Инспекција

Инспекциски надзор

Дирекцијата за заштита на личните податоци како самостоен и независен државен орган во Република Македонија е надлежна да врши надзор над законитоста на заштита на личните податоци во земјата. Еден од основните инструменти за остварување на оваа надлежност е инспекцискиот надзор кој Дирекцијата за заштита на личните податоци го реализира согласно одредбите од Законот за заштита на личните податоци.

Инспекциските надзори се планираат на годишна основа поради што Дирекцијата за заштита на личните податоци кон крајот на тековната донесува програма за инспекциски надзор за наредната година. Годишните програми за инспекциски надзор се објавени на веб страницата на Дирекцијата за заштита на личните податоци, а операционализација на програмата се врши преку месечни планови за инспекциски надзор.

Покрај редовните инспекциски надзор согласно Годишната програма Дирекцијата за заштита на личните податоци спроведува и вонредни инспекциски надзор по предлог/иницијатива која може да биде поднесена од орган на државната власт, правно или физичко лице, како и во случај на сомневање на инспекторот за повреди на одредбите на Законот за заштита на личните податоци. Воедно вонреден инспекциски надзор се врши и во случај на поднесено барање на физичко лице или здружение на граѓани во кое членува физичкото лице, ако смета дека му е повредено некое право загарантирано со Законот за заштита на личните податоци.

Дирекцијата има мандат да спроведува и контролни надзори само во случаите кога по спроведен инспекциски надзор со решение се утврдени повреди и тоа по изминување на рокот за отстранување на повредите од страна на инспектираниот субјект - контролор.

За спроведувањето на инспекциски надзор во Дирекцијата за заштита на личните податоци работат седум инспектори организирани во носечкиот Сектор за инспекциски надзор во Дирекцијата.

За спроведените инспекциски надзори се изготвуваат тековни извештаи по разни основи, а во Годишниот извештај на Дирекцијата за заштита на личните податоци зазема клучно место со податоци по повеќе параметри. Воедно спроведувањето на инспекциските надзори се редовен дел од извештаите на Република Македонија за напредокот на земјата во подготовките за членство во ЕУ.

Дирекцијата за заштита на личните податоци заради унапредување на инспекциски надзор како и заштита на личните податоци во земјата остварува меѓународна соработка на редовна основа.

Директорот на Дирекцијата, на инспекторите кои вршат инспекциски надзор, им издава службена легитимација.

При вршење на инспекцискиот надзор овластеното лице има право:

  1. да влезе во било кои простории каде се обработуваат личните податоци и да изврши увид во нивната обработка;
  2. да бара писмено или усно објаснување, да повикува и испитува лица во врска со обработката на личните податоци;
  3. да бара увид во документација и кои било други податоци во врска со контролорот, односно обработувачот и копии од истите;
  4. да ја испитува опремата со која се врши обработка на личните податоци и опремата каде што се чуваат личните податоци, со овластен претставник на контролорот, односно обработувачот
  5. да побара да биде подготвена експертска анализа и мислење во врска со преземениот инспекциски надзор и
  6. да ги користи комуникациските уреди на контролорот, односно обработувачот заради исполнување на целите на истиот.

Тек на надзорот

Инспекторите за заштита на личните при вршење на инспекцискиот надзор утврдуваат дали контролорот:

  1. Има законски основ да обработува лични податоци

По исклучок контролорот може да обработува лични податоци и во следниве случаи:

  • доколку има претходно добиена согласност од субјектот на личните податоци;
  • извршување на договор во кој субјектот на лични податоци е договорна страна или на барање на субјектот на лични податоци, пред негово пристапување кон договорот;
  • неопходно исполнување на законска обврска на контролорот;
  • заштита на животот или суштинските интереси на субјектот на лични податоци;
  • извршување на работи од јавен интерес или на службено овластување на контролорот или на трето лице на кое му се откриени податоците;
  • исполнување на правните интереси на контролорот, трето лице или лице на кое податоците им се откриени, освен ако слободите и правата на субјектот на лични податоци не преовладуваат над таквите интереси.
  1. Применува технички и организациски мерки за обезбедување тајност и заштита на обработката лични податоци.

Согласно одредбите Правилникот за техничките и организациските мерки за обезбедување тајност и заштита на обработката на личните податоци, контролорот при автоматизираната обработка на личните податоци треба да обезбеди технички мерки за заштита на обработката на личните податоци и тоа:

  • единствено корисничко име;
  • лозинка креирана од секој корисник, составена од комбинација на најмалку осум алфанумерички карактери (од кои минимум една голема буква) и специјални знаци;
  • корисничко име и лозинка која овозможува пристап на корисникот до информацискиот систем во целина, на поединечни апликации и/или поединечни збирки на лични податоци потребни за извршување на неговата работа;
  • автоматизирано одјавување од информацискиот систем после изминување на определен период на неактивност (не подолго од 15 минути) и за повторно активирање на системот потребно е одново внесување на корисничкото име и лозинката;
  • автоматско отфрлање од информацискиот систем после три неуспешни обиди за најавување (внесување на погрешно корисничко име или лозинка) и автоматизирано известување на корисникот дека треба да се побара инструкција од администраторот наинформацискиот систем;
  • инсталирана хардверска/софтверска заштитна мрежна бариера (“firewall”) или рутер помеѓу информацискиот систем и интернет или било која друга форма на надворешна мрежа, како заштитна мерка против недозволени или злонамерни обиди за влез или пробивање на системот;
  • ефективна и сигурна анти-вирусна и анти-спајвер заштита на информацискиот систем, која постојано ќе се ажурира заради превентива од непознати и непланирани закани од нови вируси и спајвери;
  • ефективна и сигурна анти-спам заштита, која постојано ќе се ажурира заради превентивна заштита од спамови и
  • приклучување на информацискиот систем (компјутерите и серверите) на енергетска мрежа преку уред за непрекинато напојување.

Контролорот при автоматизираната обработка на личните податоци треба да обезбеди организациски мерки за заштита на обработката на личните податоци и тоа:

  • ограничен пристап или идентификација за пристап до личните податоци;
  • организациски правила за пристап на корисниците до интернет кои се однесуваат на симнување и снимање на документи преземени од електронската пошта и други извори;
  • мерки за физичка сигурност на работните простории и на информатичко комуникациската опрема каде се собираат, обработуваат и чуваат личните податоци и
  • почитување на техничките упатства при инсталирање и користење на информатичко комуникациската опрема на која се обработуваат личните податоци.

Секое право на надворешен пристап од вработен или корисник од надвор во компјутерскиот систем или локалната мрежа на контролорот ќе биде посебно контролирано и евидентирано.

Контролорот треба да врши редовно снимање на сигурносна копија и архивирање на податоците во системот, за да не дојде до нивно губење или уништување.

Контролорот при обработката на „посебните категории на лични податоци“ во секоја фаза од обработката (собирање, пренос, внес на податоци, складирање, уништување итн.)обележува дека се работи за обработка на наведените категории на податоци.

  1. Обработувањето на лични податоци е во согласност со одредбите од Законот за заштита на личните податоци.

Личните податоци што се обработуваат од страна на контролорите мора да се:

  • собираат за конкретни, јасни и со закон утврдени цели и се обработуваат на начин што е во согласност со тие цели.
  • соодветни, релевантни и не преобемни во однос на целите заради кои се собираат и обработуваат;
  • точни, целосни и каде што е потребно ажурирани, при што ќе се избришат или коригираат податоците што се неточни или нецелосни, имајќи ги предвид целите заради кои биле собрани или обработени и
  • чувани во форма што овозможува идентификација на субјектот на лични податоци, не подолго од што е потребно да се исполнат целите поради кои податоците се собрани за натамошна обработка.

По истекот на рокот за чување на личните податоци, тие можат да се обработуваат само за историски, научни или статистички цели. Притоа мора да се почитува правото на заштита на приватноста, личниот и семејниот живот на субјектот на личните податоци од нивна неовластена употреба и во најкраток можен рок да се направат анонимни.

Составување на записник

По завршување на надзорот, инспекторот во Дирекцијата овластен за спроведување на надзорот, составува записник во кој ќе бидат наведени утврдените повреди на Законот за заштита на личните податоци, констатирани при увидот. Записникот го потпишува инспекторот од Дирекцијата кој го спровел надзорот и се доставува на контролорот кој бил субјект на контролата во рок од 30 дена од денот на завршувањето на инспекцискиот надзор.

Контролорот има рок од 3 дена од денот на приемот на записникот да достави забелешки на записникот.

Решение

По истекот на рокот за доставување на забелешки на записникот инспекторот кој го спровел надзорот носи решение со кое го задолжува контролорот во определен рок од денот кога се утврдени повредите, да ја усогласи неговата работа со одредбите од Законот за заштита на личните податоци.

Со решението инспекторот може да му нареди на контролорот:

  • да ја отстрани утврдената повреда во определен рок;
  • да ја комплетира, ажурира, исправи, открие или да ја обезбеди тајноста на личните податоци;
  • да усвои дополнителни мерки на заштита на личните податоци;
  • да престане со натамошна обработка на личните податоци;
  • да запре пренос на личните податоци во други држави;
  • да ги обезбеди податоците или нивниот пренос до други субјекти;
  • да ги блокира,избрише или уништи личните податоци.

Управен спор

Против решението на инспекторот, контролорот може да поднесе тужба до Управниот суд на Република Македонија во рок од 15 дена од денот на приемот на решението.

Повреда на одредбите од Законот за заштита на личните податоци

За повреда на одредбите на Законот за заштита на личните податоци, предвидена е глоба за прекршок, чија што висина е различна во зависност од тоа дали се работи за физичко или правно лице (контролор или обработувач на збирка на лични податоци). Барања за поведување на прекршочна постапка до Комисијата за одлучување по прекршоци, може да поднесе овластеното лице (инспектор) од Дирекцијата.