Professional Documents
Culture Documents
за ОФИЦЕРИТЕ за заштита
на личните податоци
Издавач
Дирекција за заштита на личните податоци
Автор на прирачникот
Маријана Марушиќ Кос
Лектура
Дијана Ристова
Дизајн и печатење
Пропоинт
Тираж
1000 примероци
2
СОДРЖИНА
Листа на кратенки____________________________________________________________ 5
ВОВЕДЕН ДЕЛ_______________________________________________________________ 6
1. Концепт за приватност и заштита на личните податоци_______________________ 6
2. Значење и дефиниции на термините употребени во Прирачникот______________ 6
3. За кого е наменет и која е целта на Прирачникот?____________________________ 8
ГЛАВЕН ДЕЛ_________________________________________________________________ 9
4. Како е сега поставена функцијата ОЗЛП?____________________________________ 9
4.1. Во земјите членки на ЕУ__________________________________________________ 9
4.2. Кај нас________________________________________________________________ 10
5. Какви обврски наметнува Регулативата?___________________________________ 11
5.1. За земјите членки на ЕУ_________________________________________________ 11
5.2. Кај нас________________________________________________________________ 12
6. Како ќе биде регулирано назначувањето на ОЗЛП?__________________________ 12
6.1. Задолжително назначување на ОЗЛП______________________________________ 13
6.2. ОЗЛП - вработен или ангажиран кај контролорот___________________________ 14
6.3. Еден ОЗЛП за повеќе контролори_________________________________________ 14
6.4. Обврска за објавување на податоците за контакт со ОЗЛП____________________ 14
6.5. Обврска за тајност и доверливост на податоците___________________________ 15
7. Кои професионални стандарди ќе ги исполнува новиот ОЗЛП?________________ 15
7.1. Профил на ОЗЛП_______________________________________________________ 16
7.2. Позиција и статус на ОЗЛП_______________________________________________ 17
7.3. Препораки за контролори со различна големина___________________________ 21
8. Кои ќе бидат задачите на новиот ОЗЛП?___________________________________ 22
8.1. Информирање_________________________________________________________ 22
8.2. Следење на усогласеноста со прописите__________________________________ 22
8.3. Подигнување на свеста_________________________________________________ 23
8.4. Обуки за вработените___________________________________________________ 23
8.5. Давање совети и препораки на контролорот_______________________________ 23
8.6. Вршење ревизии/контроли/проверки____________________________________ 24
8.7. „Data Protection Impact Assessment“_______________________________________ 24
8.8. Соработка со ДЗЛП и делување како контакт точка за ДЗЛП__________________ 25
8.9. Пристап базиран на ризик_______________________________________________ 25
9. Алатки за зајакнување на функцијата ОЗЛП________________________________ 25
9.1. Овој Прирачник________________________________________________________ 25
9.2. Катче за офицери (DPO Corner)___________________________________________ 26
9.3. Мрежа на офицери_____________________________________________________ 26
9.4. Е-форуми (е-конференции)______________________________________________ 26
3
9.5. Здружение на офицери_________________________________________________ 27
9.6. Курикулум за нови обуки________________________________________________ 27
9.7. Комуникациска стратегија_______________________________________________ 27
9.8. „Денови на информираност“_____________________________________________ 27
ПОСЕБЕН ДЕЛ______________________________________________________________ 28
10. Права и обврски______________________________________________________ 28
10.1. Права на субјектите на лични податоци___________________________________ 28
10.2. Обврски на контролорот_______________________________________________ 29
10.2.1. Почитување на начелата за заштита на личните податоци___________________ 29
10.2.2. Законитост на обработката на личните податоци___________________________ 30
10.2.3. Tехнички и организациски мерки за тајност и заштита на податоците_________ 32
10.2.4. Известување за збирките на лични податоци______________________________ 32
10.2.5. Почитување на правилата за видео надзор________________________________ 32
10.3. Нова обврска - Известување за повреда на личните податоците______________ 33
11. Aктивности на ОЗЛП___________________________________________________ 35
11.1. За информирање на субјектите за нивните права__________________________ 35
11.2. За исполнување на обврските на контролорот_____________________________ 35
11.3. За подигнување на свеста кај контролорот________________________________ 35
4
ЛИСТА НА КРАТЕНКИ
5
ВОВЕДЕН ДЕЛ
5 Лице кое може да се идентификува е лице чиј идентитет може да се утврди директно или индиректно,
врз основа на матичен број на граѓанинот или врз основа на едно или повеќе обележја специфични за
неговиот физички, физиолошки, ментален, економски, културен или социјален идентитет.
6 Во ЗЗЛП нема дефиниција за терминот офицер за заштита на личните податоци. Дефиницијата е изведена
врз основа на член 26-а од ЗЗЛП.
7
3. За кого е наменет и која е целта на Прирачникот?
11 Во Прирачникот многу често се користи терминот функција ОЗЛП. Под овој термин се подразбира збир
на работни задачи на ОЗЛП содржани во ЗЗЛП/Регулативата и пресликани во актот со кој се определува/
назначува ОЗЛП и во описот на работното место на ОЗЛП.
12 Пример: Сојузна Република Германија, Република Франција, Кралството Холандија, Унгарија, Република
Полска, Република Хрватска
13 Пример: Република Чешка, Грција, Романија
9
ОЗЛП14, а некои оваа функција ја поставуваат на доброволна основа15. Некои од нив ги
дефинираат профилот, позицијата и обврските на ОЗЛП. Притоа, може да се констатира
дека секој национален закон внесува свои специфичности во нивното дефинирање.
Но, и покрај специфичностите што ги внесуваат националните закони, за извршување
на оваа функција, во основа се бара:
• соодветната стручност и доверливост при извршување на обврските,
• независност во извршување на обврските,16
• обезбедување усогласеност на работењето на контролорот со националниот Закон
за заштита на личните податоци и со релевантни одредби во други прописи.
17 Задачите на ОЗЛП се таксативно наброени во член 26-а: учествува во донесувањето одлуки поврзани
со обработката на личните податоци, како и со остварувањето на правата на субјектите на личните
податоци; ја следи усогласеноста со Законот и со прописите донесени врз основа на Законот, што се
однесуваат на обработката на личните податоци, како и со внатрешните прописи за заштита на личните
податоци и со документацијата за техничките и организациските мерки за обезбедување тајност и
заштита на обработката на личните податоци; ги изработува внатрешните прописи за заштита на
личните податоци и документацијата за техничките и организациските мерки за обезбедување тајност
и заштита на обработката на личните податоци; ја координира контролата на постапките и упатствата
утврдени во внатрешните прописи за заштита на личните податоци и во документацијата за техничките и
организациските мерки за обезбедување тајност и заштита на обработката на личните податоци; предлага
обука на вработените во врска со заштитата на личните податоци и врши други работи утврдени со закон
и со прописите донесени врз основа на Законот, како и со внатрешните прописи за заштита на личните
податоци и со документацијата за техничките и организациските мерки за обезбедување тајност и заштита
на обработката на личните податоци.
18 Слобода на институциите, бизнис заедницата и поединците на една држава да иницираат соработка со
институциите, бизнис заедницата и поединците на други држави.
11
земjите членки на ЕУ кои се во спротивност со нејзините одредби, да бидат укинати.
Деталното и унифицирано регулирање на улогата и задачите на ОЗЛП во сите земји
членки на ЕУ, со сигурност ќе обезбеди зајакнување на неговата позиција.
ОЗЛП ќе стане клучна фигура преку која контролорот ќе ја обезбедува и
докажува, но и ќе ја демонстрира усогласеноста на неговото работење со
прописите за заштита на личните податоци.
На 13 декември 2016 година, Работната група 2919 (РГ 29) усвои „Насоки за
офицерите за заштита на лични податоци“ чија главна цел е да се појасни
оддел 4 односно членовите 37, 38 и 39 од Регулативата, со што ќе им се помогне
на контролорите во земјите членки на ЕУ полесно да ги имплементираат истите.
Најрелевантните појаснувања и препораки од овие насоки се изнесени во
продолжение на овој Прирачник.
5.2. ЗА НАС
Нашата земја како кандидат за членство во ЕУ, односно земја која чека датум за
почеток на пристапни преговори за интегрирање во ЕУ има обврска да ја транспонира
регулативата во националното законодавство и да ја имплементира во пракса.
Обврската за нејзино транспонирање треба да се заврши што поскоро,
а новото законско решение да предвиди транзициски период од најмалку
една година за отпочнување на примена односно за имплементација на
транспонираните одредби.
Регулативата утврдува кои контролори имаат обврска да назначат ОЗЛП, кој може
да биде назначен како ОЗЛП и можност еден ОЗЛП да биде назначен да ја врши оваа
функција за повеќе контролори.
Во продолжение е елаборирана одредбата од регулативата за назначување на ОЗЛП20,
со појаснувања и препораки дадени во „Насоките за офицерите за заштита на личните
податоци“ на РГ 29 (Насоките на РГ 29).
25 Во приватниот сектор, две или повеќе помали компании (со помал број вработени или со помал квантитет
на операции на обработка на податоци) кои фукционираат поврзано во одредена групација, да може да
назначат еден ОЗЛП. Притоа, тој да биде ангажиран врз основа на договор за давање услуги.
26 Во јавниот сектор, два или повеќе јавни органи или тела (со помал број вработени или со помал квантитет
на операции на обработка на лични податоци) кои немаат сложена организациска структура, да може да
назначат еден ОЗЛП. Притоа, тој да биде ангажиран врз основа на договор за давање услуги.
14
Препорака на РГ 29 е надзорниот орган (ДЗЛП) да биде информиран за името
на ОЗЛП и податоците за контакт со ОЗЛП, како и истите да бидат објавени на
интернет-страницата на контролорот, во внатрешниот телефонски директориум
и внатрешната организациска шема.
27 Член 38 од Регулативата
15
7.1. ПРОФИЛ НА ОЗЛП
Персонални квалитети
• лични вештини: интегритет, иницијатива, организација,
дискреција, упорност, интерес и мотивација да ја врши оваа
функција, високо ниво на професионална етика, вештина за
развивање и имплементација на конкретна практика и за
наметнување промени кога е тоа потребно, а како најважно,
способност да ги извршува задачите, да го пренесе знаењето и да
демонстрира јасен став, но и да се наметне себеси и својот став
кога е тоа потребно;
• меѓучовечки вештини: комуникација, преговарање, разрешу-
вање конфликти.
Работно искуство
• 3 години релевантно искуство.29
28 29
28 Пожелно е ОЗЛП да има универзитетска диплома од областа на правните науки или од областа на
информатичките технологии, но сепак тоа да не е ограничувачки фактор и да може лице со универзитетска
диплома од друга област да биде назначено на оваа позиција.
29 Под релевантно искуство се подразбира искуство во имплементација на прописите за заштита на лични
податоци, како и познавање на организациската структура и функционирањето на контролорот. Доколку
отсуствува бараното искуство, контролорот да му ги овозможи на ОЗЛП потребните обуки од оваа област.
16
Сертифицирање Законска обврска за сертифицирање
на ОЗЛП, • издавање сертификат* за завршена обука за ОЗЛП како потврда
одржување и за експертското познавање на прописите и практиката во оваа
надградба на област и како услов за назначување на оваа функција.
експертското Законска обврска за одржување и надградба на експертското
познавање познавање
По назначување на функцијата:
• следење на редовни обуки организирани од страна на ДЗЛП, но
и сертифицирани обуки организирани од страна на надворешни
даватели на услуги кои имаат акредитација за давање на овој
вид услуги - домашни или од земја членка на ЕУ (професионални
организации);
• воведување нови форми на обуки како начин за самостојно
надградување преку мрежата на офицери.30
30
31 Дополнителна заштита за функцијата ОЗЛП може да се постигне доколку се предвиди претходна согласност
на ДЗЛП за отповикување/разрешување на ОЗЛП.
32 Заради различноста на организациската структура и поставеноста на секој контролор, постоењето односно
непостоењето на конфликт на интереси треба да се разгледа за секој конкретен случај. Пример: ОЗЛП не
може да биде поставен истовремено на позиција да ги утврдува целите и начините на обработка на лични
податоци
18
Поставеност кај контролорот
• Во организациската поставеност, ОЗЛП да раководи со
организациската единица за заштита на лични податоци
(доколку е воспоставена) или ако ја извршува функцијата како
едно лице да биде распореден на соодветно хиерархиско
ниво33 кое ќе гарантира негова независност и самостојност во
постапувањето, односно неговата позиција да биде поставена
на начин што ќе оневозможи какво било влијание или примање
на инструкции при извршување на задачите;
• Исклучување на можноста да биде отповикан или казнет за
извршување на своите задачи;34
• Регулирање на соработката со највисокото ниво на раководење/
менаџмент со внатрешните акти;
• Информирање на највисокото ниво на раководење/менаџмент
за важни прашања од оваа област, најмалку на квартално ниво и
одржување на тематски состаноци, секогаш кога е тоа потребно;
• Директно одговарање пред највисокото ниво на раководе-ње/
менаџмент;
• Видливост на функцијата во организациската структура;
• Регулирање на обврската на сите вработени да соработуваат со
ОЗЛП без да чекаат претходна дозвола од својот претпоставен;
• Донесување внатрешни акти со кои се уредува во кои случаи
консултацијата со ОЗЛП е задолжителна;
• Овластување на ОЗЛП за потпишување на кореспонденцијата
која се однесува на заштита на личните податоци;
• Назначувањето на заменик на ОЗЛП, со цел да се обезбеди
континуитет во извршувањето на функцијата во случај на
отсуство на ОЗЛП. За заменикот на ОЗЛП, треба да се обезбедат
истите гаранции за извршување на функцијата на независен
начин.35
Правила за спроведување на ревизии/контроли/проверки
• Раководејќи се од овластувањето на ОЗЛП за спроведување на
ревизии/контроли/проверки,36 контролорот треба да донесе
подетални правила за нивно регулирање. OЗЛП има право на
пристап до деловните простории и до системите каде што се
вршат операциите на обработка на податоци, како и обврска
за комуникација со лицата кои се обратиле поради повреда на
прописите од оваа област.
33 34 35 36
20
7.3. ПРЕПОРАКИ ЗА КОНТРОЛОРИ СО РАЗЛИЧНА ГОЛЕМИНА
Критериуми за Тешко е да се постават критериуми врз основа на кои
категоризација контролорите би се распоредиле во различни категории, во
зависност од нивната големина, бидејќи има контролори со мал
број вработени, а со голем квантитет на операции на обработка
на лични податоци или со чувствителни лични податоци, или
обратно, контролори со голем број вработени кои не вршат
други операции на обработка на податоци, освен обработката
на податоците на своите вработени.
Оттука, тешко е да се определат помалку обврски при
извршувањето на функцијата ОЗЛП кај помали контролори
во споредба со извршувањето на оваа функција кај поголеми
контролори.
Од друга страна, факт е дека малите контролори немаат доволно
човечки и финансиски ресурси за да ги исполнат законските
обврските што се однесуваат на извршувањето на оваа функција.
Затоа, идното законско решение ќе содржи одредби кои
овозможуваат и малите контролори, односно контролорите
кои имаат мал квантитет на операции на обработка на лични
податоци да ја исполнат законската обврска.
Мали контролори • Еден ОЗЛП да биде назначен за повеќе мали контролори
кои функционираат поврзано во одредена групација или
контролори кои немаат сложена организациска структура.37
• ОЗЛП да може да биде ангажиран врз основа на договор за
давање услуги.
• Доколку ОЗЛП извршува и други работни задачи, да се
обезбеди гаранција дека нема конфликт на интереси.
Големи контролори • Да назначат ОЗЛП на работно место кое е формирано за
вршење на оваа функција, и тоа со полно работно време. Ова
би подразбирало соодветно ослободување од други обврски
за да може да ги извршува задачите што произлегуваат од
функцијата ОЗЛП.
• Да се обезбедат потребни човечки и други ресурси за
извршување на функцијата ОЗЛП. Доколку обемот на
работата тоа го бара, функцијата да се извршува преку тим
раководен од ОЗЛП. Внатрешната структура на тимот, како и
задачите и обврските на секој член на тимот да бидат јасно
дефинирани.
• Контролорот да воведе „Data Protection Impact Assessment“38
- проценка на влијанието на планираните операции на
обработка на податоците врз заштитата на личните податоци,
доколку сè уште не е воспоставен ваков процес.
37 38
37 Новото законско решение да предвиди можност да биде назначен еден офицер за два или повеќе мали
контролори, (контролори со мал број вработени или со мал квантитет на операции на обработка на лични
податоци). Тој да биде ангажиран врз основа на договор за давање услуги. Во јавниот сектор на ваков
начин да постапуваат јавни органи или тела кои немаат сложена организациска структура. Во приватниот
сектор на ваков начин да постапуваат компании кои функционираат поврзано во одредена групација.
38 Во овој Прирачник е наведен и англискиот израз за процесот, бидејќи процесот секаде е познат како „Data
Protection Impact Assessment“
21
Овој Прирачник нуди неколку обрасци39 што ќе помогнат при вршењето на функцијата
ОЗЛП:
• Акт со кој контролорот определува/назначува ОЗЛП;
• Опис на работното место на ОЗЛП како составен дел на Договорот за вработување,
кој може да послужи како пример кај контролорите кои со акт за систематизација
предвидуваат посебно работно место за ОЗЛП односно со акт за внатрешна
организација предвидуваат организациска единица за заштита на личните податоци;
• Известување до ДЗЛП за определување/назначување на ОЗЛП;
• Листа за самооценување со чие пополнување на годишно ниво, ОЗЛП ќе провери
дали работи во согласност со прописите за заштита на лични податоци, ќе го следи
својот напредок во исполнувањето на обврските и ако е потребно ќе се коригира;
• Анализа на обемот на работа на ОЗЛП со чие пополнување ќе се изведе заклучок
дали обемот на работа може да се исполни во текот на работното време или за
вршење на функцијата се потребни дополнителни човечки ресурси, односно дали
обемот на работа овозможува вршење и на други работни задачи кои не се поврзани
со оваа функција во текот на работното време;
• Записник од состанок одржан меѓу ОЗЛП и организациска единица кај контролорот;
• Контролна листа за примопредавање на задачи од досегашен на нов ОЗЛП, која може
да се користи и при примопредавање на задачи од ОЗЛП на неговиот заменик.
Задачите што сега ги врши ОЗЛП во согласност со важечкиот ЗЗЛП, соодветно ќе треба
да се прилагодат на задачите пропишани во Регулативата40. Овој Прирачник детално
ги разработува задачите на ОЗЛП пропишани со Регулативата, кои соодветно
ќе се преточат во новото законско решение.
8.1. ИНФОРМИРАЊЕ
ОЗЛП ќе има обврска да ги информира субјектите на лични податоци за нивните
права, но и контролорот за неговите обврски што произлегуваат од прописите за
заштита на лични податоци.
Воедно, ОЗЛП води грижа за исполнување на правата на субјектите на лични податоци
и за обврските на контролорот. Овие права и обврски подетално се разработени во
ПОСЕБНИОТ ДЕЛ од овој Прирачник.
8.3.ПОДИГНУВАЊЕ НА СВЕСТА
Подигнувањето на свеста на вработените кај контролорот за правото за
заштитата на личните податоци ќе биде една од клучните обврски на ОЗЛП преку
која се афирмира ова право на поединецот и се едуцира контролорот за неговите
обврски што произлегуваат од прописите за заштита на личните податоци.
ОЗЛП треба да работи на изнаоѓање на што поголем број активности преку кои ќе се
делува на подигнување на свеста на вработените кај контролорот, особено оние кои се
вклучени во операциите на обработка на личните податоци.
25
9.2. КАТЧЕ ЗА ОФИЦЕРИ (DPO CORNER)
Досега воспоставената соработка со ДЗЛП е насочена кон советување на контролорите
за подобрување на нивното тековно работење и кон развој на најдобри практики на
конкретни теми. Со цел да се интензивира оваа соработка, на постојната веб-страница
на ДЗЛП ќе се воспостави Катче за офицерите (DPO Corner) како нова форма на
соработка. Пристапот до Катчето за офицери ќе биде рестриктивен, само за ДЗЛП и за
ОЗЛП.
Ефикасен ОЗЛП може да биде само оној што е добро информиран за прописите за
заштита на личните податоци и за моменталниот напредок во оваа област. Катчето
за офицери ќе послужи како платформа за размена на знаење и искуство и како
поддршка при извршувањето на нивната функција.
ОЗЛП ќе имаат пристап до ажурирани документи кои се фокусирани на нивната улога и
задачи. Документите ќе бидат дизајнирани на начин што ќе овозможи да се добие јасна
претстава за оваа функција.
На ОЗЛП ќе им бидат достапни и алатки за поддршка во извршувањето на нивните
задачи. Ова подразбира обрасци, но и презентации, кои ќе помогнат за зајакнување на
јавната свест на вработените кај контролорот или обработувачот каде што е назначен
ОЗЛП.
Катчето за офицери ќе содржи и секција посветена за актуелни настани (конференции,
семинари, обуки и состаноци) на кои ќе може да присуствуваат ОЗЛП заради
унапредување на своето знаење и вештини или заради обезбедување потребни алатки
за извршување на функцијата.
9.8.„ДЕНОВИ НА ИНФОРМИРАНОСТ“
Се препорачува организирање „Денови на информираност“ како уште една алатка за
промоција на новата улога на ОЗЛП. На „Деновите на информираност“ може да
бидат поканети раководителите на јавните органи и тела и менаџментот
на приватните компании заради нивно запознавање со профилот, позицијата и
задачите на ОЗЛП, како и условите и околностите во кои се извршува оваа функција.
Исто така, препорака е да се воспостави пракса на редовно организирање на „Денови
на информираност“.
27
ПОСЕБЕН ДЕЛ
Посебниот дел на Прирачникот ги елаборира правата на субјектите на лични
податоци и обврските на контролорот што произлегуваат од прописите за
заштита на личните податоци, како и активностите што ги презема ОЗЛП за
поефикасно остварување на правата на субјектите и исполнување на обврските на
контролорот.
48 Заради постигнување баланс меѓу правото на приватност и важноста на државниот или јавниот интерес
или општествената потреба може да се ограничат правата на субјектите на личните податоци. Со ЗЗЛП
точно е утврдено дека овие права можат да се ограничат поради: заштита на безбедноста и одбраната
на државата; откривање и гонење на сторители на кривични дела; заштита од повреда на етички правила
на одредена професија; заштита на важни економски или финансиски интереси на државата и заштита на
правата и слободите на субјектот или правата на другите физички лица.
49 Види Прилог кон Посебниот дел: Образец 14
28
10.2. ОБВРСКИ НА КОНТРОЛОРОТ
10.2.1. Почитување на начелата за заштита на личните податоци
Контролорот има обврска да постапува во согласност со начелата за заштита на
личните податоци:
• Законитост, правичност и транспарентност
За да се оцени дали обработката на личните податоци е правична, особено е
релевантна транспарентноста односно информираноста на субјектите на
личните податоци за обработката на нивните податоци. Субјектите треба да бидат
информирани за целите заради кои се собираат и обработуваат нивните лични
податоци. Обработката на личните податоци во согласност со закон подразбира
постоење на законска основа и почитување на евентуалните законски ограничувања
што произлегуваат од други закони.50
• Ограничување на целите
Личните податоци се собираат за конкретни, јасни и законски утврдени цели
и истите не смее да се обработуваат на начин што не е во согласност со тие цели.
Податоците може да се користат и за цели различни од оние за кои законски се
собрани, само ако постои законска основа за обработка на податоците и за други
цели.51
• Сведување на минимум на податоците што се обработуваат
Податоците треба да се соодветни, релевантни и не во поголем обем од она што е
потребно за исполнување на целта заради која се собрани. „Начелото на неопходност“
го ограничува обемот на податоци што може да се обработуваат, само на оние што се
неопходни за исполнување на целите заради кои се обработуваат.52
• Точност
Ова начело се однесува на квалитетот на податоците. Тие треба да бидат точни и
каде што е потребно ажурирани. Контролорот се грижи за точноста на податоците и е
должен да ги ажурира или дополни, кога е тоа потребно.53
57 Пример: Главно, во секој договор се врши обработка на личните податоци на физичките лица или
застапниците на правните лица како договорни страни (име и презиме, место на живеење, матичен број,
број на лична карта), но дали и кои други лични податоци ќе бидат обработувани зависи од предметот на
договорот и целта заради која се склучува.
58 Пример: Физичките и правните лице, органите на државната власт или други тела имаат обврска да
достават лични податоци до надлежните судовите, заради нивно изведување како доказ во судски
постапки, кога овие податоци се побарани на начин утврден со закон.
59 Пример: Во исклучителни случаи, како што се природни катастрофи, вонредна или воена состојба и
слично, овластените органи ќе имаат право да откријат одредени лични податоци (име и презиме,
локација) за да може да се пронајде или спаси одредено лице.
60 Пример: Институтот за јавно здравје и центрите за јавно здравје заради извршување на работа од јавен
интерес - навремена превенција и спречување на ширење на заразна болест, може да вршат обработка на
лични податоци на заболените лица, но и на лица со кои заболените биле во контакт.
61 Пример: Личните податоци на одреден субјект (име и презиме и телефонски број) јавно се објавени во
телефонски именик за конкретна цел – остварување контакт. Овие лични податоци кои се претходно
јавно објавени во телефонски именик, може да се обработуваат и за друга цел - за спроведување
истражување, доколку субјектот биде прашан дали се согласува да учествува во истражувањето. Притоа
ваквата обработка на личните податоци ќе се смета за легитимна, особено затоа што на ваков начин не се
загрозуваат слободите и правата на субјектот. Но, користењето на податоците од телефонскиот именик за
вршење на директен маркетинг, нема да може да се подведе под оваа законска основа, затоа што во ЗЗЛП
е експлицитно наведено дека директен маркетинг може да се врши исклучиво врз основа на изречна
согласност на субјектот на лични податоци.
31
10.2.3. Tехнички и организациски мерки за тајност
и заштита на податоците
Со цел да се исполни обврската што произлегува од ЗЗЛП и Правилникот за технички
и организациски мерки за обезбедување тајност и заштита на обработката на личните
податоци ДЗЛП,62 контролорот усвојува документација и презема технички и
организациски мерки за обезбедување сигурност и тајност при обработката на
личните податоци со кои ќе се спречи неовластен пристап, промена на податоците,
нивно неовластено откривање, случајно губење или уништување. Една од примарните
задачи на ОЗЛП е да ја следи усогласеноста на работењето на контролорот со оваа
документација.63
Овој Прирачник нуди неколку корисни обрасци64 кон документацијата за технички и
организациски мерки:
• Изјава за обезбедување тајност и заштита на личните податоци;
• Овластување за вршење обработка на лични податоци;
• Евиденција на лица овластени за вршење обработка на лични податоци;
• Евиденција за личните податоци кои се дадени на користење на корисник;
• Регистар на ризици.
66 Содржината и формата на актот што треба да биде донесен од страна на контролорот е пропишана со
Правилникот за содржината и формата на актот за начинот на вршење на видеонадзор на ДЗЛП.
67 Основа за да се воведе оваа обврска во Регулативата е член 4 став 2 од Директивата за приватност и
електронски комуникации 2002/58/EK, позната како „E-Privacy Directive“
68 Како нарушување на безбедноста/повреда на личните податоци ќе се смета: физичка, материјална или
нематеријална штета за субјектот на лични податоци, како што е губењето на контрола врз неговите лични
податоци, ограничување на неговите права, дискриминација, кражба на идентитет, измама со лажен
идентитет, финансиски загуби, нарушување на доверливоста на личните податоци или секакви други
значителни економски или социјални неповолни последици за засегнатиот субјект.
69 Пример: Контролорот ќе ја извести ДЗЛП за губење на кориснички податоци, заради што би можело да
дојде со кражба на идентитет, но нема да ја извести ДЗЛП за губење на податоци во листата со службени
телефони на вработените, бидејќи ова нарушување не претставува ризик за правата и слободите на
поединците.
33
контролорот директно ќе го извести и субјектот на лични податоци.70
Известувањето до ДЗЛП ќе ги содржи следните информации:
• опис на природата на нарушувањето/повредата и ако е можно категориите и
приближен број на засегнати субјекти и категории и приближен број на засегнати
евиденции на лични податоци;
• името и податоците за контакт на ОЗЛП или друга точка за контакт кога треба да
бидат обезбедени повеќе информации;
• опис на можни последици;
• опис на предложени или преземени мерки од страна на контролорот за справување
со нарушувањето/повредата или за намалување на негативните ефекти.
Содржината на известувањето до субјектот на лични податоци ќе биде иста, но
природата на нарушувањето/повредата треба да биде опишана на поедноставен јазик.
Известувањето ќе се врши на следниот начин:
Без непотребно одлагање и ако е изводливо, не подоцна од 72 часа откако
контролорот дознал за нарушувањето/повредата. Кога известувањето се поднесува во
рок подолг од 72 часа, кон истото треба да бидат приложени причините за доцнењето.
Обврска за документирање:
Контролорот ќе има обврска да го документира нарушувањето на безбедноста
односно повредата на личните податоци, вклучувајќи ги и фактите поврзани со
нарушувањето/повредата, последиците и преземените активности за справување со
истото. Документацијата ќе му овозможи на ДЗЛП да ја провери усогласеноста со овој
член.
Составен дел на овој Прирачник се обрасците71 - Известување до ДЗЛП и Известување
до субјектите на лични податоци. Обрасците ќе може да се применуваат откако
обврската за известување за нарушување на безбедноста/повредата на личните
податоци ќе се пропише со новиот ЗЗЛП.
За контролорите во областа на електронските комуникации, оваа обврска е
веќе предвидена со Законот за електронските комуникации.72
34
11. Aктивности на ОЗЛП
Во продолжение е дадена листа на активности што ОЗЛП ги презема во насока на
информирање на субјектите на лични податоци за нивните права, како и поефикасно
исполнување на обврските на контролорот.73
36
ОБРАЗЕЦ 1 Акт за определување/назначување на ОЗЛП
Одлука/Решение
во (назив на контролорот/обработувачот)
37
ОБРАЗЕЦ 2 Опис на работното место на ОЗЛП1
1 Овој опис на работно место е составен дел на Договорот за вработување. Во Договорот за вработување,
да биде регулирано: ослободувањето од други обврски, гарантирањето дека нема конфликт на интереси
доколку извршува и други задачи и исклучувањето на можноста да биде отповикан или казнет за
извршување на задачите.
2 Две алтернативи: Ако е назначен во сопствена организациска единица за заштита на лични податоци,
да биде поставен како раководител/менаџер на таа организациска единица; Ако е назначен во рамки на
друга организациска единица или надвор од постојните организациски единици, да биде поставен на
адекватно хиерархиско ниво кое ќе гарантира негова независнос
3 Три алтернативи: Назначување на ОЗЛП во рамки на сопствена организациска единица за заштита на
лични податоци; Назначување на ОЗЛП надвор од постојните организациски единици; Назначување на
ОЗЛП во рамки на друга организациска единица.
4 Кај алтернатива 1 и 2: Директна линија на одговарање пред највисокото ниво на раководење/менаџ-мент;
Кај алтернатива 3: Доколку е воспоставена линија на одговарање пред непосредно претпоставениот,
мора да има и директна линија на одговарање пред највисокото ниво на раководење/менаџмент
5 Под релевантно искуство се подразбира искуство во имплементација на прописите за заштита на лични
податоци, како и познавање на организациската структура и функционирањето на контролорот. Доколку
отсуствува бараното искуство, контролорот да му ги овозможи на ОЗЛП потребните обуки од оваа област
38
ОБРАЗЕЦ 2 Опис на работното место на ОЗЛП
39
Образец 3
Известување за определување/
назначување на ОЗЛП Страница 1 of 1
До
_______________________ (седиште)
1000 Скопје
Предмет:
Почитувани,
40
Листа за самооценување на ОЗЛП
Ве молам произнесете се по однос на прашањата со “да” или “не” со маркирање во првата и втората колона. Доколку одредено прашање не е
релевантно за Вашата институција/компанија/организација, Ве молам маркирајте во третата колона, а појаснете во четвртата колона. Во оваа колона,
можете и да референцирате на конкретен документ, со наведување на број и датум.
ОБРАЗЕЦ 4
Интенцијата е оваа Листа на самооценување да се пополнува на годишно ниво, на крајот од календарската година од страна на ОЗЛП, со
цел да го следи својот напредок во исполнувањето на обврските што произлегуваат од прописите за заштита на личните податоци.
Назив на Контролорот:
41
Година
Листа за самооценување на ОЗЛП
Да Не Не е релевантно Референци/појаснувања
42
9. Дали е изработена анализа на обем на работа?
контролорот?
43
согласност за обработка на личните податоци од субјектите на лични
податоци?
44
30. Дали Контролорот ја известил ДЗЛП за определувањето/назначувањето
на ОЗЛП?
Листа за самооценување на ОЗЛП
опрема;
45
32. Дали вработените се запознаени со документацијата за техничките и
организациските мерки?
Листа за самооценување на ОЗЛП
37. Дали е имплементиран процес врз основа на кој ОЗЛП без одлагање е
ОБРАЗЕЦ 4
46
41. Дали се идентификувани ризици во однос на тајноста и заштитата на
личните податоци?
Листа за самооценување на ОЗЛП
V. Ревизии/контроли/проверки
47. Дали сите наоди од извршената внатрешна контрола се отстранети? Ако одговорот е не,
да се набројат
наодите што сеуште
не се отстранети
47
50. Дали сите наоди од извршената внатрешна контрола се отстранети? Ако одговорот е не,
да се набројат
наодите што сеуште
Листа за самооценување на ОЗЛП
не се отстранети
53. Дали сите наоди од извршената надворешна контрола се отстранети? Ако одговорот е не,
да се набројат
наодите што сеуште
не се отстранети
стр. 7/11
Образец 4
информацискиот систем
- контрола на доверливоста и сигурноста на лозинките и на останатите
форми на идентификација
- контрола на начинот за пристап на вработените и ангажираните лица на
Контролорот до интернет кои се однесуваат на симнување и снимање на
документи преземени по електронска пошта и други извори
- контрола на уништување на документи кои содржат лични податоци по
истекување на рокот на чување, како и за начинот на уништување,
бришење и чистење на медиуми
- контрола на начинот на управување со медиуми кои се носители на
лични податоци
- контрола на примената на принципот на „чисто биро“
- контрола на писмените овластувања издадени од страна на одговорното
48
лице на Контролорот за вршење на обработка на личните податоци и за
пренесување на медиуми надвор од работните простории
- контрола на начинот на воспоставување физичка сигурност на работните
простории и опремата каде што се обработуваат и чуваат личните
податоци
Листа за самооценување на ОЗЛП
56. Дали сите наоди од извршените периодични проверки се отстранети? Ако одговорот е не,
да се набројат
наодите што сеуште
не се отстранети
ОБРАЗЕЦ 4
60. Дали сите повреди и неправилности од извршениот инспекциски надзор Ако одговорот е не,
се отстранети? да се набројат
наодите што сеуште
49
не се отстранети
65. Дали е предвидена постапка која обезбедува дека во случај кога се врши
директен маркетинг, субјектите на лични податоци се информирани за
нивните права?
50
67. Правен основ за обработка на личните податоци
Листа за самооценување на ОЗЛП
Образец 4
Забелешки/коментари/заклучоци
51
ОЗЛП (име и презиме)
Потпис:
Листа за самооценување на ОЗЛП
Датум:
стр. 11/11
Образец 5
Врз основа на оваа Анализа на обемот на работа на ОЗЛП треба да се изведе заклучок:
• Дали обемот на работа при вршењето на функцијата ОЗЛП може да се исполни во текот на работното време или при вршењето на оваа
функција се потребни дополнителни човечки ресурси, односно
• Дали обемот на работа при вршењето на функцијата ОЗЛП, овозможува вршење и на други работни задачи кои не се поврзани со оваа функција
во текот на работното време.
Назив на Контролорот:
52
Офицер за заштита на личните податоци:
Датум на пополнување
Анализа на обем на работа на ОЗЛП
Појаснување:
Доколку функцијата ОЗЛП ја врши едно лице, во табелата подолу треба да се внесуваат бараните параметри само за неговото
работно време, а доколку е формирана организациска единица за заштита на лични податоци, односно ако се врши функцијата
ОЗЛП од страна на повеќе лица, во табелата подолу треба да се внесуваат бараните параметри за вкупното работно време,
зависно од нивниот број.
стр. 1/4
Образец 5
Фрекфенција на
извршување на Работно
Број на
задачата: Работни време кое е
задачи/ Работно
дневно, часови по на
Работни задачи и активности неделно,
активности
задача/
време
располагање
ОБРАЗЕЦ 5
во текот на годишно
месечно, активност во текот на
годината
квартално, годината
годишно
53
3. Следење на новините во областа на заштитата на личните
податоци
9. Соработка со ДЗЛП
54
12. Иницирање на постапки пред ДЗЛП (барање на мислење,
барање за добивање на одобрение за пренос на лични податоци во
земји надвор од ЕУ и ЕЕЗ и др.)
1.
2.
55
3.
Образец 5
ВКУПНО
Анализа на обем на работа на
ОЗЛП
Работни часови
стр. 4/4
Вработени
ОБРАЗЕЦ 6 Записник од состанок
Образец 6
Записник од состанок
Записник од состанок
_________________________________ ________________________________
________________________________
56
Образец 7
ОБРАЗЕЦ 7 Контролна листа за примопредавање на задачи
Контролна листа
при примопредавање на задачи
Контролна листа
при примопредавање на задачите од досегашниот ОЗЛП на новиот ОЗЛП1
1 Оваа Контролна листа може да се користи и при примопредавање на обврски од ОЗЛП на неговиот
заменик
1 Оваа Контролна листа може да се користи и при примопредавање на обврски од ОЗЛП на неговиот
заменик
57
Образец 8
Регистар на обуки
ОБРАЗЕЦ 8
Регистар на обуки
Работно место и
Име и презиме Вид на обука Теми кои ќе бидат Кој ја спроведува Време и место
организациска единица
на вработениот опфатени со обуката обуката на одржување
во која работи
Регистар на обуки
58
Образец 9
Годишен план
за вршење на ревизии/контроли/проверки
Годишен план
ОБРАЗЕЦ 9
Известување
Спроведување
Предлог извештај
59
Конечен извештај
Известување
Спроведување
Предлог извештај
Конечен извештај
Известување
Спроведување
Предлог извештај
Конечен извештај
Годишен план за вршење на ревизии/контроли/проверки
Образец 10
Контролна листа
на подготвителни активности за спроведување ревизија/контрола/проверка
ОБРАЗЕЦ 10 Контролна листа на подготвителни активности
60
Образец 11
Извештај
за извршена ревизија/контрола/проверка
Ревизија/контрола/проверка1 број:___________
Датум на почеток на ревизијата/контролата/проверката:______________
Период во кој ќе се спроведе ревизијата/контролата/проверката:____________________
Цели на ревизијата/контролата/проверката:
1.
2.
3.
4.
5.
Табела
ОБРАЗЕЦ 12
Табела
за следење на наодите од извршени ревизии/контроли/проверки/инспекции1
Институција/компанија што ја Вид Период Наоди Корективн Препораки Одговорен за Краен рок за Преземени Статус на
спровела ревизијата/ на ревизија/ кога е и мерки исполнување исполнување активности наодот:
Ред. контролата/проверката/ контрола/ извршена на на коректив- затворен/
62
1.
2.
Табела на следење на наодите
3.
4.
5.
6.
1Во оваа Табела ќе бидат внесени наодите од ревизиите/контролите/проверките спроведени кај контролорот од страна на ОЗЛП или друга организациска единица,
но и наодите од инспекциите од ДЗЛП и контролите од надворешни компании
компании
Образец 13
Регистар
на извршени ревизии/контроли/проверки/инспекции
ОБРАЗЕЦ 13
Регистар
на извршени ревизии/контроли/проверки/инспекции1
63
Регистар на извршени ревизии/контроли/проверки/инспекции
64
Образец 14
Барање
заОБРАЗЕЦ 14 наБарање
пристап и исправка личнитеза пристап и исправка на лични податоци
податоци
БАРАЊЕ
ЗА ПРИСТАП И ИСПРАВКА НА ЛИЧНИ ПОДАТОЦИ
Одговорот во врска со точката 1 од ова барање може да ми биде доставен на следната адреса
, или e-маил адресата .
Барател, Датум
_________________ ___________________
Барател, Датум
_________________ ___________________
Напомена: Правото на субјектот на лични податоци од точка 1 од ова Барање е предвидено во член 12 од важечкиот
ЗЗЛП и контролорот е должен да одговори во рок од 15 дена од денот на приемот на барањето. Правото на субјектот на
лични податоци од точка 2 од ова Барање е предвидено во член 14 од важечкиот ЗЗЛП и контролорот е должен да
одговори во рок од 30 дена од денот на приемот на барањето.
Доколку овој образец се користи по донесување на новиот ЗЗЛП, ќе треба да се референцира на соодветните членови
65
Образец 15
Изјава
за обезбедување тајност и заштита на обработката на личните податоци
ОБРАЗЕЦ 15 Изјава за обезбедување на тајност и заштита на личните податоци
ИЗЈАВА
за обезбедување тајност и заштита на обработката на личните податоци
Потпис,
______________
66
Образец 16
1
67
Во согласност со важечкиот ЗЗЛП ова Овластување се издава врз основа на член 24, но доколку се користи
образецот по усвојување на новиот ЗЗЛП, ќе треба да се внесе членот во кој ќе биде регулирана соодветната
одредба
2
Доколку е вработен на определено време да се наведе времетраењето на Договорот за вработување
Евиденција
на лица овластени за вршење обработка на лични податоци
ЕВИДЕНЦИЈА
на лица овластени за вршење обработка на лични податоци
ОБРАЗЕЦ 17
68
1.
2.
3.
4.
5.
6.
7.
8.
Евиденција на лица овластени за обработка на лични податоци
Образец 18
Евиденција
на личните податоци кои се дадени на користење на корисник
ОБРАЗЕЦ 18
ЕВИДЕНЦИЈА
за личните податоци кои се дадени на користење на корисник
Лични податоци кои се дадени на Причина заради која личните податоци се дадени
Ред.бр. Корисник на личните податоци
користење на корисникот
1.
2.
3.
69
4.
5.
6.
7.
8.
9.
10.
Евиденција на лични податоци дадени на користење на корисник
ОБРАЗЕЦ 19
Регистар на ризици
Ризик број:
Вид на ризик (правен, репутациски...)
Име и презиме на пријавителот на ризикот
Датум на пријавување
Опис на ризикот
Регистар на ризици
70
Големина на ризикот (мал, среден или голем)
Веројатност да се појави (изразена во %)
Индикатор за појавување на ризик
Влијание на ризикот (изразено во денари)
Опис на предизвикани последици
Одговорен за последиците
Мерки за ублажување/отстранување на ризикот
Рок за преземање на овие мерки
Одговорен за мерките
Статус на мерките
Образец 20
Известување до ДЗЛП
за нарушување на безбедноста/повреда на личните податоци
Известување до ДЗЛП1
за нарушување на безбедноста/повреда на личните податоци
1) Назив на контролорот
______________________________________________
1) Назив на контролорот
______________________________________________
342.738(497.7)(035)
ISBN 978-608-4682-25-7
73
74
ПРИРАЧНИК
за ОФИЦЕРИТЕ за заштита
на личните податоци