско?

    Секоја обработка на лични податоци треба да се води според начелата од ЗЗЛП.

    Еден од нив е начелото на „минимален обем на податоци“, што значи дека податоците мора да бидат соодветни, релевантни и ограничени само на оние кои се потребни за целите за кои се обработуваат.

    Од тие причини, веројатно е дека во овој конкретен случај станува збор за прекумерно обработување на лични податоци.

    Обезбедете детално објаснување за начелото на транспарентност од новиот Закон за заштита на личните податоци, односно како правните лица треба да ги документираат нивните активности за обработка на лични податоци за да демонстрираат сообразност?

    Добра практика за усогласување со начелото на транспарентност е изработка и објавување на детална политика/известување/изјава за приватност.

    На граѓаните треба да им се даде документ со јасни, концизни, транспарентни, разбирливи и лесно достапни информации, напишани на едноставен јазик, коишто опишуваат што прави контролорот со нивните лични податоци.

    Контролорот мора да ги информира граѓаните за целите на обработката на лични податоци, правниот основ за обработката, рокот на чување, дали податоците се споделуваат со други, легитимниот интерес на контролорот или на третата страна, намерата за пренос на личните податоци во трети земји или меѓународни организации, контакт информации на офицерот за заштита на лични податоци, итн.

    Изјавата за приватност треба да биде прилагодена на сите компоненти пропишани со законот (членови 16, 17, и 18).

    На пример, доколку контролорот нема сопствена веб-страница, примерок од изјавата за приватност може да биде поставен на истакнато место. Во спротивно, изјавата за приватност треба да биде објавена на веб-страницата.

    Исклучок за домаќинства

    Дали платформите за комуникација меѓу групи на родители и воспитувачи/воспитувачки од градинка подлежат на одредбите од ЗЗЛП?

    Не. Родителите и воспитувачите/воспитувачките од конкретна група во градинка доброволно разменуваат контакт информации за слободна комуникација преку некоја платформа, во затворена група каде комуницираат и разменуваат информации.

    Се претпоставува дека референцираната комуникација се одвива надвор од рамките на редовниот начин за информирање на родителите од страна на градинката.

    Дали е дозволено родителите да ја фотографираат училишната претстава со приватни мобилни телефони со што ги опфаќаат и другите деца?

    Фотографирање на училишна претстава со приватни мобилни телефони од страна на родителите на децата не подлежи на примена на Законот за заштита на личните податоци бидејќи се смета за лична активност.

    Училишта/градинки

    Дали контролорот може да користи слики од деца за креирање развојни мапи?

    Тоа е можно, врз основа на докажан легитимен интерес или согласност доколку не постои друг правен основ.

    Дали контролорот може да користи фотографии од деца за подготовка на монографија?

    Тоа е можно, врз основа на докажан легитимен интерес или согласност доколку не постои друг правен основ.

    Дали контролорот може да објавува, на веб-страницата на училиштето, имињата на деца кои постигнале одреден резултат во натпреварувања?

    Тоа е можно, врз основа на докажан легитимен интерес или согласност доколку не постои друг правен основ.

    Дали контролорот може да поставува, на веб-страницата на училиштето, фотографии на деца од организирани настани?

    Тоа е можно, врз основа на докажан легитимен интерес или согласност доколку не постои друг правен основ.

    Дали контролорот може да пријави сомнеж до училиштето дека некој ученик е малтретиран од родител или пријавувачот треба да добие согласност од ученикот/ученичката?

    Не само што е дозволено, туку и мора да се пријави бидејќи тоа претставува законска обврска на контролорот.

    Поконкретно, наставниците, професионалните соработници и другите вработени во училиштата се обврзани да преземат мерки за заштита на правата на учениците и каква било повреда на овие права, особено во форма на физичко или психичко насилство, сексуално злоставување, занемарување или немарен однос, злоупотреба или искористување на учениците, и мора веднаш да го информираат директорот на училиштето, кој пак е обврзан тоа да го пријави до надлежните органи.

    Од тие причини, во такви случаи не се применува согласноста. 

    Видеонадзор

    Контролор сака да постави систем за видеонадзор за да го заштити својот имот. Дали треба да побара дозвола од АЗЛП?

    Обработката на лични податоци преку систем за видеонадзор налага исполнување на сите услови пропишани во ЗЗЛП.

    Прво, контролорот може да врши видеонадзор на службените простории само доколку смета дека тоа е потребно за:

    • заштита на животот и здравјето на луѓето;
    • заштита на приватната сопственост;
    • заштита на животот и здравјето на вработените, поради природата на работата што се извршува; или
    • контрола на движењето во и надвор од службените простории.

    Обработката мора да биде законска. Најчестиот правен основ за обработка на лични податоци преку видеокамери е легитимен интерес согласно член 10, став (1), точка ѓ) од ЗЗЛП (други можни правни основни се законска обврска и согласност).

    Кога податоците се обработуваат врз основа на легитимен интерес, контролорот треба да направи тест за легитимен интерес за да утврди што преовладува во конкретниот случај: легитимниот интерес на деловниот субјект или правото за заштита на лични податоци на физичкото лице.

    Ако контролорот го докаже легитимниот интерес за вршење на видеонадзор, мора да ги извести субјектите на лични податоци преку неговата политика/изјава за приватност, но треба да објави и известување согласно член 89, став (3) од ЗЗЛП.

    Ваквото известување мора да биде јасно, видливо и јавно на начин кој им овозможува на субјектите на лични податоци да бидат информирани дека се врши видеонадзор.

    Известувањето треба да ги содржи следниве информации:

    • дека е поставен систем за видеонадзор;
    • име/назив на контролорот што го врши видеонадзорот;
    • начин на кој може да се добијат информации за местото и периодот на чување на снимките од системот за видеонадзор;
    • субјектите на лични податоци треба да бидат информирани за обработката на лични податоци согласно членовите 17 и 18 од ЗЗЛП.

    Исто така, контролорот треба да ги извести вработените дека во службените простории има поставено систем за видеонадзор.

    Според член 90 од ЗЗЛП, контролорот треба да го регулира начинот за вршење видеонадзор преку посебен акт (пример за организациски мерки).

    Освен тоа, член 92 од ЗЗЛП и посебните законите за безбедност и здравје при работа или за конкретен сектор (банкарство, сектор безбедност) пропишуваат спроведување анализа и периодични проверки бидејќи може да постојат и други барања поврзани со предметната материја.

    Дали контролорот може да постави лажни камери за да спречи кражби?

    Видеонадзорот во смисла на одредбите од ЗЗЛП се однесува на обработка на лични податоци што вклучува создавање видеозапис кој е дел или е наменет да биде дел од систем за чување снимки.

    ЗЗЛП не се применува во конкретниот случај поради фактот дека не се обработуваат лични податоци на субјектот.

    Псевдонимизирани податоци

    Дали псевдонимизирани податоци се лични податоци и како тие се разликуваат од анонимизирани податоци?

    Псевдонимизирани податоци се лични податоци и за нив се применува ЗЗЛП, додека анонимизирани податоци се анонимни информации за кои не се применува ЗЗЛП.

    Анонимизираните податоци се информации кои не се поврзуваат со идентификувано лице или лице кое може да се идентификува, додека псевдонимизираните податоци вклучуваат замена на личните податоци (на пр., име на лицето) со единствен идентификатор кој не е поврзан со идентитетот на лицето, но сепак претставува личен податок бидејќи лицето може да се идентификува со користење на клуч.

    Обработка на лични податоци во контекст на пандемијата со КОВИД-19

    Дали работодавецот смее да мери температура на вработените?

    Работодавецот е обврзан да ја организира работата на начин кој овозможува заштита на животот и здравјето на сите работници, па така, во контекст на пандемија, ваквата обработка е законска, но чувањето податоци за измерената температура на вработените се смета за прекумерна обработка на лични податоци.

    Обработка на податоци за здравјето може да се врши само по претходно добиено одобрување од АЗЛП согласно член 84 од ЗЗЛП.

    Одобрување не се бара во случај кога обработката на лични податоци е утврдена со закон кој содржи безбедносни и други мерки за заштита на правата и слободите на субјектите на лични податоци.

    Во овие случаи Агенцијата донесува решение во рок од 90 дена по приемот на барањето за одобрување.

    Дали обработката на податоци поврзани со вакциналниот статус против КОВИД-19 се смета за обработка на посебна категорија на лични податоци (податоци за здравјето)?

    Обработката на податоци поврзани со вакциналниот статус против КОВИД-19 се смета за обработка на посебна категорија на лични податоци (податоци за здравјето).

    Контролори/обработувачи  

    Дали трети страни кои вршат услуги за одржување (хигиена, куќен ред, итн.) се сметаат за обработувачи на лични податоци? При извршување на нивните договорни обврски, вработените во овие трети страни може да имаат увид во одредени сетови на податоци, вклучително и лични податоци, но сепак обработката на лични податоци не е предмет на нивните соодветни договори?

    Трети страни кои вршат услуги за одржување се сметаат за „трета страна“ според дефиницијата дадена во член 4, став (1), точка 10) од ЗЗЛП.

    Според дефиницијата, „трето лице“ е физичко или правно лице, орган на државната власт, државен орган или правно лице основано од државата за вршење на јавни овластувања, агенција или друго тело, кое не е субјект на лични податоци, контролор, обработувач или лице кое, под директно овластување од контролорот или од обработувачот, е овластено да обработува лични податоци.

    Оттука, сервиси за одржување не се сметаат ниту за контролор, ниту за обработувач.

    Доколку компанијата НН склучи договор со служба за одржување, работниците не треба да имаат пристап до лични податоци иако тие може да наидат на такви податоци (во канцеларија или во дом). Бидејќи работниците не се вработени во компанијата НН, тие не се под нејзина надлежност.

    Следствено, работниците се сметаат за трета страна и контролорот е должен да примени соодветни безбедносни мерки за да спречи неовластен пристап до личните податоци.

    Офицер за заштита на личните податоци

    Според член 42, став (6) од ЗЗЛП: „Офицерот за заштита на личните податоци може да врши и други задачи и должности. Контролорот или обработувачот е должен да обезбеди дека таквите задачи и должности не доведуваат до судир на интереси.“ Дали може да ја објасните оваа одредба.

    Офицерот за заштита на личните податоци не смее да има судир на интереси за да може да дејствува во независен капацитет.

    Оттука, офицерот може да врши други задачи само доколку тие не водат кон судир на интереси.

    Примери за работни позиции кои може да бидат во судир со позицијата на офицерот се високи раководни позиции (како што се: извршен оперативен директор, главен извршен директор, директор на здравствена институција, раководител на одделот за маркетинг, раководител на одделот за човечки ресурси или раководител на одделот за информатичка технологија).

    Појаснете ја можноста за ангажирање надворешно лице како офицер за заштита на личните податоци со договор на дело. Дали физичко лице може да биде офицер на неколку различни контролори/обработувачи?

    Функцијата на офицер за заштита на лични податоци може да се извршува и врз основа на договор на дело склучен со физичко лице или со организација надвор од контролорот или обработувачот.

    Важно е секој член на организацијата што ја извршува функцијата на офицер за заштита на лични податоци да ги исполнува сите услови пропишани со законот.

    Дали контролорите кои не се обврзани да определат офицер за заштита на лични податоци сепак можат да назначат такво лице и дали, во тој случај, треба да ги исполнуваат сите обврски од законот кои се однесуваат на офицерот и на компанијата?

    Доколку некоја организација доброволно назначи офицер за заштита на лични податоци, тогаш за лицето се применуваат условите од членовите 41 до 43 од ЗЗЛП во однос на неговото/нејзиното назначување, позиција и задачи исто како назначувањето на ваков офицер да било задолжително.

    Дали адвокатите или матичните лекари, во својство на самостојни вршители на дејност, имаат обврска да назначат офицер за заштита на личните податоци?

    Обврската за назначување офицер за заштита на личните податоци е предмет на условите дадени во член 41, став (1) од ЗЗЛП.

    Контролорот и обработувачот мора да назначат офицер за заштита на личните податоци во случаите кога:

    (а) обработката ја врши орган на државната власт, освен судовите кои постапуваат во рамките на нивните надлежности;

    (б) основните активности на контролорот или обработувачот вклучуваат операции за обработка кои, според нивната природа, обем и/цели, налагаат редовно и систематско следење на субјектите на лични податоци од голем обем;

    основните активности на контролорот или обработувачот вклучуваат обемна обработка на посебни категории на лични податоци според член 13 од ЗЗЛП или лични податоци поврзани со казнени осуди и казнени дела според член 14 од ЗЗЛП.

    Оттука, обврската не зависи од големината на организацијата или од категоријата на контролори.

    Дали контролорот спаѓа во некоја специфицирана категорија не е релевантно за прашањето на задолжително назначување на офицер.

    Во однос на толкувањето за формулацијата „основните активности на контролорот или обработувачот вклучуваат обемна обработка на посебни категории на лични податоци“, таква екстензивна обработка може да вршат болници во капацитет на контролори, за разлика од индивидуални лекари.

    Оттука, лекарите или адвокатите како самостојни вршители на дејност не се обврзани да назначат офицер за заштита на лични податоци.

    Права на субјектите на лични податоци

    Дали законот пропишува краен рок за преземање дејство по барање за остварување на правото да се биде заборавен?

    Субјектите на лични податоци имаат право од контролорот да побараат да ги избрише нивните лични податоци, при што контролорот е обврзан да ги избрише таквите податоци во рок од 30 дена по приемот на барањето.

    Контролорот треба да обезбеди информации за дејството што го преземал во однос на барањето за бришење на личните податоци (право да се биде заборавен) без непотребно одлагање и најдоцна во рок од еден месец по приемот на барањето.

    Овој рок може да се продолжи за два дополнителни месеци кога тоа е неопходно, со оглед на сложеноста и бројот на поднесени барања. Во таков случај, контролорот треба да го извести лицето за ваквото продолжување во рок од еден месец од приемот на барањето, заедно со образложение на причините за одложувањето.

    Важно е да се напомене дека правото на бришење на личните податоци (право да се биде заборавен) не е апсолутно. Меѓу другото, тоа не се применува:

    • за остварување на правото на слобода на изразување и информирање (на пр., за новинарски цели);
    • кога контролорот има законска обврска за обработка на лични податоци (на пр., обработка на евиденција за работните часови на вработените);
    • во случај на вршење работи од јавен интерес или јавно овластување (на пр., за целите на научни истражувања или за целите на архивирање од јавен интерес, за научни или историски истражувања или за статистички цели, при што бришењето на личните податоци ќе ја направи обработката невозможна или сериозно ќе го попречи остварувањето на целите на таквата обработка, или кога се врши попис на населението во земјата); и
    • за утврдување, остварување или одбрана на правни барања.

    Пренос на лични податоци

    На 4 јуни 2021 година, Европската комисија донесе нови стандардни договорни клаузули (Одлука бр. 2021/914) за пренос на лични податоци, вклучително и клаузули кои ги регулираат односите контролор-контролор и контролор-обработувач. Кои од овие стандардни договорни клаузули треба да се користат при склучување договори со правни лица од Европската Унија?

    Треба да се користат новите стандардни договорни клаузули. Се советува старите договорни клаузули да бидат заменети со новите најдоцна до 27 декември 2022 година.

    Што се смета како доволен доказ за соодветни безбедносни мерки за пренос на лични податоци во САД, имајќи превид дека судската практика на Судот на правдата на ЕУ не го смета штитот на приватност за безбедносен инструмент?

    Користењето стандардни договорни клаузули за пренос на лични податоци во САД во предвид треба да ја земе неодамнешната пресуда бр. C-311/18 на Судот на правдата на Европската Унија (позната како Шремс II) со која се оспорува можноста за користење инструменти за пренос на лични податоци и оттука користењето на стандардни договорни клаузули.

    Имено, постојат одредени грижи за соодветното ниво на заштита на личните податоци во однос на преносот на лични податоци во САД. Затоа се советува организациите кои пренесуваат лични податоци во САД, дополнително на стандардните договорни клаузули, да утврдат дали постојат дополнителни мерки коишто може да се применат заедно со овие клаузули, со цел да се одржи соодветно ниво на заштита.

    Доколку тоа не е можно, организацијата што го врши преносот на лични податоци треба да го суспендира или прекине таквиот пренос, освен кога станува збор за еднократна ситуација согласно член 53 од ЗЗЛП.

    Колачиња

    Кој е правниот основ за обработка на лични податоци преку колачиња?

    Согласност е единствениот можен правен основ за обработка на лични податоци во контекст на колачиња. Тоа е уредено во Законот за електронски комуникации (член 168). Сепак, постои и исклучок за колачиња што се технички неопходни.

    Освен согласност, контролорот мора претходно да обезбеди јасни информации за субјектот на лични податоци согласно членовите 17 и 18 од ЗЗЛП.

    Дали веб-страниците кои не користат колачиња смеат да наведат дека не користат колачиња?

    Техничките (задолжителните) колачиња се секогаш активни. Тие се неопходни за функционирањето на интернет-страницата и не смеат да бидат исклучени во системите.

    Субјектите на лични податоци може да бидат информирани за обработката на лични податоци преку колачиња како дел од политика/изjавата за приватност на контролорот.

    Обработка од висок ризик

    Во случај на збирки на лични податоци со висок ризик се спроведува проценка на влијанието. Како се дефинира висок ризик?

    Проценката на влијанието врз заштитата на личните податоци му помага на контролорот да ги идентификува и да ги минимизира ризиците по заштитата на личните податоци и се смета за клучна алатка за отчетност.

    Согласно член 39 од ЗЗЛП, Агенцијата утврди листа на видовите операции за обработка кои налагаат спроведување проценка на влијанието врз заштитата на лични податоци.

    Меѓу другото, подолу се дадени критериуми што треба да се земат предвид при оценувањето дали обработката на лични податоци подразбира висок ризик или не:

    • посебни категории на лични податоци или податоци од исклучително лична природа (здравје, биометриски податоци, генетски податоци, сексуална ориентација, членство во синдикати, итн.);
    • податоци поврзани со осетливи групи на субјекти на лични податоци (баратели на азил, деца, постари лица, итн.);
    • систематско следење (на пр., систем за видеонадзор во неколку правни лица);
    • користење или примена на иновативни технолошки или организациски решенија (на пр., апликации од типот „интернет на нештата“);
    • оценување или бодување (на пр., профилирање);
    • автоматизирано донесување одлуки со правен или сличен значаен ефект (на пр., онлајн одлука за доделување заем од банка или тест за вработување кој користи претходно програмирани алгоритми и критериуми).

    Во повеќето случаи, контролорот може да смета дека обработката е со висок ризик доколку таа истовремено исполнува два критериума.

    Што значи обемна обработка на лични податоци?

    Во однос на поимот „обемна обработка на посебни категории на лични податоци“ од член 39, став (3), точка б) од ЗЗЛП, подолу се наведени неколку фактори што треба да се земат превид за конкретната обработка да се смета за обемна:

    • бројот на субјекти чиишто лични податоци се обработуваат;
    • обемот на лични податоци кои се обработуваат;
    • географскиот опфат на активноста; и
    • времетраењето на обработката.

    На пример, обработката на посебна категорија на лични податоци што може да се смета за екстензивна е обработката што ја вршат болници како контролори, за разлика од обработката што ја врши индивидуален лекар.

    Дали обработката на посебни ризични категории подразбира збирка на лични податоци од висок ризик?

    Види одговор за прашањето: Проценка на влијанието се спроведува само во случај на збирка на лични податоци од висок ризик. Како се дефинира висок ризик?

    Ако збирката на лични податоци за вработените вклучува повеќе од 2.000 субјекти, дали правното лице е обврзано да спроведе проценка на влијанието врз заштитата на личните податоци?

    Не.

    Проценката на влијанието врз заштитата на личните податоци им помага на контролорите да ги идентификуваат и да ги минимизираат ризиците по заштитата на личните податоци и се смета за клучна алатка за отчетност.

    Согласно член 39 од ЗЗЛП, Агенцијата утврди листа на видовите операции за обработка кои налагаат спроведување проценка на влијанието врз заштитата на личните податоци.

    Меѓу другото, подолу се дадени критериуми што треба да се земат предвид при оценувањето дали обработката на лични податоци подразбира висок ризик или не:

    • посебни категории на лични податоци или податоци од исклучително лична природа (здравје, биометриски податоци, генетски податоци, сексуална ориентација, членство во синдикати, итн.);
    • податоци поврзани со осетливи групи на субјекти на лични податоци (баратели на азил, деца, постари лица, итн.);
    • систематско следење (на пр., систем за видеонадзор во неколку правни лица);
    • користење или примена на иновативни технолошки или организациски решенија (на пр., апликации од типот „интернет на нештата“);
    • оценување или бодување (на пр., профилирање);
    • автоматизирано донесување одлуки со правен или сличен значаен ефект (на пр., онлајн одлука за доделување заем од банка или тест за вработување кој користи претходно програмирани алгоритми и критериуми).

    Во повеќето случаи, контролорот може да смета дека обработката е со висок ризик доколку таа истовремено исполнува два критериума.

    Дали контролорот треба да спроведе проценка на влијанието врз заштитата на личните податоци и во случаи кога обработката е вклучена на листата на видови операции за обработка кои не налагаат спроведување на таква проценка? Конкретно, прашањето се однесува на обработка на лични податоци што се заснова на правен основ дефиниран со закон и опфаќа посебна категорија на лични податоци – податоци за здравјето?

    Не.

    Проценката на влијанието врз заштитата на личните податоци им помага на контролорите да ги идентификуваат и да ги минимизираат ризиците по заштита на личните податоци и се смета за клучна алатка за отчетност.

    Според член 39, став (5) од ЗЗЛП, Агенцијата може да утврди и да објави листа на видови операции за обработка кои не налагаат спроведување на проценка на влијанието врз заштитата на личните податоци.

    Доколку станува збор за обработка на податоци за здравјето, контролорот треба да ги исполнува условите за законска обработка, односно правниот основ од член 10, став (1) од ЗЗЛП и постоење на еден од исклучоците дадени во член 13, став (2) од ЗЗЛП.

    Сепак, обработката на податоци за здравјето може да се врши со претходно добиено одобрување од АЗЛП согласно член 84 од ЗЗЛП.

    Одобрување не се бара во случај кога обработката на лични податоци е утврдена со закон кој содржи безбедносни и други мерки за заштита на правата и слободите на субјектите на лични податоци.

    Во овие случаи Агенцијата донесува решение во рок од 90 дена по приемот на барањето за одобрување.