Заштита на лични податоци при студирање
Кои лични податоци треба да ги споделам со факултетот кога се запишувам?
Високообразовните институции ги обработуваат личните податоци врз основа на законска обврска или јавно овластување.
Законот за високото образование („Службен весник на Република Македонија“ бр. 82/2018 и „Службен весник на Република Северна Македонија“ бр. 178/2021) во членот 158 го уредува водењето и заштитата на личните податоци од страна на високообразовните установи.
Евиденциите кои високообразовните институции ги водат ги опфаќаат следните лични податоци: име и презиме на студентот (за студентките и моминското презиме), пол, датум, место и дата на раѓање, држава на раѓање, живеалиште или престојувалиште, единствен матичен број на граѓанинот, државјанство, претходно стекнато образование, начин на студирање како и други податоци по посебни прописи. Покрај горенаведените податоци обработката опфаќа и опфаќа и податоци за положени испити, за напредувањето и завршувањето на студиите.
Документите за претходното образование по завршената уписна постапка му се враќаат на студентот.
Членот 159 од ЗВО, утврдува дека високообразовните установи водат матична книга на запишани студенти и главна книга на дипломирани студенти и досие на секој студент. Формата и начинот на водењето (во материјална и електронска) и содржината на матичната книга на запишани студенти и главната книга на дипломирани студенти ги пропишува министерот надлежен за работите на високото образование. Матичната книга на запишани студенти и главната книга на дипломираните студенти се документи од трајна вредност.
Дали и кога смеам да барам да бидат избришани моите податоци?
Студентите можат да бараат бришење на нивните лични податоци кои се обработуваат од страна на факултетот и тоа само доколку постои еден од законските основи за остварување на правото на бришење (личните податоци повеќе не се потребни за целите за кои биле собрани или обработени на друг начин; субјектот на личните податоци ја повлекува својата согласност врз која се заснова обработката на податоците и ако не постои друга законска основа за обработка; субјектот на личните податоци поднесе приговор на обработката согласно со членот 25 став (1) од ЗЗЛП, при што не постојат преовладувачки легитимни цели за обработката, или субјектот на личните податоци поднесе приговор на обработката согласно со членот 25 став (2) од ЗЗЛП; личните податоци биле незаконски обработени; личните податоци треба да бидат избришани со цел почитување на обврска утврдена со закон која се однесува на контролорот; личните податоци биле собрани во врска со понудата на услуги на информатичко општество, согласно со членот 12 став (1) од ЗЗЛП), меѓутоа факултетот нема да ги избрише личните податоци за кои има законски основ да ги обработува, а особено оние податоци кои се запишани во евиденциите од трајна вредност.
Дали факултетот може да споделува информации за текот на студиите со мојот родител/старател?
Споделувањето на информации поврзани со студиите не е регулирано со Законот за високото образование, меѓутоа ова како материја е регулирана во дел од актите на универзитетите.
На пример, статутот на Универзитетот „Гоце Делчев“ во Штип во членот 295, предвидува дека „Право на увид во испитната документација имаат студент и лице кое може да докаже дека има правен интерес (родител/старател)“. Ова право не е предвидено во статутот на Универзитетот „Св. Кирил и Методиј“ во Скопје.
Европските тенденции одат кон тоа дека личните податоци и информациите поврзни со студирањето, во принцип не треба да бидат споделувани со родител/старател или други членови на семејството, освен со изречна согласност на самиот студент. Исклучок од тоа се ситуации е доколку станува збор за итен случај (на пример, студент е итно однесен во болница, во тој случај може да се контактираат наведените контакти за итни случаи и истите да се известат за ситуацијата, без да се споделуваат дополнителни информации за студентот што не се релевантни за итната состојба).
Заштита на лични податоци и истражувања
Кои права ги имаат учесниците во истражувања како субјекти на лични податоци?
Кога личните податоци се обработуваат за цели на научни или историски истражувања или за статистички цели, субјектот на личните податоци има право, врз основа на конкретната ситуација поврзана со него да поднесе приговор против обработката на неговите лични податоци, освен ако обработката е неопходна за реализирање на работи од јавен интерес.
За целите на научни и историски истражувања или статистички цели може да се врши и обработка на посебни категории на лични податоци (чувствителни податоци – етничко потекло, религиска определба, сексуална ориентација, челнство во синдикат или политичка партија и сл.) врз основа на закон, што е пропорционално на целта во согласност со почитување на суштината на правото на заштита на личните податоци и обезбедување соодветни и конкретни мерки за заштита на основните права и интереси на субјектот на личните податоци.
Исто така, за научни или историски истражувања може да се обработуваат и лични податоци за починатите лица доколку починатиот писмено не го забранил давањето на личните податоци, освен доколку поинаку не е утврдено со закон (доколку починатиот не дал забрана, лицата кои според закон се негови законски наследници, можат писмено да го забранат давањето на неговите податоци, освен доколку поинаку не е утврдено со закон).
Кои обврски ги има истражувачот како контролор на лични податоци?
При обработката на лични податоци за научни или историски истражувања, истражувачот (контролорот) е должен да примени соодветни заштитни мерки (технички и организациски) за правата и слободите на субјектот на личните податоци (испитаникот) во согласност со ЗЗЛП, а особено во однос на почитувањето на начелото на обработка на минимален обем на податоци.
Кога личните податоци се обработуваат за научни или историски истражувања или за статистички цели, со закон можат да се предвидат отстапувања од правата наведени во членовите 19, 20, 22 и 25 од ЗЗЛП (право на пристап до лични податоци, право на исправка, право на ограничување на обработката и право на приговор), до степен до кој постои веројатност овие права да го направат невозможно или сериозно да го попречат остварувањето на конкретните цели, а наведените отстапувања се потребни за постигнување на овие цели.
Заштита на лични податоци на членовите на здруженија на граѓани, синдикати и политички партии
Заедничко за невладините организации, политичките партии и синдикатите е тоа што сите се организации каде што физичките лица (субјекти на лични податоци) се зачленуваат по свој слободен избор, на доброволна основа.
Согласно ЗЗЛП, личните податоци кои откриваат политички ставови и членство во синдикални организации се сметаат за „посебни категории на лични податоци“ (чувствителни податоци).
„Посебни категории на лични податоци“ се лични податоци кои откриваат расно или етничко потекло, политички ставови, верски или филозофски убедувања или членство во синдикални организации, како и генетски податоци, биометриски податоци, податоци што се однесуваат на здравјето или податоци за сексуалниот живот или сексуалната ориентација на физичкото лице;
Во членот 13 став (2) од ЗЗЛП е наведено дека обработка на посебните категории на лични податоци може да се врши ако:
1) субјектот на лични податоци дал изречна согласност за обработка на тие лични податоци за една или повеќе конкретни цели, освен кога со закон е предвидено дека забраната од ставот (1) на овој член за обработка на такви податоци не може да се отповика од субјектот на личните податоци;
2) обработката е неопходна за целите на извршување на обврските и остварувањето на посебните права на контролорот или на субјектот на личните податоци во областа на вработувањето и социјалната сигурност и во прописите за социјална заштита, доколку тоа е дозволено со закон или колективен договор, во кои се предвидуваат соодветни мерки за заштита на фундаменталните права и интереси на субјектот на лични податоци;
3) обработката е неопходна за заштита на суштинските интереси на субјектот на личните податоци или на друго физичко лице, кога субјектот на личните податоци физички или правно не е во можност да ја даде својата согласност;
4) обработката се извршува во рамките на легитимните активности со соодветни заштитни мерки од одредена фондација, здружение или некоја друга непрофитна организација со политичка, филозофска, религиозна или синдикална цел и под услов обработката да се однесува само на членови на овие организации или на нивни поранешни членови или на лица кои имаат редовни контакти со нив во врска со нивните цели и под услов личните податоци да не се откриваат надвор од таа организација без согласност на субјектите на личните податоци;
5) обработката се однесува на лични податоци, кои очигледно се објавени јавно од субјектот на личните податоци;
6) обработката е неопходна за воспоставување, практикување или одбрана на правни барања или секогаш кога судовите дејствуваат во рамките на нивните надлежности;
7) обработката е неопходна поради причини од јавен интерес врз основа на закон пропорционално на целта и почитување на суштината на правото на заштита на личните податоци, како и обезбедување соодветни и конкретни мерки за заштита на фундаменталните права и интереси на субјектот на личните податоци;
8) обработката е неопходна за целите на превентивна или трудова медицина, за проценка на работоспособноста на вработениот, медицинска дијагноза, обезбедување на здравствена или социјална нега или третман или за целите на управување со услугите и системите за здравствена или социјална заштита, врз основа на закон или во согласност со договор со здравствениот работник во кој предмет се условите и заштитните мерки наведени во ставот (3) на овој член;
9) обработката е неопходна за целите од јавен интерес во областа на јавното здравство, како што се заштита против сериозни прекугранични закани за здравјето или обезбедување на високи стандарди за квалитет и безбедност на здравствената заштита и лековите или медицинските помагала, врз основа на закон, во кој се предвидени соодветни и конкретни мерки за заштита на правата и слободите на субјектот на личните податоци, особено заштита на деловна тајна;
10) обработката е неопходна за целите на архивирање од јавен интерес, за целите на научни и историски истражувања или статистички цели во согласност со членот 86 став (1) од овој закон, врз основа на закон, што е пропорционално на целта во согласност со почитување на суштината на правото на заштита на личните податоци и обезбедување соодветни и конкретни мерки за заштита на основните права и интереси на субјектот на личните податоци.
Кои права ги имаат членовите на синдикатите како субјекти на лични податоци?
Работникот слободно одлучува за своето стапување и истапување од синдикатот.
Синдикатот мора да има статут заснован и донесен на начелата на демократското застапување и демократско почитување на волјата на членовите, кој што меѓу другото ќе ја содржи и постапката за зачленување и престанок на членството.
При зачленувањето, синдикатот (во својство на контролор) да ги почитува начелата поврзани со обработката на лични податоци, особено личните податоци да бидат соодветни, релевантни и ограничени на она што е неопходно во однос на целите заради кои се обработуваат („минимален обем на податоци“).
Оттука, при зачленување во одредена синдикална организација минимален обем на податоци кои со кои би се остварила целта (зачленување) се следните: име и презиме, назив на компанијата/установата во која работникот работи, работно место, година на раѓање, број на лична карта, потпис, контактни податоци. По направена анализа, одредени синдикални организации, во зависност од нивната специфичност, може да имаат потреба од обработка и на други лични податоци.
Имајќи предвид дека зачленувањето во синдикалните организации е на доброволна основа, барањето за бришење, односно истапување од истите треба да биде овозможено во секое време, а одговорот по истото не треба да го надминува законски предвидениот рок од 30 дена од денот на поднесувањето на барањето.
Ова не ја исклучува можноста, личните податоци на работникот да бидат обработувани (чувани) до истекот на утврдените рокови за чување и покрај бришењето од збирката на активни членови на синдикалната организација.
Кои права ги имаат членовите на политичките партии како субјекти на лични податоци?
Член на политичка партија може да биде секој полнолетен и деловно способен граѓанин на Република С. Македонија кој ќе даде потпис за доброволно членство во политичката партија. Секој член може слободно да истапи од политичката партија.
Како и синдикатот, секоја политичка партија мора да има статут кој што меѓу другото ќе ги содржи и условите и начинот на зачленување и престанување на членството и правата, обврските и одговорностите на членовите.
И при процесот на зачленување, политичка партија во својство на контролор на лични податоци треба особено да внимава на начелото „минимален обем на податоци“ и да ги обработува само оние податоци кои се потребни за исполнувањето на целта и тоа: име и презиме, датум на раѓање, адреса на живеење и контактни податоци (телефон, електронска пошта).
Имајќи предвид дека зачленувањето во политичките партии е на доброволна основа, барањето за бришење, односно истапување од истите треба да биде овозможено во секое време, а одговорот по истото не треба да го надминува законски предвидениот рок од 30 дена од денот на поднесувањето на барањето.
Кои права ги имаат членовите на здруженијата на граѓани како субјекти на лични податоци?
Членувањето во невладините организации е доброволно. Невладините организaции имаат законска можност да обработуваат лични податоци на малолетни лица и лица со делумно или целосно одземена деловна способност (со согласност на законски застапник).
Невладините организации водат регистар на членови чии податоци ги ажурираат најмалку еднаш на две години. Истите ја гарантираат анонимноста на личните податоци на членовите кои тоа го Побарале и гарантираат заштита на личните податоци во согласност со прописите за заштита на личните податоци.
При процесот на зачленување, невладината организација во својство на контролор на лични податоци треба особено да внимава на начелото „минимален обем на податоци“ и да ги обработува само оние податоци кои се потребни за исполнувањето на целта и тоа: име и презиме, датум на раѓање, адреса на живеење и контактни податоци (телефон, електронска пошта).
Имајќи предвид дека зачленувањето во невладината организација е на доброволна основа, барањето за бришење, односно истапување од истите треба да биде овозможено во секое време, а одговорот по истото не треба да го надминува законски предвидениот рок од 30 дена од денот на поднесувањето на барањето.
Мора да се напомене дека правото на бришење (правото да се биде заборавен) не е апсолутно право и доколку контролорот (синдикат, политичка партија, невладина организација) има законски основ за обработка на личните податоци, нема обврска истите да ги избрише.
Лични податоци на социјални мрежи
Кои податоци ги собираат, чуваат, обработуваат Facebook, Instagram и Google за нас?
Facebook/Instagram/Google претставуваат платформи кои обработуваат огромен сет на лични податоци за своите корисници.
Собирањето на податоците започнува со самата регистрација каде што се собираат на некој начин основни податоци како: име, презиме, датум на раѓање, држава, е-маил адреса, телефонски број, пол, фотографии и сл.
Овие платформи иста така обработуваат содржина на комуникациите како и останати активности кои корисниците ги извршуваат и сите тие информации се користат за корисникот да добива преглед на објави кои ќе соодветствуваат на неговите претходни активности (профилирање).
Исто така, од политиките за приватност кои се јавно достапни, може да се заклучи дека прилично длабоко се оди во собирањето на податоци и информации за корисниците, како што се ГПС локација, податоци за уредот од кој се пристапува, видеа, фотографии, пребарувањата во интернет пребарувач, пребарувања во мапи и многу други податоци.
Кога говориме за овој тип на контролори на лични податоци, не можеме да ги анализираме и да ги коментираме како сите други контролори имајќи ја предвид позицијата и доминацијата која што истите ја имаат на светско ниво.
Дали и како можеме да побараме бришење на нашите лични податоци од Facebook, Instagram и Google?
Иако овие платформи се веќе составен дел од нашите животи мораме да бидеме претпазливи со какви податоци ги полниме истите, бидејќи имаме премногу мали можности за контрола на нашите лични податоци.
Дури и после бришењето на самите кориснички сметки (account-и) ние не сме сигурни колку време ќе се обработуваат нашите лични податоци.
Дополнителен сомнеж за безбедноста на обработката на личните податоци оставаат редовните казни кои овие компании ги плаќаат кои ја преминаа и границата од една милијарда евра (во моментов највисокта казна е изречена на МЕТА корпорацијата за незаконски пренос на податоци за корисници од Европа во САД), при што се добива впечаток дека заработувачката е многу поголема од редовните казни.
Податоци што не се сметаат за лични податоци
Што не е личен податок?
Личен податок не може да биде ниту една информација преку која што не може да се идентификува одредено физичко лице (директно или индиректно).
За лични податоци не можат да се сметаат:
- Податоци кои се однесуваат на одредено правно лице (компанија, државен орган и сл.);
- Е-маил адреса преку која не може да се направи идентификација на одредено лице (пр. info@privacy.mk);
- Анонимизирани податоци (кога податоците се успешно анонимизирани, истите не припаѓаат повеќе во категоријата на лични податоци и за нив не важат правилата за заштита на лични податоци).
Заштита на лични податоци на децата и учениците
Што треба да исполни градинката/училиштето за да бидам сигурна дека личните податоци на моето дете се заштитени?
Градинките/училиштата како и сите останати Контролори имаат обврска да постапуваат согласно Законот за заштита на личните податоци и подзаконските акти кои произлегуваат од него и да преземаат соодветни технички и организациски мерки за да не дојде до нарушување на безбедноста на личните податоци, што може да доведе до случајно или незаконско уништување, губење, менување, неовластено откривање или пристап до личните податоци кои се пренесуваат, чуваат или на друг начин се обработуваат.
Имајќи предвид дека се` повеќе градинки/училишта овозможуваат услуги преку веб страници, каде што вршат обработка на лични податоци (на пример: Барање за успис, каде се внесуваат лични податоци на деца), потребно е веб страниците да исполнуваат современи стандарди на безбедност (на пр. https протокол), да се објават соодветни информации за обработката на личните податоци (објавување на Политика за приватност, Политика за колачиња), овозможување на механизми за повеќефакторска идентификација итн.
Исто така, и покрај објавите на веб страницата, градинките/училиштата треба да најдат соодветен механизам да ги обезбедат сите потребни информации до субјектите на личните податоци, на начин на кој што истите ќе бидат разбрани од страна на субјектите.
Повеќе информации како објавување на фотографии од настани и сл. се објавени од страна на Агенцијата за заштита на личните податоци (https://azlp.mk/kontrolori/chpp/).
Директен маркетинг
Дали компаниите смеат да ме контактираат на социјалните мрежи, на телефон или e-mail за да ми нудат производи или услуги?
Согласно ЗЗЛП, обработката на лични податоци за целите на директен маркетинг е дозволена само доколку личните податоци се обработуваат откако субјектот на лични податоци дал изречна согласност, специфицирајќи го каналот преку кој ќе биде комунициран, без разлика дали станува збор за контактирање преку телефон, е-маил, смс или преку социјални мрежи (пр. Фејсбук, Вибер и др.).
Како можам да ја запрам обработката на моите лични податоци за директен маркетинг?
Доколку личните податоци се обработуваат за цели на директен маркетинг, субјектот на личните податоци има право во секое време да поднесе приговор на обработката на неговите лични податоци поврзани со овој вид на маркетинг до контролорот. Кога субјектот на личните податоци приговара на обработката на неговите лични податоци за цели на директен маркетинг, контролорот ја запира натамошната обработка на личните податоци за тие цели.
Исто така, субјектот на лични податоци има право да поднесе барање за утврдување на повреда на правото на заштита на личните податоци до Агенцијата за заштита на личните податоци, како и да поведе судска постапка пред надлежен суд.
Копирање лични карти
Кој и зошто смее да направи копија од мојата лична карта?
Законот за личната карта утврдува дека личната карта може да ја копираат контролорите и/или обработувачите само во случаи утврдени со закон.
Личната карта покрај лицата на кои се однесува, може да ја копираат и нотарите при утврдување на идентитетот и субјективитетот на учесниците во постапките кои се водат пред нотар согласно со закон, како и од страна на други контролори и/или обработувачи на збирки на лични податоци само во случаи утврдени со закон.
По исклучок личната карта може за однапред утврдена цел или цели да се копира и по претходна писмена изречна согласност на сопственикот на личната карта.
По копирањето на личната карта, копијата соодветно се означува дека истата не може да се користи за друга цел освен за онаа за која согласно со закон е направена. Натамошното копирање, односно умножување на копијата е забрането, освен доколку со закон поинаку не е утврдено.
На барање на сопственикот на личната карта контролорот, односно обработувачот е должен да издаде потврда за направената копија на личната карта во која задолжително се наведува целта за која е направена копијата и рокот на нејзиното чување.
Забрането е обработување и чување на копија на лична карта во електронски облик, освен доколку со закон поинаку не е утврдено.
Оттука, произлегува дека основи за обработка на копија од лична карта може да биде:
- Обврска предвидена со закон
- Претходна писмена изречна согласност за однапред утврдена цел или цели