За да ги разбереме подобро правата на граѓаните според Законот за заштита на личните податоци (ЗЗЛП), како и обврските што овој закон ги наложува спрема оние што обработуваат лични податоци, како и за да го користиме овој закон поефикасно со цел заштита на нашите лични податоци, најпрво треба да разбереме некои основни поими и начела врз кои се темели тој.
Во овој текст ќе направиме разграничување помеѓу тоа што се лични податоци, основните учесници при обработка на личните податоци, како и седумте начела врз кои се темелат прибирањето и обработката на личните податоци.
I. Основни поими
Личен податок
Според ЗЗЛП, личен податок е секоја информација што се однесува на идентификувано физичко лице или физичко лице што може да се идентификува, односно физичко лице чиј идентитет може да се утврди директно или индиректно, особено врз основа на идентификатор, како што се име и презиме, матичен број на граѓанинот, податоци за локација, идентификатор преку интернет или врз основа на едно или повеќе обележја специфични за неговиот физички, физиолошки, генетски, ментален, економски, културен или социјален идентитет. На пример, една обична адреса не претставува личен податок затоа што таа информација не е доволна за да се идентификува одредено физичко лице, за разлика од „лицето …, кое живее на адреса ул. …“ преку што може да се идентификува одредено лице и претставува личен податок (повеќе за лични податоци може да прочитате тука).
Обработка на лични податоци
Обработка на лични податоци е секоја операција или збир операции што се извршуваат врз личните податоци, или врз група лични податоци, автоматски или на друг начин, какви што се: собирање, евидентирање, организирање, структурирање, чување, приспособување или промена, повлекување, консултирање, увид, употреба, откривање преку пренесување, објавување или на друг начин правење достапни, усогласување или комбинирање, ограничување, бришење или уништување.
На пример, доколку одреден граѓанин сака да отвори трансакциска сметка во банка, тој е должен да пополни формулар со своите лични податоци за таа цел, односно банката ги собира неговите лични податоци. Понатаму, банката ги организира и ги употребува личните податоци, со цел отворање на трансакциската сметка, а доколку граѓанинот одлучи да ја затвори својата трансакциска сметка во таа банка, банката ги брише и/или ги уништува личните податоци, во согласност со своите политики. Сите овие операции претставуваат обработка на лични податоци. Од друга страна, доколку граѓанинот ги запише својот матичен број и точна адреса на живеење на лист хартија со цел подобро да ги запомни, тоа не претставува обработка на лични податоци, затоа што тие не се користат за какви било екстерни цели.
Контролор
Контролор претставува физичко или правно лице што самостојно или заедно со други ги утврдува целите и начинот на обработка на личните податоци. На пример, една фирма со повеќе вработени која собира и обработува лични податоци за вработените, клиентите и сл. има улога на контролор.
Обработувач на личните податоци
Следствено, обработувач е физичко или правно лице што ги обработува личните податоци во име на контролорот. Во погорниот пример, доколку фирмата одлучи да ги прати личните податоци собрани од вработените и од клиентите на својот сметководител, заради изготвување плати и фактури, ќе се смета дека сметководителот е обработувач на тие лични податоци.
Субјект на лични податоци
Најпосле, субјект на лични податоци е физичкото лице чии лични податоци се собираат и/или се обработуваат, односно лице што е идентификувано или може да се идентификува директно или индиректно врз основа на одредени дадени информации. Во погорните примери, субјекти на лични податоци би биле граѓанинот што сака да отвори трансакциска сметка во банка и заради тоа пополнува одреден формулар во банка, вработените во фирмата што ги дале своите лични податоци заради остварување работен однос, клиентите што ги дале своите лични податоци со цел изготвување фактури итн.
II. Начела на ЗЗЛП
Законитост, правичност и транспарентност
Законитоста претставува имање правна основа за обработка на личните податоци, односно обработката на личните податоци да е во согласност со закон. Обработка може да се врши доколку таа е потребна за исполнување договор, доколку е потребна за исполнување законска обврска, доколку е потребна за заштита на суштински интереси на субјектот на лични податоци или друго физичко лице, доколку е потребна за извршување работи од јавен интерес или јавно овластување на контролорот и доколку е потребна за целите на легитимните интереси на контролорот или на трето лице, освен кога таквите интереси не преовладуваат над интересите или над основните права и слободи на субјектот на лични податоци. На пример, фирмата што вработува (контролор) прибира и обработува лични податоци на вработениот (субјект) со цел исплата на плата (законска обврска).
Правичноста подразбира обработка на личните податоци во доволна мера во однос на утврдените цели. На пример, доколку за отворање трансакциска сметка, банката побара од граѓанинот информации какви што се пол, брачен статус или износ на примања, кои можеби би се користеле за други цели, но не и конкретно за отворање трансакциска сметка, ќе се смета дека е надмината правичноста на обработка на личните податоци.
Транспарентноста претставува обврска при обработката на личните податоци на начин што ќе им биде јасно претставен на субјектите на лични податоци, односно контролорите/обработувачите имаат обврска да ги информираат субјектите за целите и за начинот на обработка на нивните лични податоци.
Ограничување на целите
Ова начело подразбира прибирање лични податоци за конкретни, јасни и легитимни цели и обработка на тие податоци за дадените цели. На пример, доколку банката ги обработува името, презимето и матичниот број на граѓанинот исклучиво заради отворање трансакциска сметка, таа не смее понатаму да ги обработува за други цели какви што се испраќање понуди за кредити, сметање на кредитоспособност, вршење директен маркетинг итн.
Минимален обем на податоци
Ова начело подразбира прибирање и обработка на соодветни, релевантни и ограничени лични податоци во однос на целите заради кои се обработуваат. Тоа е тесно поврзано со начелата на правичност и ограничување на целите, со тоа што наложува ограничување на обемот на лични податоци при нивна обработка.
Точност
Имајќи ги предвид целите за обработка на лични податоци, ова начело подразбира прибирање и обработка на точни лични податоци и наложува нивно редовно ажурирање, коригирање или бришење доколку се сменети, неточни или нецелосни. На пример, доколку субјектот ја промени својата лична карта или адреса на живеење, обработувачите имаат обврска да го ажурираат бројот на неговата лична карта или адреса на живеење каде што е тоа релевантно.
Ограничување на рокот на чување
Со ова начело се наложува чување на личните податоци не подолго од она што е потребно за целите заради кои се обработуваат личните податоци. Личните податоци може да се чуваат подолго од нивниот рок на чување само во случаи ако се обработуваат за целите на архивирање од јавен интерес. На пример, личните податоци што се обработуваат со цел склучување работен однос, се чуваат (архивираат) и по завршување на работниот однос, во согласност со други закони од областа на трудот.
Интегритет и доверливост
Овие начела наложуваат обработка на лични податоци на начин што обезбедува соодветно ниво на безбедност на личните податоци, вклучувајќи заштита од неовластена или од незаконска обработка, како и нивно случајно губење, уништување или оштетување, со примена на соодветни технички или организациски мерки. Обработувачите имаат обврска да донесат посебни политики за безбедноста на личните податоци што ги обработуваат, како и протоколи доколку нивната доверливост е некако нарушена.
Отчетност
Ова начело се однесува на контролорите и на нивната обврска односно одговорност да ги усогласат сите гореспоменати начела во нивната работа, односно прибирање и обработка на лични податоци, и тоа да можат да го демонстрираат преку конкретно донесени политики и интерни акти.
Автор: М-р Никола Димитров
Овој текст е подготвен со поддршка на Европската Унија. Содржините во овој текст се единствена одговорност на партнерите на проектот „Техничка и интегрирана заштита на лични податоци – градење инклузивен дигитален екосистем“ и на авторот и на ниеден начин не ги одразуваaт ставовите на Европската Унија.
