ЗАКОН ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ
Законот за заштита на лични податоци е донесен во 2005 година кога е и основана Дирекцијата за заштита на лични податоци, самостоен правен орган одговорен за спроведување на законот.
Во 2009 година е донесен и “Правилникот за технички и организациски мерки за обезбедување тајност и заштита на обработката на личните податоци“ како подзаконски акт кој попрецизно ги дефинира обврските на организациите.
Со стапување на сила на Законот за заштита на личните податоци фирмите се обврзани на собирање, чување и користење на личните податоци на точно дефиниран начин кој гарантира висок квалитет во заштитата на податоците. Целта на воведениот закон е да ја зголеми свесноста за потребата за заштита на личните податоци како и да дефинира систем за управување со безбедноста на личните податоци кој фирмите ќе го имплементираат. Имплементирањето на ваков систем го минимизира или подобро кажано го контролираат ризикот од злоупотреба на личните податоци.
Дирекцијата за заштита на лични податоци на РМ има право да врши инспекција кај фирмите, со цел проверка на степенот/нивото на заштита на личните податоци со кои располагаат. Во случаи на прекршувања на законските прописи дирекцијата е надлежна и за изречување на санкции, согласно предвидената регулатива.
ШТО ТРЕБА ДА НАПРАВИТЕ ЗА ДА СЕ УСОГЛАСИТЕ?
Фирмите кои чуваат збирки на лични податоци и кои имаат над 10 вработени и/или чуваат други збирки на лични податоци на клиенти, пациенти, посетители, добавувачи итн. треба:
- да се регистрираат во Централен регистар на ДЗЛП и да ги пријават збирките на лични податоци кои ги чуваат,
- да назначат одговорно лице за заштита на лични податоци,
- да дефинираат правилници и да имплементираат технички и организациски мерки,
- на секои три години да прават надворешна проверка на информатичкиот систем и информатичката структура со цел да се провери дали се усогласени со законот. Надворешната проверка ја спроведува независно трето правно лице во согласност со Упатството за начинот на вршење на надворешната контрола објавено во 2012 година.
Обврската за надворешна проверка фирмите ја имаат само доколку чуваат збирки на лични податоци кои најмалку содржат матичен број или пак содржат посебна категорија податоци како на пример расно и етничко потекло, политичко, верско, филозофско или друго уверување, податоци што се однесуваат на здравјето на луѓето, генетските податоци, биометриски податоци итн.
“Збирка на лични податоци е структурирана група лични податоци која е достапна согласно со специфични критериуми, без оглед дали е централизирана, децентрализирана или распространета на функционална или географска основа.“
КОИ СЕ СУБЈЕКТИ НА ЛИЧНИ ПОДАТОЦИ?
“Субјект на лични податоци е секое физичко лице на кое се однесуваат обработените податоци.“
Колку и да ви звучи чудно и нејасно оваа дефиниција, а уште помалку се препознавате во неа, сепак тоа сте вие, односно тоа се вработените и клиентите во една фирма. Законот за заштита на лични податоци се грижи за начинот на кој што фирмите ги обработуваат личните податоци, а она што вие како субјект на лични податоци треба да се запрашате следниот пат кога некој ќе ви побара личен податок е дали е неопходен и зошто, како истиот ќе биде обработен и дали ќе биде заштитен од злоупотреби.
ШТО Е ПРЕДМЕТ НА ЗАШТИТА?
Предмет на заштита се сите лични податоци кои се вклучени во било кој деловен процес на една фирма. Тоа може да биде список на вработени, платен список, список на клиенти/пациенти/посетители, итн. Согласно законот, личен податок е секоја информација со која може да се идентификува едно физичко лице како на пример: име и презиме, матичниот број, адреса на живеење, пол, семејна состојба, телефонски број, вид и степен на образование, занимање, псевдоним, биометриски и генетски податоци и др.
“Збирка на лични податоци е структурирана група лични податоци која е достапна согласно со специфични критериуми, без оглед дали е централизирана, децентрализирана или распространета на функционална или географска основа.“
ДАЛИ ФИРМИТЕ ШТО ИМААТ ISO27000 СЕ УСОГЛАСЕНИ СО ЗЗЛП?
И покрај тоа што Законот за заштита на лични податоци има точно дефинирани мерки/контроли кои една фирма треба да ги имплементира, сепак постои недоразбирање и честа забуна во однос на тоа што се треба да исполнат за да бидат усогласени. Контролите кои ги пропишува законот се превземени од меѓународниот стандард за управување со безбедноста на информациите ISO27000.
ISO27000 претставува систем за управување со безбедност на информации кој ги вклучува и личните податоци. Една од контролите на ISO27000 усогласувањето со локалната законска регулатива. Тоа би значело дека покрај имплементирањето на контролите од стандардот, за да се усогласите со Законот треба:
- да назначите одговорно лице односно Офицер за заштита на лични податоци,
- да дефинирате и пријавите збирки на лични податоци и
- да правите редовни внатрешни и надворешни контроли согласно динамиката што ја пропишува законот.
Во секој случај, нивото на имплементирани контроли, односно степенот на заштита што треба да го понуди фирмата за да биде усогласена со Законот, секако зависи од видот и обемот на лични податоци кои ги обработува како и нивото на ризик при нивната обработка.
Од друга страна, усогласеноста со Законот за заштита на лични податоци не значи и спремност за сертифицирање согласно ISO27000 бидејки личните податоци се само еден вид информации за чија заштита се грижи стандардот ISO27000.
ОБВРСКА ИЛИ ПРЕДНОСТ ЗА ОРГАНИЗАЦИЈАТА?
Усогласувањето со законската регулатива е секако обврска која бара ресурси и време. Добро имплементиран систем за заштита на лични податоци значително го намалува ризикот од нарушување на угледот на фирмата, што резултира со зголемување на довербата кај вработените и клиентите.
Како и сите останати управувачки системи и Системот за заштита на лични податоци пропишува задолжителни внатрешни контроли како и надворешни контроли од независно трето правно лице. Целта на контролата е да посочи дали и до кој степен се имплементирани контролите кои се пропишани во Правилникот за технички и организациски мерки и дали истите се ефективни во однос на нивото на ризик.
Извештајот од проверката ги нотира најдените неусогласености и дава препораки за отстранување на истите, а обврска на фирмата е да ги имплементира дадените препораки, со што и помага на фирмата и да ја подобри безбедноста на податоците во своето работење.
Информација за авторот
Наташа Дрвошанска
Наташа Дрвошанска e Проектен менаџер со повеќегодишно искуство во управување со проекти, а од 2010 година работи и како консултант за воведување на стандардите ISO 9001, ISO 14000, ISO 27000 и ISO 20000.
Од 2012-та е сертифициран проектен менаџер (PMP) од страна на PMI – светски институт за проектен менаџмент.
Од 2012 година е аудитор за проверка на информатичкиот систем и информатичката структура согласно Законот за заштита на лични податоци. Има посетено повеќе обуки организирани од Дирекцијата за заштита на лични податоци.
Во својата кариера Наташа има работено како Проектен менаџер на голем број ИТ проекти за компании од регионот, консултант за воведување на стандарди во поголеми приватни фирми и јавни установи во Македонија, а во поново време и како аудитор за усогласеност со ЗЗЛП.