До средината на следната година македонските компании и институции треба да го усогласат своето работење со новиот Закон за заштита на лични податоци, што Собранието го донесе пред распуштањето во пресрет на предвремените парламентарни избори.
Законот всушност значи транспонирање во нашето законодавство на Општата регулатива за заштита на личните податоци (GDPR), која од мај 2018 година се применува во земјите од ЕУ. Странските и компаниите од земјава што соработуваат со компании од земјите од ЕУ веќе ги применуваат одредбите од оваа регулатива, во спротивно, нема да можат да тргуваат со компании од ЕУ.
– Собранието на 16 февруари конечно го донесе новиот Закон за заштита на личните податоци, објавен во Службен весник бр. 42/2020. Тоа значи дека во периодот што претстои почнувајќи од 25 февруари 2020 година па во наредните 18 месеци ќе треба да се изврши целосно усогласување на работењето на сите што вршат обработка на личните податоци, почнувајќи од нас самите сега веќе како Агенција за заштита на личните податоци, продолжувајќи со сите контролори и обработувачи на лични податоци, изјави за МИА заменик-директорот на Агенцијата за заштита на личните податоци Игор Кузевски.
Во наредниот период, како што најави тој, се очекува да бидат донесени подзаконски акти со кои ќе се овозможи практична примена и појаснување во начинот на примена на одредбите од Законот, а се очекува Агенцијата да работи на зајакнување на капацитетите за негова имплементација, но и активности за поддршка на контролорите и обработувачите да го усогласат своето работење со новиот закон, а граѓаните да бидат повеќе информирани за нивните права и како да ги остварат.
– Ние планираме да не чекаме 18 месеци, туку час поскоро да ги донесеме подзаконските акти, се разбира едновремено внимавајќи тие да претставуваат квалитетни решенија, кои ќе бидат во корелација со практиките во ЕУ. Значајно е да се нагласи дека во овој период ќе треба да се изврши усогласување и на секторската регулатива, односно усогласување на законите и другите прописи со кои се уредува обработката на личните податоци со одредбите на Законот, изјави Кузевски.
Паралелно, најавува заменик-директорот на Агенцијата, ќе се работи и на подигнување на свеста кај сите што ги засега новиот закон, за што веќе се подготвува нова програма и курикулуми за обука.
– Со тоа ќе се овозможи практично запознавање со решенијата содржани во новиот закон, а со крајна цел создавање таканаречена Privacy friendly околина насочена кон заштита во македонското општество, вели Кузевски.
– Со тоа ќе се овозможи практично запознавање со решенијата содржани во новиот закон, вели Кузевски, додавајќи дека крајната цел е во македонското општество да се создаде околина насочена кон заштита на приватноста.
Што предвидува новиот Закон за заштита на личните податоци?
Во новиот закон подетално се разработени условите за добивање согласност на субјектот на личните податоци и првпат се уредуваат посебните услови за обезбедување согласност на дете при користење на услугите на информатичко општество, условите за обработка на посебни категории лични податоци, обработката на лични податоци поврзани со казнени осуди и казнени дела и обработката за која не се бара понатамошна идентификација на субјектот на личните податоци.
Подетално се уредуваат правата на субјектите на личните податоци, а притоа се зајакнуваат правата на физичките лица, односно се воведуваат нови правила, како што е правото да се биде заборавен и правото на преносливост на податоците. Контролорите имаат нова обврска да го пријават во Агенцијата за заштита на личните податоци нарушувањето на безбедноста на личните податоци и за тоа да ги известат засегантите субјекти на лични податоци. Воведена е задолжителна обврска за контролорите да вршат проценка на влијанието на заштитата на личните податоци (Privacy impact assessment) ако се воведуваат нови технологии и обработка на лични податоци за кои постои висок ризик за правата и слободите на физичките лица.
Најголеми промени што ќе имаат импликации во работењето на контролорите се однесуваат на техничката и интегрираната заштита на личните податоци при дизајнирање на информациските системи (Data protection by design and by default), преку која однапред се обезбедува обработка на минимален обем на лични податоци, вклучување на потребните заштитни мерки во процесот на обработка и заштита на правата на субјектите на личните податоци.
Се зајакнува улогата на офицерот за заштита на личните податоци и воведени се нови постапки за сертификација за контролорите, како и донесување посебни кодекси на однесување за обработка на лични податоци во одредени области.
Законот го воведува и начелото на отчестност, кое ги обврзува контролорите и обработувачите да ја демонстрираат усогласеноста со принципите за заштита на личните податоци преку конкретни алатки и докази.
Разработени се и правни средства за субјектот на личните податоци за заштита на своите права, како и можноста за добивање надомест од контролорот или обработувачот за претрпената штета.
Се регулираат и условите за пренос на личните податоци во трета земја или меѓународна организација, како и преносот на лични податоци кој се врши врз основа на соодветни заштитни мерки или задолжителни корпоративни правила.
Со Законот се уредени и посебните операции на обработка на личните податоци, како на пример, обработката на личните податоци преку системите за вршење видеонадзор, како од страна на контролорите правни лица така и од контролорите физички лица.
Со Законот исто така е утврден и независниот статус на Агенцијата како надзорно тело, нејзините надлежности, задачи и овластувања, односите со органите на државната власт посебно давање мислења на предлози на закони и други прописи што уредуваат прашања од областа на заштитата на личните податоци, иницирање оценување на уставноста на законите и уставноста и законитоста на другите прописи, меѓународната соработка и меѓународната правна помош со другите надзорни органи за заштита на личните податоци, како и финансирање на Агенцијата и друго.
Зголемената важност што се дава на заштитата на личните податоци може да се види и преку зголемување на прекршочните санкции, при што за сторен прекршок се предвидува глоба во износ од 2 до 4 отсто од вкупниот годишен приход на контролорот или обработувачот, притоа Агенцијата го задржува статусот на прекршочен орган за изрекување на глобите, преку посебна Комисија за одлучување по прекршок.
Она што во иднина треба македонските власти да го направат е донесување и закон за транспонирање на Полициската директива на ЕУ преку кој посебно ќе се регулира обработката на личните податоци од страна на полицијата и органите надлежни за превенција, истрага и гонење кривични дела.
Искуства од примената на Општата регулатива за заштита на личните податоци и очекувања на македонските компании
Патрик Мартенс, директор на Делегацијата на германското стопанство во Македонија, вели дека тие веќе ја применуваат Општата регулатива за заштита на личните податоци, како комора чие главно седиште е во Германија.
– Нашата централа е во Германија. Германската комора за индустрија и трговија е нашата мајка и задолжена за канцеларијата во Македонија. Од пред повеќе од една година таму веќе се имплементира Европската регулатива за заштита на личните податоци. Ние оттаму ги добиваме директно информациите и според тоа се раководиме во Северна Македонија, иако не сме официјално дел од ЕУ, објаснува за МИА Мартенс.
Причина за тоа се нивните проекти што се реализираат со партнери во Германија, но и нивните клиенти кои се државјани на Европската Унија.
– Во однос на тоа во секој контакт со клиент или соработка треба да бидат обработени неговите лични податоци. Подготвуваме специјален формурал којшто содржи пет-шест страници и во којшто детално треба да дадеме објаснување зошто мора да ги употребиме неговите лични податоци, за каков проект станува збор. Вработениот кој директно соработува на проектот со клиентот е задолжен да го пополни тој формулар, тој ги знае деталните информации што ги содржи формуларот, вклучувајќи ги и личните податоци, е лицето од нашата канцеларија кое е задолжено или офицер за заштита на лични податоци. Потоа имаме специјален фолдер што го чуваме на нашиот клауд, каде што само лицето кое е задолжено за заштита на лични податоци може да има пристап, не и другите вработени. Тоа е заштитен фолдер. Она што правиме е дека и редовно ги менуваме нашите лозинки, правиме редовно ажурирање Сите документи што се во хард-копија што содржат лични податоци се чуваат во шкафчиња што имаат ист клуч и секој вработен е задолжен за тоа. На бироата на вработените не смее да има никакви документи со лични податоци, објаснува тој.
Во организација на Германската стопанска комора веќе се одржа обука за заштита на личните податоци и кои се ризиците доколку не се следи тој тренд.
– Обуката беше организирана, пред сè, за нашите компании членки. Членки во нашата комора се 205 компании, но беше отворена и за македонската јавност. Тие информации ги споделивме на нашите социјални медиуми и голема база на клиенти. Обуката беше одржана со двајца експерти од странство и двајца експерти од Македонија, од врвни компании за мобилна технологија, информира тој.
Мартенс вели дека тие се придржуваат и до македонските закони бидејќи, покрај тоа што имаат клиенти кои се државјани на ЕУ, имаат и компании клиенти што се од Северна Македонија.
За примената на Општата регулатива за заштита на личните податоци и нејзината примена во Европа вели дека има забелешки од малите и средните претпријатија во однос на административниот товар и трошоците што произлегуваат од неа.
Борис Ефтимовски, сопственик на Маркетинг 365 и консултант за маркетинг и ПР, за МИА вели дека новиот Закон за заштита на личните податоци е позитивен и навистина квалитетен. Законот, според него, е речиси идентичен со Општата регулатива за заштита на личните податоци што беше воведена во ЕУ во мај 2018 и која веќе важеше за нашите компании што имаат клиенти од Унијата.
– Новиот закон ги следи промените што ги донесе забрзаниот информатичко-технолошки развој и начините на кои денес се користат личните податоци, нешто што претходните регулативи донесени во време кога не се користеа клауд-технологиите и интернетот во обем како денес – не можеа се предвидат, вели Ефтимовски.
Според него, има две главни позитивни придобивки од Законот.
– Првата е што граѓаните добиваат поголема контрола и подобар увид во начинот на користење на нивните податоци и втората, што компаниите добиваат појасен и поедноставен правен амбиент за нивиот однос со податоците со кои располагаат. Сето ова придонесува за зголемување на довербата во дигиталната економија и кредибилитетот на процесите што во иднина ќе може да се реализираат, истакна Ефтимовски.
Големите компании во Македонија што имаат сопственичка поврзаност со компании од странство, посочува тој, веќе интензивно се подготвуваат или се подготвени за доследно почитување на одредбите од Законот, а помалите, домашни компании ќе имаат предизвик тоа да го направат многу брзо.
– Назначувањето офицер за лични податоци и преиспитувањето на процесите што вклучуваат секаква интеракција со податоци се првите работи што треба да бидат направени. Во секој случај, да се почитува домашниот закон, значи дека ќе се биде и усогласен со регулативата, што секако носи и придобивки за компаниите, како што е и зголемување на довербата во нивните услуги, подобра репутација, зголемен кредибилитет и докажана транспарентност пред нивните клиенти, вели сопственикот на Маркетинг 365.
Трошоците за усогласување со Законот, како што нагласува, се занемарливи кога ќе се споредат со потенцијалните казни што се предвидени за негово непочитување.