10 брзи чекори за усогласување со Законот за заштита на личните податоци

 

 

  1. ИДЕНТИФИКУВАЈТЕ ГО ДВИЖЕЊЕТО НА ЛИЧНИТЕ ПОДАТОЦИ ВО ОРГАНИЗАЦИЈАТА
  2. ИДЕНТИФИКУВАЈТЕ ГО ПРАВНИОТ ОСНОВ
  3. ВОДЕТЕ ЕВИДЕНЦИЈА ЗА АКТИВНОСТИТЕ ЗА ОБРАБОТКА НА ЛИЧНИТЕ ПОДАТОЦИ, ДОКОЛКУ Е ПРИМЕНЛИВО
  4. ОПРЕДЕЛЕТЕ ОФИЦЕР ЗА ЗАШТИТА НА ЛИЧНИТЕ ПОДАТОЦИ, ДОКОЛКУ Е ПРИМЕНЛИВО
  5. ПОЛИТИКА/ИЗВЕСТУВАЊЕ/ИЗЈАВА ЗА ПРИВАТНОСТ
  6. РАЗГЛЕДАЈТЕ ГИ ПРАВАТА ЗА ЗАШТИТА НА ЛИЧНИТЕ ПОДАТОЦИ
  7. НАПРАВЕТЕ ПРОЦЕНКА НА ВЛИЈАНИЕТО ВРЗ ЗАШТИТАТА НА ЛИЧНИТЕ ПОДАТОЦИ, ДОКОЛКУ Е ПРИМЕНЛИВО
  8. НАПРАВЕТЕ ПЛАН СО СЦЕНАРИО СО НАРУШУВАЊЕ НА БЕЗБЕДНОСТА НА ЛИЧНИТЕ ПОДАТОЦИ
  9. ПРИМЕНЕТЕ СООДВЕТНИ ТЕХНИЧКИ И ОРГАНИЗАЦИСКИ МЕРКИ
  10. ИЗЈАВИ ЗА ДОВЕРЛИВОСТ

1. ИДЕНТИФИКУВАЈТЕ ГО ДВИЖЕЊЕТО НА ЛИЧНИТЕ ПОДАТОЦИ ВО ОРГАНИЗАЦИЈАТА

Важно е контролорите да направат попис на сите лични податоци што ги поседуваат. Контролорите треба да ја скенираат ситуацијата во нивната организација и да документираат зошто им требаат личните податоци што ги обработуваат, да ги утврдат целите на обработката и да гарантираат безбедност на обработката.

Пример:

Аптека врши продажба на физичка локација во центарот на градот и преку веб-продавница. Таа има и своја веб-страница. Пред да направат онлајн нарачка, на купувачите им се нуди членство во програмата за лојалност којашто овозможува попуст при набавката, но и редовни известувања за производите на аптеката. За своите деловни активности аптеката користи сметководствен систем, и има систем за видео надзор за обезбедување на имотот, вработените и купувачите.

Оттука, во најмала рака, аптеката собира контакт информации за купувачите кои се користат за испраќање известувања за производите.

Кога потрошувачите прават онлајн нарачки, тие треба да ги остават следниве податоци: име и презиме и адреса за испорака на производите.

Освен тоа, на веб-страницата на аптеката се инсталирани т.н. колачиња (cookies) на трети страни, кои собираат лични информации за маркетиншки цели.

Во рамките на сметководствената програма, аптеката обработува лични податоци на вработените за целите на редовна исплата на платите, а преку системот за видео надзор се собираат лични податоци за посетителите и за вработените.

Се препорачува контролорите да направат попис на сите лични податоци што ги чуваат и да ги документираат следниве работи:

а. Како се добиени личните податоци?

б. Зошто се чуваат таквите податоци?

в. Дали личните податоци сè уште се потребни?

г. Дали личните податоци се безбедни?

д. Со кого се споделуваат личните податоци?

По скенирањето на ситуацијата, контролорот треба да направи мапа како се движат личните податоци во неговата организација за да обезбеди поголема контрола врз деловните активности.

Запомнете, оваа активност помага и во задржувањето на репутацијата на бизнисот.

2. ИДЕНТИФИКУВАЈТЕ ГО ПРАВНИОТ ОСНОВ

За секоја обработка на лични податоци мора да постои правен основ за обработката даден во член 10, став (1) од Законот за заштита на личните податоци.

Контролорот треба да го идентификува правниот основ за обработката, да го документира и да ги информира физичките лица за истиот во рамки на неговата политика/известување/изјава за приватност.

Треба да се има предвид дека доколку контролорот се потпира на согласност од физичките лица како правен основ за обработката на личните податоци, тогаш тој треба да гарантира дека се исполнети сите услови пропишани со законот.

Исто така, доколку обработката вклучува посебни категории на лични податоци (на пр., биометриски податоци, генетски податоци, податоци кои се однесуваат на здравјето), контролорот треба да се повика на правен основ за обработката даден во член 10, став (1) од Законот за заштита на личните податоци, плус еден од исклучоците за обработка на таквите податоци дадени во член 13 од Законот за заштита на личните податоци. 

Пример:

Компанија воведува електронски систем со скенирање отпечаток на прст за влез во нејзините простории. Овој систем претставува обработка на биометриски податоци за идентификација на работните часови на вработените. Компанијата треба да ги исполни соодветните услови за обработка на посебната категорија на лични податоци (правен основ даден во член 10, еден од исклучоците за обработка на такви лични податоци дадени во член 13, плус исполнување на условите пропишани во член 84 од Законот за заштита на личните податоци).

3. ВОДЕТЕ ЕВИДЕНЦИЈА ЗА АКТИВНОСТИТЕ ЗА ОБРАБОТКА НА ЛИЧНИТЕ ПОДАТОЦИ, ДОКОЛКУ Е ПРИМЕНЛИВО

Во некои случаи, контролорот/обработувачот мора да води евиденција за неговите активности за обработка на лични податоци којашто, меѓу другото, вклучува информации за целите на обработката, категориите на субјекти на лични податоци, категориите на лични податоци, категориите на приматели на лични податоци, преносот на лични податоци, рокот за бришење на личните податоци, техничките и организациските мерки. Овој вид евиденција е одличен начин за воспоставување контрола врз обработката и движењето на личните податоци кај контролорот. Чувањето на овие информации на едно место ја олеснува усогласеноста со Законот за заштита на личните податоци.

Пример: Систем за видео надзор

Контролор: Компанија ДООЕЛ

Категорија на субјекти и категорија на лични податоци: видео снимки од посетителите на Компанија ДООЕЛ, кои содржат физиономски одлики на некое лице.

Цел: заштита на сопственоста, заштита на животите и здравјето на вработените поради природата на работата што се извршува

Примател: Компанија ХЛ ДООЕЛ. 
Рок за бришење на податоците:  30 дена 

Технички и организациски мерки: посебен акт за начинот на вршење на видео надзор (на пр., овластување за пристап до снимките, автоматизиран систем на записи (логови), транспарентност), систем заштитен со лозинка, обука на вработените, итн.

Пренос на лични податоци: /

4. ОПРЕДЕЛЕТЕ ОФИЦЕР ЗА ЗАШТИТА НА ЛИЧНИТЕ ПОДАТОЦИ, ДОКОЛКУ Е ПРИМЕНЛИВО

Некои контролори се обврзани да определат офицер за заштита на личните податоци.

Таква обврска постои во следниве случаи:

  • кога обработката на лични податоци ја вршат органите на државната управа (освен судовите, кога постапуваат во рамките на нивните надлежности);
  • кога основната дејност на контролорот се состои од операции за обемна обработка кои налагаат редовно и систематско следење на физички лица (на пр., компанија за обезбедување која има систем за видео надзор во неколку трговски центри); и
  • кога основната дејност на контролорот вклучува обемна обработка на посебни категории на лични податоци (на пр., биометриски податоци, генетски податоци, податоци кои се однесуваат на здравјето) или лични податоци поврзани со казнени пресуди и кривични дела (на пр., активностите за обработка на лични податоци во болница се сметаат за обемна обработка наспроти обработката што ја врши лекарот, која не се смета за обемна обработка на лични податоци).

Офицерот за заштита на личните податоци треба да се определи врз основа на неговите/нејзините стручни квалификации и знаења во областа на заштита на личните податоци. Исто така, офицерот треба да биде запознаен со најдобрите практики и да биде способен да ги извршува работните задачи и должности пропишани со законот. 

Законот за заштита на личните податоци пропишува посебни услови за лицето што се определува како офицер за заштита на личните податоци:

  • да ги исполнува условите за вработување попишани со законот за заштита на личните податоци и со друг закон;
  • активно да го користи македонскиот јазик;
  • во моментот на определувањето, со правосилна судска пресуда да не му е изречена казна или прекршочна санкција за забрана за вршење на професија, дејност или должност;
  • да има стекнато најмалку 240 кредити според Европскиот кредит трансфер систем (ЕКТС) или да има завршено VII/1 степен на високо образование;
  • да има стекнати знаења и вештини во однос на практиките и прописите во областа на заштита на личните податоци.

Освен стручните квалификации, кои други услови се пропишани за офицерот за заштита на личните податоци?

Група компании може да определи еден офицер за заштита на личните податоци, под услов тој/таа да биде еднакво и лесно достапен за сите правни лица од групата и за субјектите на лични податоци, додека во случај на органи на државната управа, еден офицер може да се определи за неколку органи во состав на надлежниот орган.

Офицерот за заштита на личните податоци може да биде вработено лице или да ги извршува задачите врз основа на договор.

Треба да се забележи дека, иако офицерите за заштита на личните податоци може да вршат и други задачи и должности, таквиот ангажман не смее да резултира во судир на интереси бидејќи отсуството на таков судир се смета за независно извршување на задачите и должностите.

Од таа причина, офицерот не смее да биде вработено лице кое учествува во определувањето на целите и методите за обработка на личните податоци.

Освен тоа, не се советува лицата на одредени позиции во рамките на компанијата кои може да имаат судир на интереси да бидат определени како офицери за заштита на личните податоци, на пример, лица кои извршуваат високи менаџерски позиции (извршен директор, главен оперативен директор), раководители на оддели за маркетинг, раководители на оддели за управување со човечки ресурси, администратор на информацискиот систем итн., но и лица кои имаат пониски позиции во рамките на компанијата, доколку таквата позиција подразбира определување на целите и методите за обработка на личните податоци.

Задачите на офицерот за заштита на личните податоци вклучуваат давање совети на контролорот за сите прашања од областа на заштита на личните податоци.

Контролорот и обработувачот треба да се осигурат дека офицерот за заштита на личните податоци е соодветно и навремено вклучен во сите прашања од областа на заштита на личните податоци.

Според законот, задачите и должностите на офицерот за заштита на личните податоци вклучуваат и следење на усогласеноста и обука на вработените.

Од овие причини, офицерот за заштита на личните податоци е од голема вредност за секоја организација, и затоа Агенцијата за заштита на личните податоци препорачува вакви офицери да бидат определени дури и кога правните лица немаат таква обврска.

Важна забелешка! Контролорот или обработувачот е должен, на својата веб-страница, да ги објави контакт деталите за офицерот за заштита на личните податоци и да ги достави до Агенцијата за заштита на личните податоци.

Пример:

Органите на државната управа, како што се министерствата, институтите, институциите, итн., мора да определат офицер за заштита на личните податоци.

5. ПОЛИТИКА/ИЗВЕСТУВАЊЕ/ИЗЈАВА ЗА ПРИВАТНОСТ

Политиката/известувањето/изјавата за приватност на физичките лица им обезбедува информации на јасен, концизен, транспарентен, разбирлив и лесно достапен начин, и со користење на обичен јазик, кои опишуваат како контролорот ги обработува личните податоци.

Контролорите мора да ги информираат физичките лица за целите на обработката, правниот основ за обработката, рокот на чување, дали личните податоци се споделуваат со други правни и физички лица, легитимниот интерес на контролорот или на некоја трета страна, намерата на контролорот за пренос на личните податоци до трети земји или меѓународни организации, контакт деталите на офицерот за заштита на личните податоци, итн.

Пример:

Марија е фризерка. Таа нема веб-страница, но има поставено известување во салонот во кое се вели дека клиентите може да побараат копија од нејзината изјава за приватност.

Компанијата ХХ ДООЕЛ работи графички дизајн. Таа има сопствена веб-страница на која, на видливо место, е објавена изјавата за приватност.

Обата контролори имаат изјава за приватност која е сочинета од сите елементи пропишани со Законот за заштита на личните податоци (член 16, 17, и 18).

6. РАЗГЛЕДАЈТЕ ГИ ПРАВАТА ЗА ЗАШТИТА НА ЛИЧНИТЕ ПОДАТОЦИ

Важно е контролорот да биде запознаен со овие права и соодветно да ги планира своите политики.Контролорот мора да биде свесен дека физичките лица уживаат одредени права, и тоа: право да бидат информирани; право на пристап, исправка, и бришење на личните податоци; право на ограничување на обработката; преносливост на податоците; право на приговор, и право да не бидат предмет на одлука заснована единствено на автоматизирана обработка, вклучително и профилирање.

Пример:

Поранешен вработен на една организацијата од работодавачот бара да ги избрише сите негови лични податоци.

Организацијата може да го одбие барањето за бришење на личните податоци на поранешниот вработен, доколку сè уште постои законска обврска за обработка на ваквите податоци.

7. НАПРАВЕТЕ ПРОЦЕНКА НА ВЛИЈАНИЕТО ВРЗ ЗАШТИТАТА НА ЛИЧНИТЕ ПОДАТОЦИ, ДОКОЛКУ Е ПРИМЕНЛИВО

Проценката на влијанието врз заштитата на личните податоци му помага на контролорот да ги идентификува и да ги минимизира ризиците по заштитата на личните податоци, и таа се смета за клучна алатка за отчетност. 

Пример:

Во некои случаи, одредени апликации од „Интернет на нештата“ може да имаат огромно влијание врз правата и слободите на физичките лица за заштита на личните податоци и затоа ваквите апликации може да наложат проценка на влијанието врз заштитата на личните податоци.

8. НАПРАВЕТЕ ПЛАН СО СЦЕНАРИО СО НАРУШУВАЊЕ НА БЕЗБЕДНОСТА НА ЛИЧНИТЕ ПОДАТОЦИ

Во случај на нарушување на безбедноста на личните податоци, контролорот мора веднаш, и не подоцна од 72 часа откако дознал за нарушувањето да ја извести Агенцијата за заштита на личните податоци на incident@privacy.mk или https://eprijavi.privacy.mk/.

Ова е еден од најголемите предизвици за контролорите, а известувањето што се доставува до Агенцијата за заштита на личните податоци мора да биде детално.

Доколку нема можност за известување на Агенцијата за заштита на личните податоци во рок од 72 часа, контролорот може да го достави известувањето постепено, без понатамошно непотребно одложување. Оваа обврска не се применува во случаи каде нема веројатност дека нарушувањето на безбедноста на личните податоци ќе резултира во голем ризик за правата и слободите на физичките лица.

Пример:

Една општина објавува повик за поддршка на здруженија кои обезбедуваат помош на стари и изнемоштени лица. На повикот се пријавиле повеќе здруженија, а неколку од нив успеале да добијат финансиска поддршка од општината за нивните активности.

Кога општината ги известила здруженијата кои добиле поддршка (преку е-мејл), таа случајно ги ставила контактите на сите здруженија во делот за карбон копија (cc:) наместо во делот за слепа копија (bcc:) со што би се спречило откривање на личните податоци на неовластени лица.

Иако ова претставува повреда, не постои голем ризик за физичките лица (неколку е-мејл адреси содржеле име на контакт лицето од релевантното здружение, но содржината на пораката не била доверлива/осетлива), па затоа ваквиот инцидент не треба да се пријави до Агенцијата за заштита на личните податоци.

Општината го документирала ова нарушување на безбедноста на личните податоци, вклучително и фактите и ефектите од настанот, како и корективните дејствија што ги преземала.

9. ПРИМЕНЕТЕ СООДВЕТНИ ТЕХНИЧКИ И ОРГАНИЗАЦИСКИ МЕРКИ

За да обезбеди ниво на безбедност што е соодветно на ризикот и да спречи сценарио со нарушување на безбедноста на личните податоци, контролорот треба да примени соодветни мерки за безбедност.

Агенцијата за заштита на личните податоци препорачува мерки како што се: безбедно чување на документи во хартиена копија кои содржат лични податоци, на пример, во шкафчиња со брава за заклучување; давање пристап до личните податоци кои се чуваат во електронска форма само на овластени лица; совети за вработените за да користат комплексни лозинки, редовно правење сигурносни копии на електронските евиденции; псевдонимизијата или криптирање на личните податоци, особено во случај на посебни категории на лични податоци.

Освен тоа, важно е одредени прашања да бидат регулирани преку подзаконски акти и интерни процедури на контролорот, и на крај, но не помалку важно, да се работи на зголемување на свеста во рамките на организацијата бидејќи голем процент од нарушувањата на безбедноста на личните податоци се случуваат поради човечки грешки.

Пример:

Во однос на безбедноста на личните податоци, контролорот треба да преземе одговорност за изработка и спроведување на политики и постапки за безбедност, како и обука на вработените. Исто така, контролорот треба да провери дали се преземени безбедносни мерки и треба да направи истражување во случај на нарушување на безбедноста.

10. ИЗЈАВИ ЗА ДОВЕРЛИВОСТ

Контролорот треба да побара од вработените и добавувачите да потпишат изјава за доверливост со која се обврзуваат на доверливост на личните податоци при извршувањето на нивната работа. На тој начин, контролорот ја гарантира безбедноста на личните податоци во рамките на неговата работа.


Пример:

Во својство на функционер/вработен во органот/компанијата __________, јас долупотпишаниот ___________ изјавувам дека ќе ја почитувам доверливоста на сите лични податоци за кои имам право и овластување за пристап и кои се чуваат во збирката на лични податоци во органот/компанијата каде ја извршувам мојата работна позиција, и дека ќе ги обработувам личните податоци само за конкретни, законски пропишани цели, во согласност со Законот за заштита на личните податоци, и посебно во согласност со начелото на доверливост од член 9 на законот.

Исто така, се обврзувам дека нема да доставувам или на кој било друг начин да ги ставам на располагање на трети страни личните податоци за кои имам право и овластување за пристап (неовластено откривање), и се обврзувам дека ќе ја чувам доверливоста на личните податоци и по престанок на важноста на овластувањето за пристап до личните податоци.

Свесен/на сум дека секое неовластено откривање на личните податоци на кои имам право на пристап во рамките на мојата работа претставува прекршување на работните и на етичките обврски.