Супервизија над заштитата на личните податоци

Агенцијата за заштита на личните податоци како самостоен и независен државен орган е надлежна да врши надзор над законитоста на преземените активности при обработката на личните податоци на територијата на Република Северна Македонија, како и да врши заштита на темелните права и слободи на физичките лица во однос на обработката на нивните лични податоци.

Еден од основните инструменти за остварување на оваа надлежност е спроведувањето суперевизија која Агенцијата  го реализира согласно одредбите од Законот за заштита на личните податоци. 

Супервизијата е системска и независна контрола над законитоста на преземените активности при обработката на личните податоци и нивната заштита во спроведувањето од Законот за заштита на личните податоци и прописите донесени врз основа од Законот за заштита на личните податоци, која опфаќа истражување, проверка, давање насоки и превенција на контролорите и обработувачите.

Супервизијата, може да биде:

  • редовна супервизија
  • вонредна супервизија
  • контролна супервизија

Редовните супервизии се планираат на годишна основа за што директорот на Агенцијата на крајот на тековната година донесува годишна програма за вршење на супервизија за наредната година. Годишните програми за вршење на супервизија се објавени на веб страницата на Агенцијата за заштита на личните податоци, а операционализација на годишната програма се врши преку месечни планови за вршење на супервизија.

Покрај редовната супервизија која е најавена супервизија, Агенцијата врши и вонредна супервизија, која по правило е ненајавена и се врши во случај на поднесено барање, по иницијатива поднесена од орган на државна власт, правно или физичко лице, по службена должност или во случај на сомневање на супервизорот за повреди на одредбите од Законот за заштита на личните податоци.

Редовната супервизија се врши во форма на ревизија над работењето на контролорот, а вонредната супервизија се спроведува како истражување (истрага) со цел да се идентификуваат пропусти и слабости во воспоставениот систем за заштита на личните податоци при собирањето, обработката и чувањето на личните податоци од страна на контролорот.

Агенцијата може да изврши и контролна супервизија, во рок од шест месеци по истекот на последниот рок утврден за отстранување на констатираните повреди со решението.

Директорот на Агенцијата за заштита на личните податоци, на супервизорите кои вршат супервизија, им издава службена легитимација.

При вршење на супервизијата, супервизорот може да:

  • проверува општи и поединечни акти, датотеки, документи, компјутерски досиеја, информации и други докази во обем според предметот на супервизијата, како и да побара и задржи копии од истите во хартиена или електронска форма без надоместок;
  • врши контрола во деловните или службените простории и други објекти каде што се врши обработка на личните податоци и бара увид во нивната обработка;
  • врши увид во документи за лична идентификација на лица поради потврдување на нивниот идентитет во согласност со закон;
  • бара од контролорот, односно обработувачот писмено или усно објаснување во врска со прашања од делокругот на супервизијата;
  • бара експертска анализа и мислење кога е тоа потребно за супервизијата;
  • употребува технички средства за фотографирање како и обезбедува видео записи кои можат да бидат искористени во супервизијата;
  • ја испитува опремата со која се врши обработка на личните податоци и опремата каде што се чуваат личните податоци, како и испитување на информацискиот систем и информатичката инфраструктура во рамки на кои се врши обработка на личните податоци, со овластен претставник на контролорот, односно обработувачот;
  • ги користи комуникациските уреди на контролорот, односно обработувачот заради исполнување на целите на супервизијата и
  • обезбедува други потребни докази според предметот на супервизијата.

Супервизорот е самостоен во вршењето на супервизијата и самостојно одлучува за дејствијата што треба да ги преземе при вршењето на супервизијата и за мерките кои ќе бидат изречени по извршената супервизија, согласно закон.

При вршење на супервизија, супервизорот може да се користи со една или со повеќе од следните техники:

  • истражување;
  • користење на прашалници;
  • интервјуирање;
  • собирање на докази и друг начин на документирање;
  • увид;
  • набљудување; и
  • користење на детална листа за проверка.

Супервизијата се врши во просториите на контролорот, односно обработувачот каде што се обработуваат личните податоци и/или во просториите на Агенцијата.

Супервизијата според методот и средствата кои се користат може да се врши и по електронски пат. При вршење на супервизија по електронски пат, може да се применуваат специјализирани софтверски алатки за испитување на информацискиот систем и информатичката инфраструктура во рамки на кои се врши обработка на личните податоци. Применувањето на софтверските алатки, кои содржат инвазивни методи, се врши по предходен договор со контролорот. Воедно, при вршење на супервизија кај контролорот може да се проверуваат веб страници, мобилни апликации и други технолошки решенија, и тоа: политики за приватност, изјави за приватност, механизми за обезбедување на согласност од субјектите на лични податоци, политики за колачиња, усогласеност со барањата за колачиња, формулари за собирање на лични податоци, проверка на безбедноста на обработката на личните податоци, како и друга документација, политики, механизми и процеси кои ги применува контролорот при собирањето, обработката и чувањето на личните податоци.

Записник

По извршената супервизија, супервизорот во рок од 30 дена од денот на вршењето на супервизијата составува записник  кој се доставува на контролорот кој бил субјект на супервизијата.

Решение

Супервизорот кој ја извршил супервиизјата донесува решение за отстранување на утврдените повреди, со кое го задолжува контролорот во определен рок од денот на утврдените повреди да ја усогласи неговата работа со одредбите од Законот за заштита на личните податоци.

Управен спор

Против решението на супервизорот, контролорот може да поднесе тужба до Управниот суд во рок од 30 дена од денот на приемот на решението.

Повреда на одредбите од Законот за заштита на личните податоци

Ако при спроведувањето на супервизијата, супервизорот утврди повреда од Законот за заштита на личните податоци, како и во случај на непостапување, односно делумно постапување по решението, супервизорот поднесува барање за поведување на прекршочна постапка до Комисијата за одлучување по прекршок формирана од страна на директорот на Агенцијата.

За повреда на одредбите на Законот за заштита на личните податоци, предвидена е глоба за прекршок, чија што висина е различна во зависност од тоа дали се работи за физичко или правно лице (контролор или обработувач на збирка на лични податоци).