Како ќе биде регулирано назначувањето на офицерот за заштита на личните податоци

Општата регулатива за заштита на личните податоци (Регулативата) утврдува кои контролори имаат обврска да назначат Oфицер за заштита на личните податоци (ОЗЛП), кој може да биде назначен како ОЗЛП и можност еден ОЗЛП да биде назначен да ја врши оваа функција за повеќе контролори.

Во продолжение е елаборирана одредбата од регулативата за назначување на ОЗЛП[1], со појаснувања и препораки дадени во „Насоките за офицерите за заштита на личните податоци“ на РГ 29 (Насоките на РГ 29).    

Обврска за назначување на ОЗЛП имаат:  

  • сите јавни органи и тела,[2] освен судовите кога делуваат во рамки на судската надлежност,[3]
  • контролорите чии главни активности се состојат од операции на обработка на лични податоци кои поради својата природа, опсег и/или цели бараат редовно и систематско следење на субјектите на лични податоци во голема мера и
  • контролорите кои обработуваат посебни категории на лични податоци или податоци кои се однесуваат на кривични пресуди или кривични дела.     

Обврската за назначување на ОЗЛП истовремено се однесува и на контролорот и на обработувачот на податоци.

Регулативата не дефинира што се подразбира под главни активности и под редовно и систематско следење на субјектите на лични податоци, ниту дефинира што се подразбира под обработка на лични податоци во голема мера.  

Во согласност со Насоките на РГ 29:

  • како јавни органи и тела треба да се сметаат и приватните компании кои вршат јавни овластувања или дејност од јавен интерес, 
  • како главни активности на контролорот се сметаат клучните операции неопходни за остварување на целите на контролорот, при што како главни активности не може исклучиво да се толкуваат активностите на контролорот во рамките на кои се врши обработка на податоци, туку и други активности од кои резултира и обработката на лични податоци,[4]
  • редовното и систематско следење на субјектите на лични податоци ги вклучува сите форми на следење и профилирање на интернет, со тоа што поимот следење не е ограничен само на онлајн околината,[5]
  • препорака на РГ 29 е да се оцени дали се врши обработка на лични податоци во голема мера или не, а притоа да се земат предвид следните фактори:
  • бројот на засегнати субјекти на лични податоци,
  • обемот на податоци кои се обработуваат, 
  • времетраење на обработката на податоците,
  • географската распространетост на обработката,
  • освен ако не е очигледно дека одреден контролор нема законска обврска да назначи ОЗЛП, препорака на РГ 29 е секој контролор да направи внатрешна анализа на релевантните фактори и критериуми со цел да се утврди дали треба да назначи ОЗЛП или не. Контролорот кој нема законска обврска да назначи ОЗЛП, сепак може да го стори тоа на доброволна основа. За контролорот кој назначил ОЗЛП на доброволна основа, ќе важат истите обврски како и за останатите контролори кои имаат законска обврска да назначат ОЗЛП.  

Регулативата утврдува дека ОЗЛП може да биде:

  • вработен кај контролорот или
  • ангажиран кај контролорот врз основа на договор за давање услуги.

Во согласност со Насоките на РГ 29, договор за давање услуги може да биде склучен со поединец или со надворешна компанија. Во вториот случај, од суштинско значење е лицата што ги нуди таа компанија, да ги исполнуваат потребните услови за да можат да ја вршат функцијата ОЗЛП, но и да бидат заштитени од можноста неосновано да им биде раскинат договорот. Исто така, врз основа на договор за давање услуги, наместо ОЗЛП како поединец, може да биде ангажиран тим на ОЗЛП, со правилна комбинација на поединечните професионални квалификации и лични вештини на членовите на тимот. Во секој случај, во тимот мора да има јасна распределба на задачите и истиот да биде раководен од едно лице.      

Регулативата дава можност за назначување на еден ОЗЛП, и тоа во следните случаи:

  • повеќе компании кои функционираат поврзано во одреден вид групација да може да назначат еден ОЗЛП, доколку тој биде лесно достапен за секоја од компаниите за кои ја врши оваа функција;[6]
  • повеќе јавни органи или тела да назначат еден ОЗЛП, раководејќи се од нивната организациска структура и големина.[7]

Во согласност со Насоките на РГ 29, достапноста на ОЗЛП би подразбирала негова достапност на субјектите на лични податоци, на надзорниот орган (ДЗЛП), како и достапност во рамките на контролорот. Појаснувањето околу достапноста на ОЗЛП кога е назначен кај повеќе контролори, се однесува и за јавниот и за приватниот сектор.

Обврска за објавување на податоците за контакт со ОЗЛП

Регулативата утврдува и обврска контролорот да ги објавува податоците за контакт со ОЗЛП и истите да ги соопштува на надзорниот орган.

Целта е на лесен начин да се обезбеди директен контакт и комуникација на ОЗЛП со субјектите на лични податоци и со надзорниот орган. Како податоци за контакт се сметаат телефонски број и електронска адреса, а може да биде и креирана посебна контакт форма на веб-страницата на контролорот. Оваа одредба не предвидува во податоците за контакт да е содржано и името на ОЗЛП.

Препорака на РГ 29 е надзорниот орган (ДЗЛП) да биде информиран за името на ОЗЛП и податоците за контакт со ОЗЛП, како и истите да бидат објавени на интернет-страницата на контролорот, во внатрешниот телефонски директориум и внатрешната организациска шема.

Обврска за тајност и доверливост на податоците

Во согласност со Регулативата, ОЗЛП има обврска за тајност и доверливост на податоците при извршување на неговите задачи, при што не му е забрането да контактира и да побара совет од надзорниот орган (ДЗЛП).  

 

[1]  Член 37 од Регулативата

[2] Без оглед на тоа какви податоци обработуваат и во кој обем

[3] Судовите имаат обврска да назначат ОЗЛП кој ќе води грижа за почитување на прописите за заштита на лични податоци при операциите на обработка на личните податоци надвор од рамките на судската надлежност  

[4] Пример: Главна активност на здравствените установи е да обезбедат здравствени услуги и грижа за пациентите, но тие не може да се обезбедат без обработка на здравствените податоци.

[5] Пример: Обезбедување на услуги од областа на електронските комуникации: профилирање, следење на локација преку мобилни апликации, следење на фитнес и здравствени податоци преку мобилни апликации и др.

[6] Во приватниот сектор, две или повеќе помали компании (со помал број вработени или со помал квантитет на операции на обработка на податоци) кои фукционираат поврзано во одредена групација, да може да назначат еден ОЗЛП. Притоа, тој да биде ангажиран врз основа на договор за давање услуги.   

[7] Во јавниот сектор, два или повеќе јавни органи или тела (со помал број вработени или со помал квантитет на операции на обработка на лични податоци) кои немаат сложена организациска структура, да може да назначат еден ОЗЛП. Притоа, тој да биде ангажиран врз основа на договор за давање услуги.