Преглед на ПВЗЛП

Како што е наведено во членот 39 (1) од Законот за заштита на личните податоци („Сужбен весник на РСМ“ бр. 42/20) „Кога при користење на нови технологии за некој вид на обработка, земајќи ги предвид природата, обемот, контекстот и целите на обработката, постои веројатност истата да предизвика висок ризик за правата и слободите на физичките лица пред да биде извршена обработката, контролорот е должен да изврши проценка на влијанието на предвидените операции за обработка на заштитата на личните податоци.“

Проценката на влијанието врз заштитата на личните податоци (ПВЗЛП) е процес кој треба да ја опише обработката, да ја процени нејзината неопходност и пропорционалност, да помогне во управувањето со ризиците за правата и слободите на физичките лица кои настануваат со обработката на личните податоци преку нивна проценка и да се предвидат мерки за справување со тие ризици.

Важно е да се нагласи дека ПВЗЛП мора да се изврши пред да започне обработката на личните податоци. Всушност, почитувањето на принципот на отчетност (член 28 од Законот за заштита на личните податоци) бара контролорот да примени соодветни технички и организациски мерки за да може да докаже усогласеност со ЗЗЛП од самиот почеток на обработката на личните податоци. Меѓу мерките за имплементација, како што е предвидено со принципот на техничка и интегрирана заштита на личните податоци (Data protection by design and by default), се минимизирање на обработката на личните податоци, псевдонимизирање на личните податоци, транспарентност во однос на функциите и обработката на личните податоци, овозможувајќи му на субјектот на личните податоци да ја следи обработката на личните податоци, а на контролорот да ја подобри безбедноста. ПВЗЛП е алатка која го олеснува носењето на одлуки во врска со обработката на личните податоци, а особено во однос на примената на техничките и организациските мерки кои ќе обезбедат почитување правата и слободата на физичките лица. Оттука, ПВЗЛП мора да се изврши пред да се отпочне со обработката. ПВЗЛП треба да започне уште при дизајнирањето на операцијата за обработка, дури и кога некои од операциите за обработка се сè уште непознати.

Единствениот исклучок од ова општо правило е кога станува збор за веќе постоечка обработка, која претходно била проверена од страна на Агенцијата. Во ваков случај контролорот задолжително спроведува ПВЗЛП пред да се направат значителни промени на некои постојни операции на обработка на личните податоци.