Новиот закон за заштита на личните податоци е објавен во Службен Весник на РСМ 42/20 од 16.02.2020 година, истиот влегува во сила осмиот ден од неговото објавување, а оставен
е рок од 18 месеци (период на усогласување) од денот на влегување во сила.
Со донесување на новиот закон се врши усогласување со европската регулатива во областа на заштитата на личните податоци, односно на Регулатива (ЕУ) 2016/679 на Европскиот парламент и на Советот од 27 април 2016 година за заштита на физички лица во поглед на обработката на лични податоци, за слободно движење на таквите податоци и за укинување на Директива 95/46/ЕЗ (Општа регулатива за заштита на податоци) CELEX број 32016R0679.
Европскиот парламент и Советот на Европската Унија на 27.04.2016 година ја донесоа Регулативата 2016/679 за заштита на физичките лица во однос на обработка на личните податоци и движењето на таквите податоци и за укинување на Директивата 95/46/ЕК. Правната (модернизирана) рамка на заштитата на лични податоци е заокружена со
донесувањето на Конвенција 108 и Конвенција 108+ од страна на Совет на Европа, па може
да се каже дека со донесување на Регулативата се започнати сериозни реформски процеси
во оваа област.
Општа перцепција е дека во Европа скоро никој не е подготвен за правилна и доследна примена на Регулативата, иако од нејзиното донесување до примената, беше oставен рок од 2 години, како период на прилагодување.
Со оглед дека текстот на Регулативата е преточен во нашиот нов закон за заштита на личните податоци во РСМ, тој е прилично сложен за толкување, не само за субјектите, контролорите и обработувачите, туку и за оние кои се подобро упатени во оваа област.
НАПОМЕНА за Директна примена на GDPR во Р.С. Македонија!
Пред да ги наведеме некои од позначајните новини кои ги предвидува новиот Закон за заштита на личните податоци, треба да се напомене фактот дека Регулативата (GDPR) може да има директна примена во одредени ситуации, без оглед на нашиот нов закон и без оглед на фактот што е оставен период на услогласување.
Имено, согласно член 3 од Регулативата е предвидено дека регулативата се применува за обработката на лични податоци на субјектите на податоци, кои се наоѓаат во Унијата, од контролорот или обработувачот кој не е регистриран во Унијата, кога активностите за обработка на податоци се поврзани со:
(а) понудата на стоки или услуги на такви субјекти на податоци во Унијата, без разлика дали од субјектот на податоците се бара да изврши плаќање; или
(б) следењето на нивното однесување, доколку тоа однесување се одвива во рамките на Унијата
Ова подразбира дека било кои правни и/или физички лица, односно било кои контролори или обработувачи регистрирани во Р.С.Македонија кои обработуваат лични податоци на државјани на земји членки на Унијата, должни се да ја применуваат Регулативата при вршењето на обработката на личните податоци.
Во овој случај, Регулативата (GDPR) се применува директно и веднаш, без оглед што ние имаме нов Закон во кој е оставен период на усогласување од 18 месеци од денот на влегување во сила, односно периодот на услогласување е до 24.08.2021 година.
II НОВИ ПОИМИ
Со донесување на новиот закон се воведени некои нови и редефинирани поими, од кои позначајни се следните:
– „ Личен податок “ е секоја информација која се однесува на идентификувано физичко лице или физичко лице кое може да се идентификува (субјект на лични податоци), а физичко лице кое може да се идентификува е лице чиј идентитет може да се утврди директно или индиректно, посебно врз основа на идентификатор како што се име и презиме, матичен број на граѓанинот, податоци за локација, идентификатор преку интернет, или врз основа на едно или повеќе обележја специфични за неговиот физички, физиолошки, генетски, ментален, економски, културен или социјален идентитет на тоа физичко лице;
– „ Профилирање “ е секоја форма на автоматска обработка на лични податоци, која се состои од користење на лични податоци за оценување на одредени лични аспекти поврзани со физичкото лице, а особено за анализа или предвидување на аспекти кои се однесуваат на извршување на професионалните обврски на тоа физичко лице, неговата економска состојба, здравје, лични преференции, интереси, доверливост, однесување, локација или движење;
– „ Псевдонимизација “ е обработка на личните податоци на таков начин што личните податоци не можат повеќе да се поврзат со одреден субјект на лични податоци без да се користат дополнителни информации, под услов таквите дополнителни информации да се чуваат одделно и да подлежат на технички и организациски мерки со кои ќе се обезбед дека личните податоци не се поврзани со идентификувано физичко лице или физичко лице кое може да се идентификува;
– „ Генетски податоци “ се лични податоци поврзани со генетските карактеристики на физичкото лице кои се наследени или стекнати, а кои откриваат единствена информација за неговата физиологија или здравје, која особено се добива со анализа на биолошки примерок од тоа физичко лице;
– „ Биометриски податоци “ се лични податоци кои се добиваат преку специфична техничка обработка на физичките и физиолошките карактеристики на физичкото лице или карактеристики на неговото однесување, а преку кои се овозможува или потврдува единствената идентификација на физичкото лице;
– „ Податоци што се однесуваат на здравјето “ се лични податоци поврзани со физичкото ли менталното здравје на физичкото лице, вклучувајќи и податоци за добиената здравствена заштита кои откриваат информации за неговото здравје;
– „ Задолжителни корпоративни правила “ се политики за заштита на личните податоци кои се почитуваат од страна на контролорот или обработувачот основан на територијата на Република Северна Македонија, при пренос или серија на преноси на лични податоци од Република Македонија до контролор или обработувач во една или повеќе трети земји во рамките на група на друштва (поврзани друштва) или група на правни лица кои вршат заедничка економска дејност;
– „ Директен маркетинг “ е секој вид на комуникација остварена на било кој начин според најновите технолошки достигнувања, а со цел испраќање на рекламна, маркетиншка или пропагандна содржина која е насочена директно до одреден субјект на личните податоци, како и обработка на лични податоци која вклучува и профилирање до оној степен до кој истото е поврзано со овој вид на комуникација.
III НОВИ ИНСТИТУТИ
Со новиот закон за заштита на личните податоци се воведени нови институти, од кои позначајни се следните:
1. Техничка и интегрирана заштита на личните податоци (data protection by Design and by Default)
Техничката и интегрирана заштита на личните податоци претставуваат нови институти инкорпорирани во GDPR и во нашиот нов закон, кои се задолжителни за контролорите и обработувачите.
Со овие нови институти е предвидено дека контролорот во моментот на дефинирање на средствата за обработка, како и во моментот на самата обработка, е должен да примени соодветни технички и организациски мерки како што се:
– Псевдонимизација;
– сведување на податоците на минимален обем (data minimization);
– вклучување на потребните заштитни мерки во процесот на обработка со цел да се исполнат барањата од законот и да се обезбеди заштита на правата на субјектите на личните податоци;
– обработка само на неопходните лични податоци за постигнување на целта поради која се обработуваат (Оваа обврска се однесува на количеството на собрани лични податоци, опсегот на нивната обработка, рокот на чување и нивната достапност. Таквите мерки особено треба да обезбедат дека личните податоци без согласност на субјектот на личните податоци не се автоматски достапни за неограничен број на физички лица).
Целта поради која се воведени овие два нови институти не е само за поголема заштита на субјектите на лични податоци при вршење обработка на лични податоци од контролорите и обработувачите, туку и воведување на поголема заштита на субјектите на лични податоци од самите од себе, односно при самостојно оперирање со своите лични податоци на некои платформи или продукти, со оглед дека најслабата алка во информациската сигурност е човекот.
Имено, да земеме пример дека одреден субјект на лични податоци купил нов мобилен апарат или пак сака да се зачлени во некоја лојалити програма. Софтверот на мобилниот апарат треба да биде подесен уште при првото вклучување да бара најава и пристап со одреден заштитен метод (пин, пасворд, отклучување со отпечаток од прст, и сл.), и сам да се заклучува по одреден период, односно да побара дополнителен заштитен метод доколку има случај на три неуспешни обиди за најава. Зачленувањето во одредена лојалити програма која дава поволности за купување на некои производи, треба да биде креирано и подесено на начин да организаторот на лојалити програмата ги бара од потенцијалните корисници само оние лични податоци кои му се неопходни како би се извршила одредена цел. Пример, неоправдано е да се бара од клиентот да внесе ЕМБГ, податоци за банкарски сметки, брачна состојба и сл., доколку целта би се постигнала и со помал обем на податоци, со оглед дека доволно е да се внесе име, презиме, адреса на живеење и/или е-маил, како би можело да се идентификува субјектот кој користи одредена поволност.
Со воведувањето на овие институти ќе се заштитат субјектите на лични податоци и нивните лични податоци, така што, уште од самиот почеток при давање на своите податоци, ќе се води сметка за тоа да се применат сите соодветни и неопходни технички и организациони мерки, со цел да се бара да се внесат само оние лични податоци кои се неопходни за исполнување на целта поради кои се обработуваат, а со тоа ќе се намали и/или отстрани можноста субјектот на личните податоци да не ги подеси софтверските решенија на начин на кој ќе се достигне потребното ниво на заштита на личните податоци.
Со други зборови кажано, контролорите и обработувачите се должни да дизајнираат систем кој што ќе биде подесен да ги бара само оние лични податоци кои се неопходни за исполнување на целта, како и ќе биде преподесен на начин на кој ќе се применуваат соодветни технички и организациони мерки со кои ќе се обезбеди ефикасно спроведување на начелата на заштита на личните податоци со минимален обем на податоци кои се обработуваат, соодветно на целите и ризикот при нивната обработка. Не треба и не може да се бара од субјектот на лични податоци да бара по софтверското решение како да го преподеси на начин на кој ќе биде усогласен со начелата на законот за заштита на личните податоци, туку тоа треба да му го обезбеди контролорот при креирање на тоа решение. Поради тоа, обврската за ваков вид преподесувања е на страната на контролорот, а не на субјектот на личните податоци.
2. Усогласеност или отчетност
Во Законот се предвидени начела поврзани со обработка на личните податоци, и тоа:
– законитост, правичност и транспарентност;
– ограничување на целите;
– минимален обем на податоци;
– точност;
– ограничување на рокот на чување;
– интегритет и доверливост.
Новина во овој закон е тоа што е предвидена обврска за контролорите и обработувачите да треба да докажат, односно да може да покажат дека обработката на личните податоци ја вршат согласно законот и предвидените начела. Поради тоа, предвиден е иститут – accountability , односно усогласеност или отчетност.
3. Сертификација
Како би можело да се исполни обврската „accountability“, односно усогласеност или отчетност, законот предвидел една опциона можност, која што исто така претставува новина, а тоа е Сертификација.
Согласно член 46 став 1 од Законот за заштита на личните податоци е предвидено дека: „Согласно специфичните карактеристики на различните сектори на обработка на лични податоци и специфичните потреби на микро, малите и средните трговски друштва, за да се придонесе за правилна примена од овој закон, Агенцијата поттикнува воспоставување на сертификација за заштита на личните податоци, како и печати и ознаки за заштита на личните податоци со цел да се демонстрира усогласеност со овој закон при операциите на обработка од страна на контролорите и обработувачите.“
Во истиот член е предвидено и дека сертификацијата е доброволна и јавна, како и дека не ја намалува одговорноста на контролорот или обработувачот за усогласување со законот.
Предвидено е дека сертификацијата се врши од страна на Aгенцијата за заштита на личните податоци или пак од сертификациони тела.
Сертификатот се издава на контролорот или обработувачот за период не подолг од три години и може да биде обновен под истите услови.
4. Кодекс на однесување
Согласно специфичните карактеристики на различните сектори на обработка на личните податоци и специфичните потреби на микро, малите и средните трговски друштва, а со цел да се придонесе за правилна примена од законот, здруженијата и другите тела што ги претставуваат категориите на контролори или обработувачи можат да изработат кодекси на однесување со цел да биде прецизирана примената на законот.
Кодексот треба детално да ги опфати и обработи сите постапки и дејствија кои ги вршат контролорите и обработувачите (и вработените лица во нив), особено за правичната и транспарентна обработка, легитимните интереси на контролорите во специфични контексти, собирањето на личните податоци, псевдонимизацијата на личните податоци, информирањето на јавноста и на субјектите на лични податоци, остварувањето на правата на субјектите на лични податоци, и др.
5. Проценка на влијанието на заштитата на личните податоци
Кога при користење на нови технологии за некој вид на обработка, според природата, обемот, контекстот и целите на обработката, постои веројатност истата да предизвика висок ризик за правата и слободите на физичките лица пред да биде извршена обработката, контролорот е должен да изврши проценка на влијанието на предвидените операции на обработката во однос на заштитата на личните податоци. Една проценка може да сe однесува на серија слични операции на обработка, кои претставуваат слични високи
ризици.
Проценката на влијанието врз заштитата на личните податоци се бара особено во случај
на:
(а) систематска и сеопфатна оценка на личните аспекти кои се поврзани со физички лица, која се заснова на автоматска обработка, вклучувајќи и профилирање, а врз основа на која се донесуваат одлуки кои произведуваат правно дејство во врска со физичкото лице или значително влијаат на физичкото лице;
(б) обемна обработка на посебните категории на лични податоци или на лични податоци поврзани со казнени осуди и казнени дела; или
(в) систематско набљудување на јавно достапни простори во големи размери.
Кога при користење на технологии за некој вид на обработка, земајќи ги предвид природата, обемот, контекстот и целите на обработката на лични податоци, постои веројатност истата да предизвика висок ризик за правата и слободите на физичките лица, контролорот ја известува Агенцијата.
Агенцијата води електронска евиденција на збирки на лични податоци чијашто обработка е со висок ризик во која се содржани податоците од известувањата примени во согласност со одредбите на овој член.
6. Офицер за заштита на личните податоци
Новиот закон за заштита на личните податоци му дава повеќе права и обврски на oфицерот за заштита на личните податоци и со тоа дополнително ја зајакнува неговата улога во процесот на обработка на личните податоци.
Новина во законот е тоа што се воведува можност една група на правни лица да може да определат еден офицер за заштита на личните податоци, под услов офицерот да биде лесно достапен за секое правно лице.
Друга новина која е предвидена во законот е офицерот да се определи врз основа на неговите стручни квалификаци, стручни знаења за законодавството од оваа област и практиките.
Офицерот за заштита на личните податоци може да биде вработен кај контролорот (како и во стариот закон), но со новиот закон е предвидено дека може да ги извршува работите врз основа на договор за услуги.
Со оглед дека е потребно офицерот да има одредени познавања од оваа област, Агенцијата треба да организира обуки за офицери како би можело да се обезбеди дека тие лица ќе ги имаат неопходните вештини и експертиза.
7. Прекршоци
За разлика од стариот закон за заштита на личните податоци, каде што беа предвидени прекршоци во фиксни износи за определен прекршок, или пак во определен опсег (од-до), во новиот закон се предвидени прекршочни одредби систематизирани во 2 категории, зависно од тежината на прекршокот, како и посебни прекршочни одредби за видео надзор, при што предвидени се глоби зависно од вкупниот годишен приход.
7.1. Прекршоци од I категорија – полесни прекршоци, таксативно наброени во законот
Глоба во износ до 2% од вкупниот годишен приход на контролорот или обработувачот правно лице, (изразена во апсолутен износ) остварен во деловната година што и претходи на годината кога е сторен прекршокот или од вкупниот приход остварен за пократок период од годината што му претходи на прекршокот, доколку во таа година правното лице започнало да работи.
Глоба во износ од 300 до 500 евра во денарска противвредност ќе му се изрече на
одговорното лице во правното лице за сторениот прекршок.
7.2. Прекршоци од II категорија – потешки прекршоци, таксативно наброени во законот
Глоба во износ до 4% од вкупниот годишен приход на контролорот или обработувачот – правно лице, (изразена во апсолутен износ) остварен во деловната година што и претходи на годината кога е сторен прекршокот или од вкупниот приход остварен за пократок период од годината што му претходи на прекршокот, доколку во таа година правното лице започнало да работи.
Глоба во износ од 300 до 500 евра во денарска противвредност ќе му се изрече на одговорното лице во правното лице за сторениот прекршок.
7.3. Прекршоци – видео надзор
Глоба во износ од 1.000 до 10.000 евра во денарска противвредност ќе му се изрече за прекршок на правно лице – контролор, ако врши видео надзор спротивно на одредбите од овој закон.
Глоба во износ од 100 до 500 евра во денарска противвредност, ќе му се изрече на одговорното лице во правното лице за сторениот прекршок.
8. Акти
Со оглед на комплетната реформа во легислативата во оваа област, несомнено се наметна и обврската за изготвување на комплетно нови акти од страна на контролорите и обработувачите, како што се нови правилници, изјави, извештаи, обрасци и сл., кои што задолжително треба да бидат изготвени и да се водат согласно новиот закон, како и да се применуваат при обработката на личните податоци.
