Нов Закон за заштита на лични податоци - како да го спроведете

Компаниите се соочуваат со многубројни предизвици за да го усогласат своето работење со обврските од Законот за заштита на личните податоци, дел од нив се поврзани со финансиски, а дел со човечки ресурси

Автор: Елена Стојановска, консултант за заштита на лични податоци

Во февруари 2020 година донесен е новиот Закон за заштита на личните податоци, кој е усогласен со GDPR (General Data Protection Regulation). Транзицискиот период за усогласување на работењето на компаниите-контролори на збирки на лични податоци со овој закон истекува на 24 август 2021 година. Компаниите се соочуваат со многубројни предизвици за да го усогласат своето работење со обврските од овој закон, дел од нив се поврзани со финансиски ресурси кои треба да се планираат за примена на мерки за заштита, дел пак на човечки ресурси подготвени да го водат процесот на усогласување. Во продолжение ви претставуваме насоки и чекори за полесно разбирање на процесот на усогласување.

1. Правни основи и транспарентност

Спроведете анализа за тоа кои лични податоци ги обработувате

Првиот чекор во усогласувањето со Законот за заштита на личните податоци е длабинска анализа на работните процеси во текот на кои се обработуваат лични податоци и активностите за обработка што се преземаат. За да биде доволно податна и упатувачка, анализата треба да одговори на прашањата: за кои цели се обработуваат личните податоци, кои категории лични податоци се обработуваат, кој сè има пристап до личните податоци во рамките на компанијата, дали личните податоци се даваат на трета страна, што се презема за заштита на личните податоци, во кои рокови се чуваат личните податоци. По спроведувањето на анализата ќе може полесно да се идентификуваат збирките на личните податоци, да се анализираат ризиците на обработката и да се дефинираат соодветните технички и организациски мерки.  

Разберете ја и оправдајте ја правната основа за обработката на личните податоци

Обработката на личните податоци е законита кога:

• субјектот на лични податоци дал согласност за обработка на неговите лични податоци;
• обработката е потребна за исполнување на договор каде што субјектот на лични податоци е договорна страна;
• обработката е потребна за исполнување законска обврска на компанијата-контролор;
• обработката е потребна за заштита на суштинските интереси на субјектот на лични податоци;
• обработката е потребна за извршување работи од јавен интерес;
• обработката е потребна за целите на легитимните интереси на контролорот.

Доколку, на пример, за некоја обработка на лични податоци одберете согласноста на субјектот или, пак, легитимниот интерес на компанијата да биде правната основа, анализата ќе помогне во обезбедување објаснување зашто токму таа правна основа се користи.

Обезбедете јасна информација за обработката на личните податоци

Субјектите мора да бидат информирани за тоа дека нивни лични податоци се обработуваат од страна на компанијата-контролор. За да се исполни обврската за транспарентност, дел од Политиката за приватност треба да биде и Изјавата за приватност, која треба да даде информации за:

• кои се целите и правната основа на обработката на личните податоци;
• кои категории лични податоци ги обработувате;
• во кој временски период ќе се чуваат личните податоци;
• на кој начин субјектот може да ги оствари своите права на пристап, исправка или бришење на личните податоци, ограничување на обработката, правото на приговор за обработката, правото на преносливост на податоците;
• на кој начин субјектот може да ја повлече претходно дадената согласност;
• дали постои автоматизиран начин на донесување одлуки или профилирање;
• во кои случаи и на кој начин субјектот може да побара помош од Агенцијата за заштита на личните податоци.

2.Безбедност и заштита на личните податоци
Направете место за заштитата на личните податоци од почетокот на креирање на процесите и продуктите
Следењето на начелата „data protection by design“ и „data protection by default“, како и воведувањето соодветни технички и организациски мерки, е клучно за да може да гарантирате безбедност и заштита на личните податоци што ги обработувате. Ова значи дека секогаш кога ќе бидете во ситуација да почнете да обработувате лични податоци, треба прво да размислите како ќе ги заштитите. Секогаш тргнете од начелата за заштита на личните податоци:

• законитост, правичност и транспарентност – личните податоци се обработуваат во согласност со закон, во доволна мера и на транспарентен начин;
• ограничување на целите – личните податоци се собираат за конкретни, јасни и легитимни цели;
• минимален обем на податоци – личните податоци се соодветни, релевантни и ограничени на она што е неопходно во однос на целите заради кои се обработуваат;
• точност – личните податоци се точни и каде што е потребно се ажурирани;
• ограничување на рокот на чување – личните податоци се чувани не подолго од тоа што е потребно за целите поради кои се обработуваат;
• интегритет и доверливост – личните податоци се обработени на начин кој обезбедува соодветно ниво на безбедност, заштита од неовластена или незаконска обработка, случајно губење, уништување, оштетување, со примена на соодветни технички или организациски мерки.

Спроведете анализа за да може полесно да се идентификуваат збирките на личните податоци, да се анализираат ризиците на обработката и да се дефинираат соодветните технички и организациски мерки.   

Креирајте интерна политика за безбедност и заштита на личните податоци и градете култура на заштита на приватноста кај вашите вработени
Дури и тогаш кога компанијата има воведено високи стандарди за техничка безбедност, оперативната сигурност може да биде слаба алка. При креирањето на интерната политика за технички и организациски мерки особено обрнете внимание и одделно документирајте ги мерките за безбедност на лозинките, криптирањето на податоците, користењето двостепена автентикација, псевдонимизирање, обезбедување на пристапот до личните податоци, креирањето на сигурносните копии. Помогнете им на вработените да ги разберат правилата и да ги почитуваат без исклучок преку обезбедување обуки и редовно информирање.

Информирајте се во кои случаи треба да направите Процена на влијанието на заштитата на личните податоци
Процената на влијанието на заштитата на личните податоци е процес кој помага да разберете дали и на кој начин некој нов производ или сервис што го воведувате би го загрозил правото на приватност на корисниците. Агенцијата за заштита на личните податоци има објавено Листа со операции за кои е потребно да се врши процена на влијанието на заштита на личните податоци и Листа со операции за кои тоа не е потребно. Иако генералната насока е дека оваа процена се прави за обработка која може да резултира со висок ризик за безбедноста на личните податоци, препорака е секоја компанија-контролор да има воведено практика на вршење процени дури и кога обработката не е со висок ризик.

Воведете процедура за известување во случај на безбедносни инциденти
Доколку се случи безбедносен инцидент во кој личните податоци биле компромитирани, имате обврска да ја известите Агенцијата за заштита на личните податоци во рок од 72 часа од дознавањето за инцидентот. Освен известувањето до АЗЛП, треба да обезбедите информација и за субјектите чии лични податоци се предмет на безбедносниот инцидент.

3.Отчетност и добро владеење

Потпишете Договор за обработка на личните податоци со оние што во ваше име и за сметка обработуваат лични податоци
Доколку компанијата-контролор има ангажирано обработувач (компанија) кој во име и за сметка на контролорот обработува лични податоци, тоа треба да се регулира на соодветен начин. Практиката досега беше во главниот договор за услуги да се вклучат одредби кои ќе се однесуваат на правата и обврските на двете страни, а во однос на примената на технички и организациски мерки за заштита на личните податоци. Оваа практика е целосно напуштена, а обврската е односот меѓу контролорот и обработувачот да биде уреден со посебен договор за обработка на личните податоци.

Назначете офицер за заштита на личните податоци и дозволете му да си ја исполни задачата
Офицер за заштита на личните податоци треба да е стручно лице со познавања од областа, може да е вработено лице во компанијата-контролор или, пак, лице ангажирано со договор за услуги. Офицерот за заштита на личните податоци треба на соодветен начин и навремено да е вклучен во сите прашања поврзани со заштитата на личните податоци. Компанијата-контролор е должна да даде поддршка во извршувањето на работите, обезбедувајќи ги сите неопходни ресурси и пристап до личните податоци и операциите на обработка.

Обезбедете лесен начин за остварување на правата на субјектите на личните податоци
Креирајте обрасци за остварување на правата на информирање, пристап, исправка, бришење, ограничување на обработката, преносливост, исклучување од автоматско донесување одлуки и профилирање, повлекување на согласност и право на приговор. Објавете ги обрасците како составен дел од Изјавата за приватност и направете ги лесно достапни за субјектите.