Транспарентно и точно со личните податоци

Правата што ги уживаат граѓаните согласно Законот за заштита на личните податоци можат да ги остварат компаниите во конкретни, претходно дефинирани ситуации   

Автор: Елена Стојановска, консултант за заштита на лични податоци

Новините во регулативата за заштита на приватноста во голема мера произлегуваат од развојот на информатичката технологија, зголемената употреба на интернетот, како и развојот и дигитализацијата во работните процеси на бизнисите. Потребата за граѓаните да имаат поголема контрола над она што се случува со нивните лични податоци е една од клучните причини за носењето на GDPR (General Data Protection Regulation 2016/679) и неговото транспонирање во националните закони за заштита на личните податоци.

Компаниите често го добиваат впечатокот дека Законот за заштита на личните податоци дава само права за граѓаните, а исто толку обврски за компаниите. Овој впечаток е сосем точен, но ако се земе предвид дека ова е закон со кој се заштитува едно од основните човекови права, тој е и оправдан. Сепак, правата што ги уживаат граѓаните согласно Законот за заштита на личните податоци можат да ги остварат во конкретни, претходно дефинирани ситуации.

За лесно и ефикасно остварување на правата, компаниите треба да подготват електронски обрасци кои ќе се користат за поднесување барања од субјектите.

Право на информирање

Компаниите имаат обврска да го почитуваат правото на информирање и да обезбедат јасна информација до сите лица што се јавуваат како субјекти на лични податоци (вработени, потрошувачи, клиенти, корисници, учесници во наградни игри и слично). Информацијата што треба да им биде дадена на субјектите на личните податоци треба да вклучува детали за сите аспекти на обработката на податоците, и тоа: идентитетот и контакт-податоци на компанијата, контакт-податоци за офицерот за заштита на личните податоци, целите и правната основа за обработката, корисници на кои личните податоци се даваат, роковите на чување, пренос на податоците и известување за начините за остварување на правата на субјектот.

Информацијата треба да биде достапна на начин на кој субјектите лесно ќе можат да пристапат до неа. Информацијата може да биде објавена електронски (на веб-страницата на компанијата или испратена по електронска пошта), да биде дадена писмено, како составен дел од договорите со субјектите на личните податоци, но и на барање на субјектот на лични податоци.

Со ова компанијата демонстрира дека го почитува начелото на транспарентност за обработката на личните податоци.

Право на пристап до личните податоци

Компаниите треба да му обезбедат на секој заинтересиран субјект право на пристап до неговите лични податоци. Субјектот има право да добие информации за: целите на обработката, видови лични податоци кои се обработуваат, корисници на кои личните податоци се даваат на користење, рок на чување, правото на исправка или бришење, ограничување на обработка, приговор, право да поднесе барање до Агенцијата за заштита на личните податоци, постоење автоматизиран процес на одлучување, вклучувајќи и профилирање. На барањето за пристап, компаниите треба да ги преземат сите потребни активности со цел да одговорат во рок од 30 дена од приемот на барањето.

Со ова компанијата демонстрира дека го почитува начелото на транспарентност за обработката на личните податоци.

Компанијата не може да врши понатамошна обработка на личните податоци, освен ако постојат релевантни легитимни интереси кои преовладуваат над интересите, правата и слободите на субјектот, на личните податоци.

Право на исправка

Доколку при остварувањето пристап субјектот забележи дека неговите лични податоци се неточни или непотполни, има право да побара нивна исправка и надополнување. Во овој случај, компанијата е должна без непотребно одлагање, а во рок од најмногу 15 дена, да овозможи исправка на неточните податоци и дополнување на непотполните податоци.

Со ова компанијата демонстрира дека го почитува начелото на точност на личните податоци што ги обработува.

Право на бришење

Субјектот на личните податоци има право да побара од компанијата да ги избрише неговите лични податоци во случаите кога:

• се исполнети целите заради кои се обработени;
• ако е повлечена согласноста, а притоа нема друг правен основ за натамошна обработка;
• ако субјектот приговара на обработката на податоците;
• ако личните податоци биле незаконски обработени;
• заради почитување законска обврска на компанијата;
• ако податоците биле собрани во врска со понуда на услуги на информатичко општество.

Компанијата има обврска да ги избрише податоците во рок од 30 дена од поднесување на барањето за бришење и да го извести субјектот за преземените дејствија.

Право на oграничување на обработката

Субјектот на личните податоци може да бара ограничување (блокирање) на обработката на податоците во случаи кога:

• ја оспорува нивната точност;
• обработката е незаконита, а субјектот се противи на бришење на податоците;
• податоците веќе не ѝ се потребни на компанијата, но потребни му се на субјектот за остварување на неговите правни барања;
• кога субјектот вложил приговор, па се чека исходот од приговорот.
• кога е ограничена обработката, податоците само се чуваат и не се обработуваат понатаму.

Право на преносливост

Субјектот на личните податоци има право да ги добие своите лични податоци во структуриран, вообичаено користен и читлив формат и да ги пренесе на друга компанија. Ова право е применливо кога се врши обработка врз основа на согласност или договор и кога обработката се врши со автоматизирани средства.

Право на приговор

Субјектот на личните податоци има право да поднесе приговор врз основа на конкретна ситуација поврзана со него и која се заснова на:

• јавен или легитимен интерес, вклучувајќи и профилирање;
• oбработката на личните податоци се врши за цели на директен маркетинг и профилирање поврзано со директниот маркетинг;
• обработката на личните податоци се врши за цели на научни или историски истражувања или за статистички цели.

Компанијата не може да врши понатамошна обработка на личните податоци, освен ако постојат релевантни легитимни интереси кои преовладуваат над интересите, правата и слободите на субјектот, на личните податоци.

Автоматско донесување поединечни одлуки и профилирање

Субјектот на личните податоци има право да бара да не биде предмет на одлука заснована единствено на автоматска обработка на податоци, врз основа на профилирање. Компанијата не смее да донесе таква одлука ако субјектот писмено побарал да не се донесе таа. Пример за ова е користењето картички за лојалност за кои потрошувачите можат да остават или само основни свои податоци за контакт или ако се согласат, можат да дадат и дополнителни информации за нивните навики, интереси и потреби врз основа на кои трговците ќе им доставуваат персонализирани реклами.  

Ова не се однесува на одлуки кои се засноваат на договор, закон или согласност. Ако одлуката се заснова на договор или согласност, субјектот има право да бара да биде обезбедена човечка интервенција, да бара да се преиспита одлуката и да изрази личен став.

Начини на остварување на правата

Со цел лесно и ефикасно остварување на правата, компаниите треба да подготват обрасци кои ќе се користат за поднесување барања од страна на субјектите. Обрасците треба да бидат достапни електронски, а нивната содржина треба да ги вклучува информациите за:

• Име и презиме на барателот;
• Категорија на субјект – вработен, клиент, потрошувач, учесник во наградна игра, посетител на веб-страница и слично;
• Право кое бара да го оствари;
• Законските услови под кои може да биде остварено правото (дадени погоре во текстот);
• Опис на барањето;
• Информации за рокот во кој контролорот е должен да постапи (дадени погоре во текстот);
• Контакт-податоци за офицерот за заштита на личните податоци.

Компанијата има обврска да достави информација за преземените активности во рок од еден месец, а ако не го стори тоа, има обврска да го извести субјектот за причините за непреземање активности и за можноста субјектот да поднесе барање до АЗЛП, како и за можноста за користење судска заштита.