Офицерот за заштита на личните податоци (во понатамошниот текст ОЗЛП) игра клучна улога во воспоставувањето и одржувањето на системот за заштита на личните податоци кај трговски друштва, непрофитни организации, државни органи или поединци кои користат лични податоци на физички лица за свои (комерцијални) цели т.н. контролори или користат лични податоци на физички лица за потребите и целите на контролорите, односно обработувачи.
ОЗЛП е контакт точка за сите прашања поврзани со личните податоци, без разлика дали тие доаѓаат од раководството на компанијата/институцијата, од граѓаните, односно субјектите на лични податоци или од Агенцијата за заштита на личните податоци.
Поради ваквата експонираност, сите кои на каков било начин дошле во допир со прописите за заштита за личните податоци се сретнале со функцијата ОЗЛП. И покрај ова, често во јавноста постојат недоразбирања за тоа кои институции и компании треба да назначат ОЗЛП, кој може да биде ОЗЛП, кои се неговите задачи, која е неговата одговорност, итн. Во оваа насока, оваа статија дава одговор на најчесто поставуваните прашања околу ОЗЛП, а со цел промоција и унапредување на заштитата на личните податоци на граѓаните.
Кои компании и институции имаат обврска да определат ОЗЛП?
Обврската за определување на ОЗЛП беше за прв пат воспоставена со измените од 2010 година на стариот Закон за заштита на лични податоци, што значи дека оваа обврска постои во нашата држава повеќе од 11 години. Со донесување на новиот Закон за заштита на личните податоци, обврската за определување на ОЗЛП остана, но претрпе значителни промени, а во насока на усогласување со Општата регулатива за заштита на податоци, попозната како ОРЗП или GDPR.
Со стапување во сила на новиот Закон во август 2021 година, за одредени компании престана да важи обврската да определат ОЗЛП, додека пак за други започна да важи.
Општо гледано, со стапување во сила на новиот Закон за заштита на лични податоци се намали бројот на компании кои се должни да определат ОЗЛП. Ова е од причина што во новиот Закон, обврската за определување на ОЗЛП зависи единствено од основната активност на компанијата и обемот на обработка на лични податоци. Поради ова, може да се случи една компанија со големи приходи и голем број на вработени да не подлежи на обврската за назначување на ОЗЛП.
Согласно новиот Закон, бројот на вработени повеќе не е одлучувачки фактор за обврската за определување на ОЗЛП. Бројот на вработени беше критериум за определување на ОЗЛП согласно стариот Закон, имено секоја компанија која имаше повеќе од 10 вработени беше должна да определи ОЗЛП, без разлика на обемот на обработка на лични податоци.
Вреди да се напомене и дека, со новиот Закон, здруженијата основани заради политички, филозофски, верски или синдикални цели, повеќе не се изречно ослободени од обврската за определување ОЗЛП, како што беше тоа со стариот Закон. За овие здруженија сега важат општите правила за определување на ОЗЛП.
Кога зборуваме за општите правила, според актуелниот закон постојат три случаи кога важи обврската за определување на ОЗЛП, и тоа кога:
– обработката на лични податоци се врши од страна на државни органи;
– основните активности на обработката поради својата природа, опсег и/или цели, бараат во голема мера редовно и систематско следење на субјектите на лични податоци; или
– основните активности се состојат од обемна обработка на посебни категории на лични податоци или личните податоци се поврзани со казнени осуди и казнени дела.
Согласно горенаведеното, офицер се должни да определат сите органи на државната власт и други државни органи основани согласно со Уставот и со закон, институциите кои вршат дејности од областа на образованието, науката, здравството, културата, трудот, социјалната заштита и заштитата на детето, спортот, како и во други дејности од јавен интерес утврден со закон, а организирани како агенции, фондови, јавни установи и јавни претпријатија основани од државата или од општините.
Кога станува збор за компаниите, најголем дел потпаѓаат под вториот случај, односно нивните основни активности бараат редовно и систематско следење на субјектите на лични податоци. Притоа, за основна активност на компанијата се смета нејзината примарна деловна активност. Ова значи дека, ако компанијата редовно обработува лични податоци за остварување на својата примарна деловна активност, тогаш таа компанија е должна да определи ОЗЛП.
Примери на деловни активности каде по правило е присутна редовна обработка на лични податоци се: трговија на мало (физичка и електронска), маркетинг активности (директен маркетинг, бонус картички, наградни игри…), посредување, достава и поштенски услуги, туристички услуги, услуги за сместување, финансиски, правни, сметководствени, енергетски, здравствени услуги, итн.
Поради развојот на технологијата, дури и при вршење на деловни активности каде по правило не е присутна обемна обработка на лични податоци, како што се производството и трговијата на големо, сѐ почесто се обработуваат големи збирки на лични податоци преку разни алатки, како што се алатките за управување со клиенти (Customer Management Relationship).
Од друга страна, обработка на лични податоци за други секундарни цели, која исто така може да биде постојана, не е клучен фактор околу обврската за определување на ОЗЛП. Во оваа насока, обработката на личните податоци за човечки ресурси е секундарна функција и доколку една компанија врши обработка на лични податоци исклучиво за потребите на сопствените човечки ресурси, а не за својата основна дејност, за оваа компанија би можела да не важи обврската за определување на ОЗЛП. Повторно треба да се напомене дека, согласно новиот Закон, бројот на вработени повеќе не е одлучувачки фактор за обврската за определување на ОЗЛП, за разлика од стариот Закон.
Сепак, доколку се врши обработката на лични податоци за други секундарни цели, а притоа таа обработка е посебно уредена во законот, како што е на пример видео надзорот, GPS следење, пренос на лични податоци во странство, итн. препорачливо е да се определи ОЗЛП – не поради законска обврска, туку поради полесно усогласување со другите специфични обврски како што се водење на збирките, периодична оценка, технички и организациски мерки, итн.
Во секој случај, и одлуката да се определи и одлуката да не се определи ОЗЛП со себе носат одредени последици, па поради тоа овие одлуки треба се резултат на детална анализа на сите околности. Дополнително, доколку по носење на одлуката настанат промени во работењето на компанијата, соодветно треба да се преиспита ваквата одлука.
Одлуката да не се определува ОЗЛП, согласно принципот на отчетност, треба да биде документирана, односно поткрепена со документи, од кои во секое време ќе може да се покаже усогласеноста со законот.
Од друга страна, Одлуката со која се определува ОЗЛП треба да се чува во архивата на компанијата/институцијата, а може и да се достави до Агенцијата за заштита на личните податоци, која води евиденција на ОЗЛП. Исто така, контакт податоците за ОЗЛП треба да бидат јавно објавени од компанијата/институцијата, која исто така треба да ја извести Агенцијата за заштита на личните податоци со соодветен допис, кој допис треба да содржи назив и седиште на компанијата/институцијата, име и презиме на ОЗЛП и електронска пошта и телефонски број на ОЗЛП.
Кој може да биде поставен за ОЗЛП?
Одговорот на ова прашање е даден во Законот за заштита на личните податоци, кој предвидува дека ОЗЛП може да биде лице кое:
– ги исполнува условите за вработување,
– активно го користи македонскиот јазик,
– во моментот на определувањето со правосилна судска пресуда не му е изречена казна или прекршочна санкција забрана за вршење на професија, дејност или должност,
– има завршено високо образование и
– има стекнати знаења и вештини по однос на практиките и прописите за заштита на личните податоци, согласно законските одредби.
Често се случува помеѓу вработените кај контролорот/обработувачот да нема лице со високо образование или пак лице со знаење во однос на прописите за заштита на личните податоци, па затоа законот остава можност и надворешно лице да биде поставено за ОЗЛП, а врз основа на договор за услуги.
Без разлика дали за ОЗЛП е определено внатрешно или надворешно лице, тоа лице може да врши и други задачи и должности, сѐ додека тие задачи не доведуваат до судир на интереси со неговите задачи како ОЗЛП. Лица кои по дефиниција не можат да бидат назначени за ОЗЛП поради судир на интереси се раководството на компанијата/институцијата (управител, директор, управен одбор, итн.), администраторот на информацискиот систем, како и надворешните лица кои се обработувачи, како сметководители, доставувачи, итн.
Важно е ОЗЛП да биде независен во извршување на своите задачи како ОЗЛП, и за тоа да одговара директно пред највисокото раководно ниво на компанијата/институцијата. Поради ова, доколку се работи за внатрешен ОЗЛП, се препорачува лицето да не биде вработено на хиерархиски најниските работни места, ниту пак да доаѓа во секојдневен допир со лични податоци.
Во пракса често се поставува прашањето дали е потребна согласност од вработениот за тој да биде поставен за ОЗЛП, како и дали тој однос треба да се уреди со посебен договор помеѓу компанијата/институцијата и ОЗЛП. Овие прашања не се уредени во Законот за заштита на личните податоци, па затоа останува да се уредат од случај во случај согласно околностите.
Кои се задачите на ОЗЛП?
Основната задача на ОЗЛП е да ја следи внатрешната усогласност на компанијата/институцијата со прописите за заштита на личните податоци, да ја информира и советува компанијата/институцијата во однос на исполнувањето на обврските за заштита на личните податоци, да ја советува компанијата/институцијата околу примените барања од граѓаните, да дава совети во врска со процената на влијанието врз заштитата на личните податоци и да дејствува како контакт точка за граѓаните и Агенцијата за заштита на личните податоци.
По правило, ОЗЛП треба да е независен експерт со кој може да се консултира ракoводството на контролорот, вработените, субјектите и Агенцијата. Улогата на ОЗЛП е исклучително важна кај технолошки напредни контролори, кои ги користат најновите технологии за обработка на лични податоци, како на пример автоматско донесување на поединечни одлуки, профилирање, вештачка интелигенција, системи за мерење на ефикасноста на вработените, програми за разликување човек од машина (CAPTCHA), итн.
Имајќи ја предвид сериозноста на прекршоците од областа на заштита на личните податоци, во интерес на самата компанија/институција е да има ОЗЛП кој е независен експерт, кој постојано го следи развојот на технологијата, како и промените во прописите од оваа област. Во оваа насока, бидејќи брзо се менува технологијата, а со тоа и најдобрите практики за заштита на личните податоци, компанијата/институцијата треба да му овозможи на ОЗЛП редовно да следи обуки организирани од Агенцијата за заштита на личните податоци или од други експерти во областа.
И покрај сериозноста на задачите кои ги извршува ОЗЛП, крајната одговорност за усогласеност со Законот за заштита на личните податоци лежи кај компанијата/институцијата. Согласно Законот, ОЗЛП не е лично одговорен за усогласеноста на компанијата/институцијата со прописите за заштитата на личните податоци. Во оваа насока, улогата на ОЗЛП е консултативна, а конечната одлука ја носи компанијата/институцијата.
Кога зборуваме за улогата и задачите на ОЗЛП, треба да се направи разлика помеѓу ОЗЛП и администраторот на информацискиот систем. Општо гледано, администраторот на информацискиот систем има потесно и потехничко поле на дејствување, имено, се работи за овластено лице за сигурност на информацискиот систем. Улогата на администраторот не е уредена директно во Законот за заштита на личните податоци, бидејќи се јавува како практична потреба само кај одредени контролори кои имаат сложен информациски систем.
Поради ова, правата, обврските и одговорностите на администраторот дополнително се уредуваат во подзаконските акти на контролорот/обработувачот. Сепак, најчесто администраторот нема консултативна улога, туку улога на извршување на одлуките и тоа од технички аспект, што најчесто вклучува доделување и повлекување привилегии за пристап до информацискиот систем, управување со лозинки, клучеви за енкрипција/декрипција, клучеви за сервер соба, бришење на податоци од електронски систем, блокирање на пристап до несуштински веб страници, итн.
Автор: Дамјан Гроздановски, адвокат во адвокатска канцеларија Чакаровска
