Од 24.08.2021 година почнува примената на новиот Закон за заштита на личните податоци („Службен весник на РСМ” 42/20). Рокот од 18 месеци беше периодот во кој контролорите и обработувачите на личните податоци требаше да превземат активности и преку анализи и мерки да извршат усогласување на работењето со барањата од одредбитe на законот, но поради пандемијата и недонесените подзаконски акти од страна на Агенцијата, преодниот период останува актуелен.

Постапки кои треба да се превземат од страна на правните лица (контролори):

1. Детална анализа и проценка на постојаниот воспоставен систем за заштита на личните податоци, односно проценка на влијанието на предвидените операции за обработка на заштитата на личните податоци и донесување на акциски план;

2. Донесување заклучок од Анализата и проценката и определените нивоа на ризици и донесување на одлука за назначување на офицер за заштита на личните податоци;

3. Пријавување на офицерот во Агенцијата за заштита на личните податоци;

4. Обука на офицерот за заштита на личните податоци во Агенцијата за заштита на личните податоци;

5. Формирање, испитување и следење на функционирањето на системот за заштита на личните податоци и оформување на документација во поглед на системот на заштита на личните податоци, од страна на офицерот и корисникот.

Функцијата на контролори, според законот, ја вршат:

  1. Правни лица:

а) приватниот сектор (трговски друшта, ПЗУ и други приватни организации);

б) јавен сектор;

в) непрофитни организации (здруженија, синдикати, политички партии, фондации и други организации);

2. Самостојни вршители на дејност (адвокати, нотари, извршители, трговци-поединци и други).

Контролорот е должен да применува соодветни технички и организациони мерки за да обезбеди и да може да докаже дека обработката се врши во согласност со Закон за заштита на личните податоци („Службен весник на РСМ” 42/20).

Контролорот за да се усогласи со новиот и стариот закон, потребно е да изврши детална анализа и проценка на постојаниот воспоставен систем за заштита на личните податоци.

Во правењето на деталната анализа и проценката, контролорот треба да ги опфати следните прашања:

  • каталошко идентификување на сите збирки на лични податоци во однос на: целите на обработка; категориите на физички лица (субјекти на личните податоци) и на категориите на личните податоци; преносот на лични податоци во други држави; предвидените рокови за чување, односно бришење на различните категории на лични податоци,
  • детектирање на природата, обемот, контекстот и целите на обработката на личните податоци, како и ризиците со различна веројатност и сериозност за правата и слободите на физичките лица (субјекти на личните податоци), кои произлегуваат од таа обработка,
  • поставеноста, улогата, правата, обврските и одговорностите на офицерот за заштита на личните податоци,
  • применливите технички и организациски мерки и потребата од нивно надградување и подобрување според мерките предвидени во Законот за заштита на личните податоци,
  • документацијата за техничките и организациските мерки и нејзино усогласување според одредбите на Законот за заштита на личните податоци,
  • договорните норми за заштита на личните податоци со обработувачите (определување на меѓусебните права и обврски на контролорот и обработувачот), како и нивна евалуација од аспект на постојното применување на правилата за заштита на личните податоци,
  • воспоставениот систем за обуки за вработените во врска со заштитата на личните податоци,
  • поставеноста на процесите за информирање за правата на физичките лица (субјектите на личните податоци) и за начинот на нивното остварување, како што се правото на: информирање, пристап, исправка, бришење, ограничување на обработката, преносливост на податоците и приговор,
  • процесите на пренос на личните податоци во други држави и правната рамка врз основа на која се врши преносот,
  • користењето на информатичка инфраструктура и софтверски апликации и потребата од нивна надградба и прилагодување според стандардите и мерките предвидени во Законот за заштита на личните податоци, а посебно од аспект на применливоста на техничка и интегрирана заштита на личните податоци (privacy by design and privacy by default),
  • воспоставениот систем за периодична и внатрешна контрола на операциите за обработка на личните податоци,
  • процесите на профилирање, како и правната и информатичката рамка за тие процеси,
  • поставеноста, улогата, обврските и одговорностите на раководството и вработените во постојниот систем за заштита на личните податоци и потребата од прилагодување според правилата предвидени во Законот за заштита на личните податоци (начелото на отчетност).

По завршувањето на деталната анализа, контролорите, потребно да донесат Акциски план, каде ќе бидат предвидени мерки и активности за подобро усогласување на законот.

Контролорот, по донесувањето и правењето на деталната анализа и Акциониот план, во однос на потребите на друштвото треба да одлучи дали во друштвото треба да назначи офицер за заштита на личните податоци.

Друштвата кои немаат законска обврска за определување на офицер, сепак е потребно да направат внатрешна детална анализа, дали им е потребно и кои фактори и карактеристики се исполнуваат за да се утврди дали е потребно во друштвото да биде назначен офицер за зашитта на личните податоци.

Контролорот и обработувачот, склучуваат договор или друг правен акт, со кој ќе се регулира обработката на податоци. Овој тип на договор е обврзувачки за обработувачот во однос на контролорот. Основните елементи на овој тип на договор се пропишани во член 32 став 3 од ЗЗЛП.

Правните и физичките лица кои вршат сметководствени услуги, мора да склучат ваков тип на договор, поради користењето на лични податоци во однос на составување на годишна сметка и финансиски извештаи, како и податоци кои се користат во сметководствените работи, но и поради обработка на податоците за плати на работниците, трансакциски сметки, пријава и одјава на работниците или други податоци, кои имаат карактер на лични податоци.

Договорот треба да биде во писмена форма, односно во електронска форма според ЗЗЛП.

Во членот 41, 42 и 43 од ЗЗЛП, се пропишани правилата и начинот на определување на овластено лице за заштита на личните податоци.

Офицерот за заштита на личните податоци може да биде вработен кај контролорот или обработувачот или да ги извршува работите врз основа на договор за услуги.

Контролорот и обработувачот се должни да определат овластено лице за заштита на личните податоци, офицер за заштита на личните податоци), во секој случај, кога:

(а) обработката се врши од страна на орган на државна власт, освен за судовите кога постапуваат во рамките на нивните надлежности, а кои ќе определат офицер за друга обработка на личните податоци, која се врши согласно со закон;

(б) основните активности на контролорот или обработувачот се состојат од операции за обработка, кои поради својата природа, опсег и/или цели, бараат во голема мера редовно и систематско следење на субјектите на лични податоци или

(в) основните активности на контролорот или обработувачот се состојат од обемна обработка на посебни категории на лични податоци или лични податоци поврзани со казнени осуди и казнени дела.

Освен наведените категории пропишани во член 41 од ЗЗЛП, кои се законски обврзани за назначување на офицер, останатите субјекти на доброволна основа одлучуваат за назначувањето.

Како лице офицер, може да се определи лице, кое:

  • ги исполнува условите за вработување определени со овој и со друг закон,
  • активно го користи македонскиот јазик,
  • во моментот на определувањето со правосилна судска пресуда не му е изречена казна
  • или прекршочна санкција забрана за вршење на професија, дејност или должност,
  • има завршено високо образование и
  • има стекнати знаења и вештини по однос на практиките и прописите за заштита на личните податоци, согласно со одредбите од овој закон.

Контролорот или обработувачот треба јавно да ги објавува контактните податоци за офицерот и да ја извести Агенцијата за заштита на личните податоци.

Известувањето за определување на офицер за заштита на личните податоци, контролорите и обработувачите ги доставуваат до Агенцијата за заштита на личните податои на официјалната е-маил адреса info@privacy.mk.