Нова регулатива на ЕУ за ЗЗЛП – новини и импликации
Новиот Предлог закон за заштита на личните податоци претставува усогласување на законодавството на Република Македонија во областа на заштитата на личните податоци со Општата регулатива за заштита на личните податоци на Европскиот парламент и Советот на Европската унија (ЕУ) 2016/679 која ќе започне да се применува од 25 мај 2018 година. Новите начела и мерки за заштита на личните податоци се:
- Privacy by design
- Privacy by default
- DPIA
- Accountability
- Data portability
- Right to be forgotten
Новите начела на Општата регулатива за заштита на личните податоци треба да обезбедат проактивен пристап во заштитата на личните податоци со што приватноста ќе се зема предвид во текот на целиот процес на поставување на еден систем за обработка на лични податоци. Целта е да добиеме систем кој е дизајниран така што нема потреба од имплементирање дополнителни мерки за заштита, едноставно системот не ви дозволува да направите тоа што не треба. На пример, нема да може да употребувате лозинка која не е сложена, системот автоматски ќе ги деперсонализира а потоа и ќе ги брише податоците по определен рок на чување итн.
Исто така, Контролорите треба да обезбедат дека однапред (по дифолт) ќе бидат воспоставени мерките за контрола на количеството собрани лични податоци, опсегот на нивната обработка, рокот на чување и нивната достапност. Можеби Контролорот обработува една пообемна збирка лични податоци, но ќе треба да обрне посебно внимание на тоа интегрирано да се обработуваат само оние лични податоци кои се неопходни за исполнување на секоја посебна цел заради која се обработуваат, односно истите не треба да бидат автоматски достапни на неограничен број физички лица. На пример, вообичаено е во софтверот за лични податоци на вработени да биде сокриена само платата како посебно сензитивен податок, но зошто и сите останати лични податоци да бидат достапни на сите што работат со софтверот доколку истите не им се потребни во секојдневното работење.
DPIA – Data Privacy Impact Assessment
Како едно од основните начела, Општата регулатива за заштита на личните податоци ја воведува проценката на влијанието на операциите за обработка врз заштитата на личните податоци (DPIA – Data Privacy Impact Assessment). Доколку постои веројатност Контролорот со обработката на личните податоци да предизвика висок ризик за правата и слободите на физичките лица, а особено во случај на автоматска обработка која вклучува и профилирање, обемна обработка на посебна категорија лични податоци, видео надзор на јавно достапни простори во големи размери итн, пред да отпочне со обработка на личните податоци Контролорот ќе треба да направи проценка на влијанието на операциите за обработка врз заштитата на личните податоци. Анализата треба да вклучува опис на операциите, нивната оправданост, проценка на ризиците како и мерките за справување со истите итн.
Data portability
Покрај досега познатите права на субјектот на лични податоци, право на пристап, право на исправка, право на бришење или ограничување на обработката, отсега субјектите на лични податоци имаат право на преносливост на нивните лични податоци. Доколку субјектот на лични податоци дал согласност за обработка на неговите лични податоци или пак неговите податоци се обработуваат врз основа на договорна обврска со Контролорот, тогаш тој може да ги побара своите лични податоци и да ги пренесе кај друг Контролор за обработка. Дополнително, доколку е изводливо Субјектот може да побара преносот да го изврши самиот Контролор кој што досега ги обработувал податоците и од каде што истите се повлекуваат.
Офицер за заштита на лични податоци
Со новата Општа регулатива за заштита на личните податоци подетално се дефинира позицијата Офицер за заштита на лични податоци, неговиот профил и потребните квалификации, обврски и одговорности. Офицерот по позиција во организацијата треба да биде поставен така што директно ќе одговара пред највисокото раководство, со што ќе се избегне секакво влијание или судир на интереси во однос на неговите работни обврски. Исто така, направен е и обид за заштита на Офицерот во извршувањето на неговите обврски со тоа што тој за извршувањето на своите работи не може да биде сменет или казнет од Контролорот.
Системи за видео надзор
Новата регулатива, исто така, содржи новини во врска со обработката на личните податоци преку системот за видео надзор. Ако досега контролите што се однесуваа на обработката на личните податоци преку системот за видео надзор беа уредени со Правилник за формата и содржината на актот за начинот на вршење на видео надзор, сега тие се вметнати во самиот закон.
Секој Контролор за да постави систем за видео надзор ќе треба да побара дозвола за тоа од Агенцијата за заштита на лични податоци со испраќање на Актот со кој што е уреден начинот на вршење на видео надзор како и анализата на целите поради кои е поставен видео надзорот. Во случај на позитивно мислење Агенцијата ќе издава контролни маркици со важност од 2 години за секоја камера посебно. За продолжување на важноста на контролните маркици Контролорот ќе треба повторно да направи анализа на целите за кои е поставен системот за видео надзор и истата да ја испрати до Агенцијата за заштита на лични податоци.
Друга поголема новина е тоа што Агенцијата ќе одржува Информациски систем за видео надзор. Овој Информациски систем за видео надзор ќе претставува еден вид база на податоци за сите Контролори, односно нивните системи за видео надзор со детален опис на просторот кој се заштитува со поставениот видео надзор. Агенцијата ќе воспостави мерки за заштита на овие податоците од Информацискиот систем за видео надзор но, исто така, за одреден надомест ќе овозможи пристап и користење на овие податоци од страна на заинтересирани корисници. Начинот на кој што заинтересираните корисници ќе може да пристапат до овие податоци ќе биде дополнително регулиран од страна на директорот на Агенцијата.
Период на усогласување
Она што следува е период на усогласување од 2 години почнувајќи од 25 мај 2018 година кога ќе стапи на сила и новиот Законот за заштита на лични податоци. Дополнително следува изработка на подзаконските акти кои подетално ќе го уредуваат начинот на имплементирање на бараните мерки за заштита на лични податоци на Општата регулатива за заштита на личните податоци на Европскиот парламент и Советот на Европската унија (ЕУ) 2016/679.
Со оглед на транзицискиот период од две години, останува да видиме како Македонија односно македонските Контролори ќе ја остваруваат досегашната и ќе воспоставуваат нова соработка со европските држави во однос на обработката на лични податоци со оглед на тоа дека Европската регулативата не дозволува пренос и обработка на лични податоци во земји кои демонстрираат соодветно ниво на заштита на личните податоци. Во таа насока се препорачува што поскоро усогласување на Контролорите и Обработувачите од кои ќе се бара истото да го докажат демонстрирајќи отчетност како едно од основните начела на регулативата.
Информација за авторот
Наташа Дрвошанска
Наташа Дрвошанска e Проектен менаџер со повеќегодишно искуство во управување со проекти, а од 2010 година работи и како консултант за воведување на стандардите ISO 9001, ISO 14000, ISO 27000 и ISO 20000.
Од 2012-та е сертифициран проектен менаџер (PMP) од страна на PMI – светски институт за проектен менаџмент.
Од 2012 година е аудитор за проверка на информатичкиот систем и информатичката структура согласно Законот за заштита на лични податоци. Има посетено повеќе обуки организирани од Дирекцијата за заштита на лични податоци.
Во својата кариера Наташа има работено како Проектен менаџер на голем број ИТ проекти за компании од регионот, консултант за воведување на стандарди во поголеми приватни фирми и јавни установи во Македонија, а во поново време и како аудитор за усогласеност со ЗЗЛП.