Прашања и одговори за определувањето офицер за заштита на личните податоци
Агенцијата за заштита на личните податоци, следејќи ја примената на Законот за заштита на личните податоци (ЗЗЛП), согледувајќи ја потребата од појаснување на прашањата поврзани со офицерот за заштита на личните податоци (ОЗЛП), известува за следното:
Кога треба да определиме ОЗЛП?
Согласно ЗЗЛП, контролорот и обработувачот мора да определат ОЗЛП кога:
– обработката на лични податоци се врши од страна на органите на државната власт,
– основните активности на обработката поради својата природа, опсег и/или цели, бараат во голема мера редовно и систематско следење на субјектите на лични податоци, или
– основните активности се состојат од обемна обработка на посебни категории на лични податоци или личните податоци се поврзани со казнени осуди и казнени дела.
Во одредени случаи контролорот или обработувачот или здруженија и други тела што ги претставуваат категориите на контролори или обработувачи, може исто така да определат офицер за заштита на личните податоци.
Независно од наведеното, доколку сакате, можете да определите ОЗЛП, дури и ако тоа не го бара ЗЗЛП од вас. Во ваков случај, ако одлучите доброволно да определите ОЗЛП, треба да се разбере дека истите барања за положбата, статусот и задачите важат како и во случај кога определувањето на ОЗЛП би било задолжително. Исто така, без оглед на тоа дали ЗЗЛП ве обврзува да определите ОЗЛП, мора да се обезбеди дека во однос на личните податоци кои ги обработувате треба да се почитуваат обврските кои произлегуваат според ЗЗЛП.
Ако одлучите дека не треба да определите ОЗЛП, доброволно или затоа што не ги исполнувате горенаведените критериуми, ваквата одлука треба да биде документирана за да ви помогне во демонстрирањето на принципот на отчетност.
Поконкретно во однос на критериумите кога мора да се определи ОЗЛП:
Кои се органите на државната власт?
Тука се подразбираат органите на државната и на локалната власт и други државни органи основани согласно со Уставот и со закон, институциите кои вршат дејности од областа на образованието, науката, здравството, културата, трудот, социјалната заштита и заштитата на детето, спортот, како и во други дејности од јавен интерес утврден со закон, а организирани како агенции, фондови, јавни установи и јавни претпријатија основани од Република Северна Македонија или од општините, од градот Скопје, како и од општините во градот Скопје.
Во однос на критериумите кои се однесуваат на основните активности на обработката која поради својата природа, опсег и/или цели, бараат во голема мера редовно и систематско следење на субјектите на лични податоци, или кога основните активности се состојат од обемна обработка на посебни категории на лични податоци, АЗЛП појаснува:
Кај било кој од двата наведени случаи, треба да се разбере дека станува збор за основни (суштински) активности на контролорот, односно обработувачот, за да постои обврската за определување на ОЗЛП.
Што се основни (суштински) активности?
Основните активности се примарните деловни активности на контролорот, односно обработувачот. Ова значи дека, ако во вашето работење треба да обработувате лични податоци за да ги постигнете вашите клучни цели, тогаш таквата активност потпаѓа под поимот основна активност. Треба да се разбере дека ова е различно од обработката на личните податоци за други секундарни цели, што исто така може да биде нешто што го правите постојано, но што не е дел од остварувањето на вашите примарни цели. На пример: за повеќето организации, обработката на личните податоци за човечки ресурси ќе биде секундарна функција во однос на нивните главни (клучни) деловни активности и затоа нема да биде дел од нивните основни активности.
Притоа, редовното и систематско следење на субјектите на личните податоци ги вклучува сите форми на следење и профилирање, без оглед дали станува збор за „онлајн“ или „офлајн“ следење, а при одредување дали обработката е во голем обем, треба да се земат предвид повеќе фактори, а особено бројот на засегнатите субјекти на личните податоци, обемот и категориите на личните податоци што се обработуваат, времетраење на обработката на податоците, географската распространетост на обработката.
На пример: ова практично значи дека доколку анализата „покаже“ дека контролорот, односно обработувачот во своето работење обработува единствено лични податоци само за своите вработени што не претставува негова основна активност (трговско друштво или организација на пример до 50 вработени) и при тоа не обработува лични податоци за други категории на субјекти на лични податоци (на пример за клиенти физички лица) и/или не обработува лични податоци преку систем за вршење на видео надзор, не подлежи на обврската за определување на ОЗЛП.
Притоа посочуваме дека овој процес на анализирање треба да биде документиран, имајќи предвид дека секој контролор е должен да ја демонстрира усогласеноста со начелата поврзани со обработка на личните податоци.
Која е улогата на ОЗЛП?
Основната улогата на ОЗЛП е да помогне во следењето на внатрешната усогласеност на контролорот, односно обработувачот со прописите за заштита на личните податоци, како и да информира и советува во однос на исполнувањето на обврските за заштита на личните податоци, да дава совети во врска со процената на влијанието врз заштитата на личните податоци и да дејствува како контакт точка за субјектите на личните податоци и АЗЛП.
ОЗЛП мора да биде лице/а коe има квалификации и стручни знаења за легислативата и практиките во областа на заштитата на личните податоци, како и способност, положба и статус кои му овозможуваат да ги извршува своите работи целосно независно без да добива било какви упатства од највисокото раководство во однос на извршувањето на неговите работи и притоа да биде навремено и целосно вклучен во сите прашања поврзани со заштитата на личните податоци, како и да има ресурси неопходни за извршување на работите, пристап до личните податоци и операциите на обработка и обезбедена можност да го одржува неговото стручно знаење.
Судир на интереси
Во однос на неговата положба, важно е да се разбере дека ОЗЛП за своите работи директно одговара пред највисокото раководно ниво на контролорот, односно обработувачот. Имајќи предвид дека ОЗЛП може да врши и други задачи и должности, при неговото определување важно е да се обезбеди дека таквите задачи и должности нема да доведуваат до судир на интереси во вршењето на неговите работи. На пример: за ОЗЛП не може да биде определен управителот на контролорот/обработувачот, ниту овластеното лице за сигурност на информацискиот систем (администраторот на информацискиот систем).
ОЗЛП може да биде вработен или да ги извршува работите врз основа на договор за услуги (постоечки вработен или надворешно назначен), а неговото назначување е добар пример за демонстрирање на усогласеноста со ЗЗЛП, како и демонстрирање на отчетноста.
Контакт податоците за ОЗЛП се објавуваат јавно од контролорот, односно обработувачот и ја известуваат АЗЛП со соодветен допис, кој допис треба да содржи:
- назив и седиште на контролорот, односно обработувачот,
- име и презиме на ОЗЛП,
- контакт податоци за ОЗЛП (електронска пошта и телефонски број).
Дали ОЗЛП е одговорен за усогласеноста?
ОЗЛП не е лично одговорен за усогласеноста со прописите за заштитата на личните податоци. Како контролор или обработувач, останува ваша одговорноста да се усогласите со ЗЗЛП, но во секој случај ОЗЛП има клучна улога во исполнувањето на вашите обврски за заштита на личните податоци.
Кога е задолжително да се определи офицер за заштита на личните податоци
Законoт за заштита на личните податоци започнува целосно да се применува
Измените на Законот за заштита на личните податоци на собраниска седница
Измени на Законот за заштита на личните податоци по скратена постапка
Министерството за правда подготвува измени на Законот за заштита на личните податоци
М.В
