„Лаличиќ и Бошкоски“: Лавиринтот во заштитата на личните податоци

Донесувањето на Законот за заштита на личните податоци претставува значаен чекор напред за заштита на податоците во Македонија, но, сепак остануваат предизвиците за компаниите во обезбедувањето усогласеност со неговите одредби

Пишува: Ангела Андонова и Ивана Илиеска, адвокати во „Лаличиќ и Бошкоски“

Во дигиталниот свет каде што сè почесто функционираме и каде што личните податоци станаа вреден ресурс, нивната заштита почна критично да ги засега македонските компании. Како резултат на новите технологии и зголемената распространетост на онлајн-трансакции, потребата за заштита на личните информации никогаш не била поитна.

Во февруари 2020 година Македонија направи значителен напредок во усогласувањето на македонските стандарди за заштита на личните податоци со стандардите на Европската Унија преку донесувањето на новиот Закон за заштита на личните податоци (Службен Весник на РСМ, број 42/20).

Меѓутоа, и покрај воспоставувањето нова законска регулатива, сè уште постојат отворени прашања кои во практика често резултираат со повреди на Законот - особено во однос на потребната документација со која контролорите треба да ја уредат обработката на личните податоци. Чести се примерите кога компаниите сметаат дека е доволно да имаат политика за приватност и формулар за согласност за обработка на лични податоци на нивната веб-страница. Сепак, ова е само мал дел од документите што се бараат да бидат усогласени со Законот за заштита на личните податоци.

Како резултат на новите технологии и зголемената распространетост на онлајн-трансакции, потребата за заштита на личните информации никогаш не била поитна.

Во продолжение на овој текст ќе ги презентираме најчестите предизвици со кои се соочуваат компаниите во Македонија како контролори на личните податоци и потенцијални решенија за нивно надминување:

1. Правилно разбирање на регулаторната рамка и обезбедување на потребната документација

Еден од примарните предизвици за деловните субјекти во Македонија е обезбедувањето на потребната документација за заштита на личните податоци (како што се: правилници, одлуки, известувања...) Имено, движењето низ сложените законски барања претставува предизвик за компаниите, особено за малите и средни претпријатија со ограничени ресурси.

Во практика, неоспорно е дека постои недостиг на едуцирани кадри кои располагаат со добро разбирање на регулаторната рамка за заштита на личните податоци. Затоа, кога компаниите немаат кадар кој има добро познавање од оваа област, пожелно е да ангажираат стручни лица кои ќе спроведат проверка на активностите за обработка на личните податоци (Data protection compliance check), за навреме да се идентификуваат евентуалните пропусти и притоа да спроведат корективни мерки за ефективно ублажување и минимизирање на ризиците.

За многу мали и средни компании, обезбедувањето надворешна експертиза нуди многубројни придобивки, а особено овозможува:

1) Намален ризик од казни поради неусогласеност;

2) Поголема доверба од клиентите, кои уживаат подобрена безбедност и ефикасност при обработката на нивните лични податоци;

3) Поголем фокус кон развојот на бизнисот, знаејќи дека обработката на личните податоци е усогласена и безбедна.

Секоја компанија задолжително треба да го усогласи своето работење со Законот, во спротивно таа, односно нејзините директори/менаџери може да подлежат на граѓанска одговорност (надомест за материјална штета што ја претрпел субјектот на податоците) и/или прекршочна одговорност (парична казна што не надминува 4% од годишниот приход на компанијата). Оттука, евидентно е дека обезбедувањето стручна помош им овозможува на компаниите подобро разбирање на концептот на заштита на личните податоци и постојната законска регулатива и притоа е најефикасниот механизам за успешно спроведување на нивните законски обврски.

Секоја компанија задолжително треба да го усогласи своето работење со Законот, во спротивно може да подлежи на граѓанска одговорност (надомест за материјална штета што ја претрпел субјектот на податоците) и/или прекршочна одговорност (парична казна што не надминува 4% од годишниот приход на компанијата).

2. Целосно, навремено и правилно исполнување на правата на субјектот на податоците

Често се случува компаниите да немаат комплетно и точно разбирање за правата на субјектите чии лични податоци ги обработуваат – особено во однос на правото на пристап до личните податоци, правото на исправка и бришење (правото да се биде заборавен). Дополнително, според статистичките податоци на Агенцијата за заштита на личните податоци, најголемиот број претставки кои ги упатуваат граѓаните во однос на заштитата на нивните лични податоци се однесуваат на директен маркетинг, неможност за повлекување дадена согласност, вршење обработка на лични податоци преку системот за видеонадзор, како и необезбедување претходно информирање на субјектот во однос на собирањето, обработката и чувањето на личните податоци.

Правата на субјектот на податоците не се само законски барања, напротив, тие претставуваат основен принцип на етичко обработување и чување на личните податоци. Затоа, неопходно е компаниите да бидат добро запознаени со правата на субјектите чии лични податоци ги обработуваат, не само за да се избегнат евентуални глоби, туку за да покажат одговорност, транспарентност и отчетност кон нивните вработени, клиенти, потрошувачи, деловни партнери, соработници и општо кон сите индивидуи со кои остваруваат контакт при вршењето на својата дејност.

3. Правилна обработка на личните податоци при видеонадзор

Правилната обработка на личните податоци преку системите за видеонадзор е од огромно значење за да се обезбеди усогласеност со применливата регулатива за заштита на личните податоци. Со оглед на тоа дека употребата на системи за видеонадзор продолжува да се зголемува секоја година, од суштинско значење е компаниите да ги разберат нивните обврски во врска со обработката на личните податоци преку овие системи. Фактот што значителен дел од вонредните надзори што ги спроведува АЗЛП се засноваат на претставки на граѓаните за обработката на лични податоци преку воспоставени системи за видеонадзор, ја нагласува важноста од почитување на законските барања во оваа област. Претставките на граѓаните често произлегуваат од загриженоста за неовластен пристап до снимката, несоодветни безбедносни мерки, прекумерно чување на податоците и недостиг на транспарентност во поглед на целите на надзорот.

Затоа, неопходно е компаниите да водат сметка за целите заради кои вршат видеонадзор, да ја минимизираат количината на собрани податоци, да избегнуваат снимање непотребни детали за поединци и да спроведат мерки за анонимизирање или псевдонимизирање на снимките секогаш кога е можно. Воедно, компаниите треба добро да се запознаени со правата на граѓаните во однос на обработката на личните податоци преку системите за видеонадзор и да водат особена грижа за нивното почитување, особено поради високите глоби во случај на евентуална повреда.

***

Иако донесувањето на Законот за заштита на личните податоци претставува значаен чекор напред за заштита на податоците во Македонија, остануваат предизвиците за компаниите во обезбедувањето усогласеност со неговите одредби. Со справување со овие предизвици преку комбинација на ангажирање стручни лица, ресурси и проактивни мерки, компаниите можат да ги почитуваат принципите на заштита на податоците, да ја заштитат приватноста на поединците и да ја негуваат довербата во нивното работење.