Обврски за компаниите за усогласување со новиот Закон за заштита на лични податоци

Со Законот за заштита на лични податоци кој е објавен во Службен весник на РСМ бр. 42/20, даден е рок на компаниите да ги усогласат правилата и процедурите за заштита на личните податоци од една и пол година. Тој рок истече на 24.08.2021 година, со што практично обврската на компаниите за усогласување со Законот стапи на сила.

За усогласување на работењето на компаниите со Законот за заштита на лични податоци, секоја компанија првично треба да изврши  анализа на работењето со која ќе утврди што работи, каде во работењето се среќава со лични податоци, со какви лични податоци се среќава, чии лични податоци обработува, во какви софтвери ги обработува личните податоци, како ги штити личните податоци, колку време ги чува, има ли обработувачи, на кои фирми се обработувачи и сл.

Понатака секое друштво треба да води сопствени евиденции на лични податоци кои ги обработува за свои цели (контролор) како и за цели на своите клиенти (обработувач).

Понатака врз основа на извршената длабинска анализа, друштвото утврдува дали врши обработка на лични податоци во голема мера или не, а притоа да се земат предвид особено и следните фактори: бројот на засегнати субјекти на лични податоци, обемот на податоци кои се обработуваат, времетраење на обработката на податоците, географската распространетост на обработката и врз основа на тоа дали треба да назначи офицер за заштита на лични податоци.

 

НАПОМЕНА: помали  компании (контролори или контролори од иста област) можат да ангажираат едно заедничко лице за офицер за заштита на личните податоци врз основа на договор за услуги, а кое лице ќе ги исполнува следните услови: ги исполнува условите за вработување определени со овој и со друг закон, активно го користи македонскиот јазик, во моментот на определувањето со правосилна судска пресуда не му е изречена казна или прекршочна санкција забрана за вршење на професија, дејност или должност, има завршено високо образование и има стекнати знаења и вештини по однос на практиките и прописите за заштита на личните податоци, согласно со одредбите од овој закон.

Притоа, по определувањето на офицерот за заштита на личните податоци, контролорот е должен податоците за офицерот за заштита на личните податоци и тоа: име и презиме, електронска пошта, телефонски број и назив и седиште на контролорот или обработувачот задолжително да ги:

  • објави на својата веб страницата,
  • достави со допис до Агенцијата за заштита на личните податоци.

 

Регистрирајте / извршете промена во компанија со нас

 

„Контролор“е физичко или правно лице, орган на државната власт, државен орган или правно лице основано од државата за вршење на јавни овластувања, агенција или друго тело, кое самостојно или заедно со други ги утврдува целите и начинот на обработка на личните податоци, а кога целите и начинот на обработка на личните податоци се утврдени со закон, со истиот закон се определуваат контролорот или посебните критериуми за негово определување;

„Обработувач на збирка на лични податоци“е физичко или правно лице, орган на државната власт, државен орган или правно лице основано од државата за вршење на јавни овластувања, агенција или друго тело кое ги обработува личните податоци во име на контролорот.

Насоки во поглед на изготвување на нови акти во согласност со новиот Закон за заштита на личнитеподатоци, треба да се има предвид Информацијата за контролорите во врска со примена на новиот Закон за заштита на личните податоци објавена на нашата веб страница www.azlp.mk во делот вести на ден 25.02.2020 година, односно на следниот линк  

Оваа информација дава насоки секој контролор да изврши анализа на постојниот воспоставен систем за заштита на личните податоци во корелација со одредбите од Законот за заштита на личните податоци кои се применливи на операциите на собирање, обработка и чување на личните податоци, како и прашањата кои треба да бидат опфатени со проценката. По завршување на анализата, контролорот ќе треба да донесе и примени Акциски план со предвидени активности и мерки по приоритет, со динамика за постигнување на соодветна усогласеност со прописите за заштита на личните податоци.

 

Контролорите исто така треба да донесат Политика за воспоставување на систем за заштита на личните податоци со која ќе се регулира начинот на постапување на контролорот и вработените кај контролорот при обработката со личните податоци со цел да се исполнат стандардите и начелата поврзани со обработката на личните податоци; ќе се дефинира процесот на управување со системот за заштита на личните податоци преку примена на технички и организациски мерки за безбедност на личните податоци при нивната обработка; ќе се определат збирките на лични податоци кои се водат со наведување на категориите на субјекти на лични податоци, категориите на лични податоци и рокот на чување; поделба на должностите и одговорностите на раководството и вработените кај контролорот во однос на системот за заштита на личните податоци, поделба на должностите на офицерот на заштита на личните податоци и одговорен за сигурноста на информацискиот систем.

Врз основа на Политиката за воспоставување на систем за заштита на личните податоци ќе треба да се донесат подетални политики и процедури во кои ќе се опишани техничките и организациските мерки за овластените лица кои имаат пристап до личните податоци и до информацискиот систем и информатичката инфраструктура, каде ќе бидат документирани процесите како: анализа на ризик, општ опис на техничките и организациските мерки за обезбедување тајност и заштита на обработката на личните податоци соодветно на ризикот; активности за обука и подигнување на свеста на раководството и вработените за приватноста и безбедносните ризици кај контролорот; начинот на обезбедување на автентикација на овластените лица во информацискиот систем и друго.

Правилниците односно подзаконските акти објавени во Службен весник на Република Северна Македонија можете да ги најдете на веб страница www.azlp.mk, во делот прописи и обрасци, подзаконски акти, односно на следниот линк https://dzlp.mk/mk/podzakonski_akti.

 

 

Врз основа на погоренаведеното, контролорите ќе можат да ја демонстрираат усогласеноста со прописите за заштита на личните податоци на тој начин што ќе имаат подготвено и донесено, како на пример:

  • Политика за воспоставување на систем за заштита на личните податоци,
  • анализа на ризик со која ќе се идентификувани и проценети безбедносните ризици на сите активности при обработката на личните податоци, како и да се предвидат ефективни мерки за управување со тие ризици во работењето на контролорот, а според прописите за заштита на личните податоци,
  • подетални политики и процедури во кои ќе се опишани техничките и организациските мерки за овластените лица кои имаат пристап до личните податоци и до информацискиот систем и информатичката инфраструктура,
  • уреден начинот на претходно информирање на субјектите на личните податоци во однос на обработката на нивните лични податоци, каде ќе бидат разработени следните елементи: зошто собирате (обработувате) лични податоци (целта); кои категории на лични податоци ги собирате; која е правната основа за обработка на личните податоци, кој е одговорен за обработката на личните податоци (податоци за контролорот); корисниците или категориите на корисници на личните податоци, доколку ги има; временскиот период за кој ќе се чуваат личните податоци, а ако тоа е невозможно, критериумите што се користат за одредување на тој период; постоењето на право да се бара од страна на контролорот пристап, исправка или бришење на личните податоци или ограничување на обработката на личните податоци кои се однесуваат на субјектот на личните податоци; правото на приговор, правото на поднесување барање до Агенцијата согласно со овој закон; информација дали давањето на личните податоци е законска или договорна обврска или услов кој е потребен за склучување на договор, како и дали субјектот на личните податоци има обврска да ги даде личните податоци и можните последици ако овие податоци не бидат дадени; како обезбедувате безбедност на обработката на личните податоци, а кои елементи се неопходни за обезбедување на правична, транспарентна и законита обработка на личните податоци на субјектите на лични податоци од страна на контролорите според прописите за заштита на личните податоци. Притоа Ви посочуваме како пример да ја видите Изјавата за приватност при вршење на видео надзор која е дадена во прилог како Образец бр.4 на Правилникот за содржината и формата на актот за начинот на вршење на видео надзор (,,Службен весник на Република Северна Македонија” бр.122/20),
  • начинот на вршењето на видео надзор уреден со посебен акт според одредбите на Правилникот за содржината и формата на актот за начинот на вршење на видео надзор („Службен весник на Република Северна Македонија“ бр.122/20), а врз основа на претходно изработена Анализа на целта односно целите за која се поставува видеонадзор според одредбите пропишани во Правилникот за содржината на анализа на целта, односно целите за која се поставува видеонадзор и извештајот од извршена периодична оценка на постигнатите резултати од системот за вршење на видеонадзор („Службен весник на Република Северна Македонија“ бр.122/20),
  • методологија за спроведување на проценка на влијанието на заштитата на личните податоци според критериумите дадени во Прилогот 2, кој е составен дел на Правилникот за процесот на проценка на влијанието на заштитата на личните податоци („Службен весник на Република Северна Македонија“ бр.122/20),
  • процедура за одлучување на избор на обработувач со која задолжително ќе предвиди: анализа на потенцијалните обработувачи во однос на нивните технички и организациски мерки за обезбедување на гаранција дека обработката на личните податоци ќе се одвива во согласност со барањата предвидени во прописите за заштита на личните податоци, како и за обезбедување на заштитата на правата на субјектите на лични податоци и анализа на ризиците врз работењето на контролорот што можат да произлезат при обработката на личните податоци од страна на обработувачите,
  • дефинирање/определување на збирките на лични податоци со јасно определување кој е основот за обработка (пример конкретен член од закон, согласност, договор), опис како на категориите на личните податоци, така и опис на категориите на субјекти на личните податоци и рокот на чување, водење евиденција на активностите за обработка според членот 34 од Законот за заштита на личните податоци, како и донесен соодветен документ ,,Список (преглед) со рокови на чување на личните податоци според член 23 од Правилникот за безбедност на обработката на личните податоци,
  • воспоставен внатрешен процес на евидентирање на нарушувањата на безбедноста на личните податоци, без оглед дали ќе биде потребно да се извести Агенцијата според прописите за заштита на личните податоци,
  • во однос на веб-страниците на контролорите, истите треба да бидат усогласени со одредбите од членовите 9, 16, 28, 29 и 36 од Законот за заштита на личните податоци, со правилата предвидени членот 19 од Правилникот за безбедност на обработката на личните податоци, како и со одредбите од членот 168 од Законот за електронските комуникации, односно да имаат предвидено и применето соодветни технички мерки со кои ќе се гарантира точниот идентитет на страницата, како и доверливоста на информациите што ги испраќа или ги собира преку веб страницата; политика за приватност, како и политика за колачиња, доколку користи.

Регистрирајте / извршете промена во компанија со нас