Препораки по области
Во областа на осигурувањето, потребно е прецизно дефинирање на категориите на лични податоци на осигурениците што се собираат – од внесувањето на ЕМБГ во Законот за супервизија на осигурувањето – сè до внесувањето на здравствените лични податоци собрани за електронската здравствена картичка во Законот за здравственото осигурување. Прецизно дефинирање на категориите на лични податоци, исто така, треба да биде направено и во Законот за задолжително осигурување во сообраќајот, Законот за пензиско и инвалидско осигурување и во Законот за задолжително капитално финансирано пензиско осигурување.
Обврската за носење акти и примена на технички и организациски мерки за заштита на личните податоци во законите од областа на осигурувањето е потребна не само заради внатрешното уредување на работењето на контролорите, туку и заради склучувањето на договори со корисниците, преземањето на податоците од други субјекти и водење евиденции за овие обработки.
Роковите на чување на личните податоци во законите од областа на осигурувањето не се прецизно утврдени за сите евиденции. Некаде стои формулацијата „најкусиот период на чување“, што не е во согласност со ЗЗЛП, бидејќи рокот треба да биде прецизно утврден.
Од анализата на Законот за евиденциите од областа на здравството, Законот за здравствена заштита и на Законот за заштита на правата на пациентите, може да се заклучи дека врз водењето, чувањето, собирањето и располагањето со медицинската документација се применуваат одредбите од прописите од областа на евиденциите од областа на здравството, заштитата на правата на пациентите и заштитата на личните податоци. Ако се види како оваа одредба се применува во практика, потребно е секоја здравствена установа да донесе и да применува технички и организациски мерки за тајност и за заштита на личните податоци.
Роковите на чување на личните податоци во законите од областа на здравството не се прецизно утврдени за сите евиденции. Потребно е да се прецизираат роковите на чување на личните податоци.
Во согласност со Законот за безбедност и здравје при работа, Законот за работните односи, Законот за евиденциите во областа на трудот и со Законот за вработувањето и осигурување во случај на невработеност, личните податоци што се обработуваат се соодветни на целта заради која се првично собрани. Категориите на лични податоци се детално утврдени за секоја евиденција одделно, но, сепак, практиката укажува на собирање фотокопија од лична карта кај повеќе евиденции од наведените, а не е предвидена со овој закон што не е во согласнот со начелата за заштита на личните податоци.
Одредени дополнувања и прецизирања треба да се направат во Законот за безбедност и здравје при работа во делот на дефинирање на начинот на достава на извештаите од здравствените установи до работодавецот. Практиката укажува на случаи во кои генералниот извештај не е одделен од резултатите од извршениот преглед.
Во делот на дефинирање и на примена на технички и на организациски мерки за тајност и за заштита на личните податоци, потребно е јасно утврдување на обврската на работодавецот за носење правилници за заштита на личните податоци на вработените и другите засегнати субјекти на лични податоци.
Иако дел од податоците за контакт на вработените што се собираат можат да се оставаат по избор, како, на пример, етничката припадност која треба да биде податок кој вработениот ќе избере дали ќе го дава, законот не предвидува согласност на субјектот во ниту еден момент. Потребно е согласноста на вработениот да биде предвидена.
Евиденциите за вработените лица и евиденциите за плати се чуваат трајно, но за другите евиденции што содржат лични податоци потребно е поврзување со законот за архивско работење.
Обемот на личните податоци што се обработуваат во согласност со Законот за домување е соодветен со целта, но практиката укажува на објавување поголем обем на податоци на огласните табли во зградите – во Законот за домување не постои одредба која предвидува објавување на список нa станари со име и презиме кои не платиле тековно одржување, а со самото тоа оваа обработка се смета за преобемна во однос на целта што треба да се постигне.
Рок на чување на податоците е предвиден само за видеонадзорот – 30 дена. Потребно е да се прецизираат и роковите на чување на другите лични податоци.
Иако е предвидено усогласување со Законот за заштита на личните податоци, нема член кој укажува на обврската на заедницата на станари за внатрешно уредување на техничките и на организациските мерки за заштита на личните податоци.
Во однос на Законот за катастар на недвижности, потребно е прецизно утврдување на категориите на податоци кои се собираат во ГКИС.
Роковите за чување на собраните лични податоци мора да бидат точно дефинирани.
Во согласност со Законот за основното образование, Законот за средното образование, Законот за високото образование и со Законот за образование на возрасните, согласноста на субјектите на лични податоци не е предвидена за личните податоци кои не се наведени во категориите на податоци, а кои во практика се собираат, односно, софтверот (ЕМИС) ги содржи (здравствени податоци, крвна група, ЕМБГ на родител). Согласноста за обработката на овие податоци треба да биде предвидена, а, исто така, и софтверските можности за нивна достапност.
Одредбата со која се дефинира дека средното училиште собира, обработува, чува, испраќа и користи податоци содржани во збирките на податоци во согласност со со прописите за заштита на личните податоци, за потребите на интегрираната база на податоци која ја води Министерството, не е јасна во делот на испраќањето на податоците. Треба да се дефинира каде може да бидат испратени податоците и под кои услови.
За сите наведени закони потребно е дефинирање на сите рокови на чување на личните податоции и вметнување член за начинот на заштита на личните податоци, како што е уредено во Законот за основното образование.
Во Законот за образование на возрасни не се дефинирани категориите на лични податоци кои ќе се обработуваат. Иако е предвидено водење документација и евиденција, категориите не се предвидени. Единствено на што членот укажува е дека содржината и формата на документацијата и евиденцијата на предлог на Центарот ги пропишува министерот, што не е во согласност со начелата за заштита на личните податоци.
Од анализата на Законот за посебен регистар за лица осудени за кривични дела за сексуална злоупотреба на малолетни лица и за педофилија, произлегува дека целта на обработката на личните податоци е обезбедување заштита на децата од сексуална злоупотреба, педофилија и од трговија со малолетни лица преку достапност на информации за лицата што живеат во нивната околина, а кои се осудени за такви кривични дела.
Вака поставената цел не е во согласност со начелата на заштита на личните податоци од аспект на достапноста на информациите. Практиката во државите каде има ваков регистар е достапноста до него да биде ограничена, односно пристап до регистрите имаат градинки, училишта, домови за деца, интернати.
Обемот на податоци содржани во регистарот би бил соодветен доколку пристапот е ограничен. Во овој случај, кога регистарот е јавно достапен, потребно е намалување на обемот на лични податоци (иницијали, година на раѓање, улица на живеење).
Она што е во спротивност со начелата за заштита на личните податоци е што изземањето од јавниот регистер е на барање на лицето. Контролорот треба да ги изземе податоците по истекот на рокот, без разлика на тоа дали лицето побарало или не.
Во врска со Законот за социјална заштита, потребно е да се вметне член со кој ќе се предвиди примената на технички и на организациски мерки за тајност и за заштита на личните податоци, како и дефинирање на роковите на чување на личните податоци собрани за целите од овој закон.
Потребно е дефинирање на рокови на чување на личните податоци за секоја евиденција одделно.
Потребно е вметнување член со кој ќе се предвиди примената на технички и на организациски мерки за тајност и за заштита на личните податоци.
Во Законот за енергетика, потребно е дефинирање на обврските на операторите за донесување правила за примена на технички и на организациски мерки за тајност и за заштита на личните податоци на корисниците.
Потребно е појаснување во одредбата која се однесува на обемот на лични податоци кои се собираат. Обемот е соодветен, освен во делот на поткрепување со доказ за лична идентификација. Ваквата формулација дозволува двојно толкување, па остава простор и за задржување фотокопии од лични документи, што не е во согласност со начелата на заштита на личните податоци.
Потребно е дефинирање на рокови на чување на личните податоци за секоја евиденција одделно.
Потребно е вметнување член со кој ќе се предвиди примената на технички и на организациски мерки за тајност и за заштита на личните податоци.
Што се однесува на Законот за државни и на Законот за јавни службеници, освен што се предвидува регистар на службениците како збирка на лични податоци, ниту се дефинирани личните податоци што ќе се обработуваат во оваа збирка ниту, пак, на кој начин ќе се врши обработката. Исто така, не се предвидени рокови во кои ќе се чуваат податоците. Кај овие два закони треба да се изврши измена и дополнување по сите начела за заштита на личните податоци.
Материјата што ја уредува овој закон е специфична и од аспект на примена на начелата за заштита на личните податоци, не е можно прецизно дефинирање на сите податоци за лицата за кои се известува или лица кои се поврзани со нив. Сепак, потребно е да се дефинираат точни насоки за објавување на лични податоци на лицата за кои се известува. Со тоа воедно би се поставиле и стандарди за правична обработка на личните податоци кои би значеле и воспоставување технички и организациски мерки за заштита на личните податоци од медиумот. Согласноста на субјектот, исто така, треба да биде предвидена со овој закон.
Потребна е измена на одредбата со која се предвидува: ако податоците се даваат на Министерството за труд и социјална политика, Агенцијата за вработување на Република Македонија и на Фондот за здравствено осигурување на Македонија, за потребите на вршење на работите од нивните надлежности и во согласност со прописите за заштита на личните податоци, само доколку банка склучи меморандум за соработка со овие институции, со кој се регулира начинот на достапност на податоците. Пред сè, спорен е самиот пристап како активност, а потоа и основата на која тоа се дозволува.
Предвиденото потпишување меморандуми за соработка со институциите за да може да добијат податоци е спорно бидејќи меморандумот ја нема правната сила да дозволи вакво нешто. Тој не е документ врз основа на кој оние најзасегнатите – граѓаните може да остварат право или, пак, да се побунат. Ова ја става под знак прашалник сериозноста на банките, особено заради фактот што банкарската тајна повеќе не е тајна, туку со исклучок тајната се открива на институциите.
Што се однесува до регулирањето на платниот промет, во согласност со законот, платните инструменти и нивната содржина и форма, освен формата на платните инструменти содржани во медиумите за пренос, ги пропишува министерот за финансии. Со ваквата формулација, содржината на платните инструменти се остава да биде утврдена со правилник, што не е во согласност со начелата за заштита на личните подтоци.
Практиката укажува дека за плаќања од физички лица, на платниот инструмент е содржан и ЕМБГ без да има законска основа.
Законот за парнична постапка содржи одредба со која се дефинира обемот на личните податоци. Обемот е соодветен освен во делот на поткрепување со доказ за лична идентификација. Ваквата формулација дозволува двојно толкување, па остава простор и за задржување на фотокопии од лични документи, што не е во согласност со начелата на заштита на личните податоци.
Кај овој закон, дополнително треба да се интервенира и во определувањето рокови на чување на личните податоци за секоја евиденција одделно и технички и организациски мерки за тајност и за заштита на личните податоци.
Обемот на лични податоци предвиден во Законот за извршување е соодветен на целта со забелешка дека не е точно прецизиран обемот на податоци за лицата за кои извршителот дава јавна објава. Често е вклучен и ЕМБГ во објавата, а за тоа нема законска основа.
Потребно е дефинирање на рокови на чување на личните податоци за секоја евиденција одделно, како и вметнување член со кој ќе се предвиди примената на технички и на организациски мерки за тајност и за заштита на личните податоци.
Категориите на лични податоци што се обработуваат во евиденците од Законот за безбедност на патиштата се дефинирани со други закони и со правилници на Министерството за внатрешни работи. Евиденцијата на снимки од видеонадзор на патиштата е една евиденција за која е задолжително потребно целосно регулирање на обемот на лични податоци.
Бидејќи видеонадзорот е материја што се регулира со Законот за заштита на личните податоци, потребно е усогласување со начелата на правично вршење на видеонадзор. Целта е јасна и оправдана, но потребно е прецизирање на личните податоци што ќе се собираат (фокусот на снимање на камерите), кој во полицијата ќе има пристап до снимените материјали, на кој начин тие ќе се испраќаат до возачот, односно до сопственикот на возилото. Исто така, законот треба да предвиди и посебни известувања за возачите за местата на кои има поставено систем за видеонадзор.
Потребно е прецизирање на роковите, освен кај снимките од видеонадзорот, за кои е предвидено дека ќе се чуваат во рок од шест месеци.