Овој водич објаснува како функционира заштитата на личните податоци во Северна Македонија. Напишан е на јасен и разбирлив начин. Текстот е подготвен од нашиот управувачки партнер, Владимир Бошњаковски, адвокат за заштита на лични податоци во Северна Македонија и консултант во Скопје, со повеќе од десет години искуство во усогласување со регулативата за заштита на податоци. Тој има советувано компании кои работат со големи и чувствителни бази на податоци, особено во финансискиот и здравствениот сектор, и истовремено врши функција на офицер за заштита на податоци (DPO) за две ИКТ компании.
Како што Северна Македонија целосно ја има имплементирано Општата регулатива за заштита на податоци (GDPR), овој водич има за цел да покаже како практично да се постигне усогласеност со GDPR во Северна Македонија.
Што ќе прочитате
Ќе добиете јасно разбирање за:
- барањата на Законот за заштита на лични податоци (ЗЗЛП)
- клучните улоги (контролор, обработувач, DPO и други)
- правата на физичките лица
- постапување со чувствителни податоци, особено здравствени
- пренос на податоци преку граници, вклучително и кон ЕУ/ЕЕА и НАТО земји
За официјални извори, препорачуваме:
Кои индустрии се најзасегнати?
Северна Македонија има модерен закон усогласен со GDPR, кој експлицитно наведува дека е хармонизиран со Регулативата (ЕУ) 2016/679. Сепак, примената на овие правила не е апстрактна. Регулаторите имаат јасни приоритети и во пракса се фокусираат на индустрии каде ризикот е најголем.
Овој ризик најчесто произлегува од обемот на податоци што се обработуваат, нивната чувствителност, како и од начинот на обработка, особено кога се користат нови технологии или аналитички алатки. Ова директно влијае на секојдневното работење, управувањето со добавувачи и постапувањето при инциденти.
Компаниите кои работат во технологија, финтек, аутсорсинг или здравство речиси секогаш обработуваат големи количини на податоци за клиенти и вработени, вклучително и финансиски информации, идентификатори, здравствени и биометриски податоци, како и прекугранични преноси на податоци преку cloud инфраструктура, аналитика и поддршка.
LPDP и GDPR: што е исто, а што е различно?
Основна усогласеност
Законот за заштита на лични податоци во Северна Македонија во голема мера ја следи структурата и логиката на GDPR. Во практиката, ова значи дека компаниите ќе ги препознаат истите основни принципи, правни основи за обработка, права на субјектите на податоци, обврски за безбедност, проценки на влијание (DPIA), известување за повреди на податоци и механизми за меѓународни трансфери.
Кратка споредбена табела
| Тема | Северна Македонија – ЗЗЛП (практично значење) | GDPR (ЕУ основа) |
|---|---|---|
| Усогласеност | ЗЗЛП експлицитно наведува усогласеност со GDPR. | GDPR е регулативата на ЕУ. |
| Територијален опсег | GDPR-стил екстратериторијален опсег. Ги опфаќа локалните субјекти и одредени странски контролори кои нудат услуги/производи или следат однесување. | Идентичен модел. |
| Посебни категории податоци | Ист концепт и листа (здравствени, генетски, биометриски и др.). | Ист концепт (член 9 GDPR). |
| Клучна локална специфичност | Постојат барања за претходно одобрување во одредени случаи, вклучително за здравствени/генетски/биометриски податоци (член 84) и за одредена систематска употреба на матичен број (член 83). | GDPR не бара претходно одобрување од орган само затоа што податоците се „здравствени“ или „биометриски“, туку бара правна основа и соодветни заштитни мерки. |
| Права на субјекти на податоци | Правата и роковите се усогласени со GDPR: одговор во рок од еден месец, со можност за продолжување во сложени случаи, најчесто без надомест. | Ист пристап (член 12 и членови 15–22 GDPR). |
| Известување за повреда на податоци | Известување до АЗЛП во рок од 72 часа кога е можно, и известување на поединци кога постои висок ризик. | Истата структура (членови 33–34 GDPR). |
| Меѓународни трансфери | ЗЗЛП користи GDPR-стил алатки од Поглавје V, но исто така воведува обврска за известување за трансфери кон ЕУ/ЕЕА (и од 2025 и НАТО земји). | Поглавје V од GDPR се применува само за „трети земји“ и меѓународни организации. Не постои обврска за известување за трансфери внатре во ЕУ/ЕЕА. |
| DPO (офицер за заштита на податоци) | Правилата се слични на GDPR, но ЗЗЛП предвидува формални критериуми (образование, јазик) и АЗЛП води јавен регистар на DPO. | Постојат правила за DPO, но GDPR не пропишува конкретни формални критериуми за образование/јазик во самиот текст. |
Клучни улоги што мора правилно да ги поставите
Правилното дефинирање на улогите е основа за функционална усогласеност. Контролорот е оној кој одлучува „зошто“ и „како“ се обработуваат личните податоци, што во пракса значи дека мора да обезбеди транспарентност, избор на правна основа, управување со ризици, водење евиденции, безбедност и одговор на барања од субјектите.
Од друга страна, обработувачот обработува податоци во име на контролорот и мора да постапува строго по инструкции, да обезбеди доверливост и безбедност, да помогне при известување за повреди и остварување на права, како и да дозволи ревизии.
Посебно е важно да се разбере дека договорот помеѓу контролор и обработувач не е формалност, туку документ кој мора детално да ги регулира сите овие аспекти.
Улогата на офицерот за заштита на податоци (DPO) е оперативна и континуирана. Тој не е само советник, туку активно учествува во мониторинг на усогласеноста, обука, проценки на влијание (DPIA) и комуникација со АЗЛП.
Мапа на улоги
| Улога | Што значи | Што мора да прави во пракса |
|---|---|---|
| Контролор | Одлучува „зошто“ и „како“ се обработуваат личните податоци. | Мора да обезбеди транспарентност, да избере правна основа, да управува со ризици, да води евиденции, да имплементира безбедносни мерки, да управува со добавувачи и да одговара на барања за права на субјектите. |
| Обработувач | Обработува податоци во име на контролорот и по негови инструкции. | Мора да следи документирани инструкции, да обезбеди доверливост, да поддржи безбедност и известување за повреди, да помогне со правата на субјектите и да дозволи ревизии. Договорите мора да ги регулираат овие обврски. |
| Под-обработувач | Добавувач на обработувачот. | Потребно е одобрување од контролорот и пренос на обврските („flow-down“) во писмена форма. |
| Заеднички контролори | Две или повеќе страни заеднички одлучуваат за целта и средствата на обработката. | Мора да ги распределат одговорностите во договорен аранжман и да ја споделат суштината на договорот со субјектите на податоци. |
| Претставник | Локална контакт точка кога странска компанија таргетира лица во Северна Македонија. | Потребен е во многу случаи кога се применува член 3(2). |
| DPO (офицер за заштита на податоци) | Лице одговорно за усогласеност, советување и мониторинг. | Мора да биде вклучен од рана фаза, да известува до врвното раководство и да служи како контакт точка. Контролорот мора да ги објави неговите контакт податоци и да ги достави до АЗЛП. |
Две практични точки кои се клучни во секојдневното работење
Прво, договорот помеѓу контролорот и обработувачот не е „формалност“ или обична документација. Законот за заштита на лични податоци јасно пропишува што мора да содржи ваквиот договор. Тој мора да ги регулира доверливоста, безбедносните мерки, поддршката при остварување на правата на субјектите, контролата на под-обработувачи, бришењето или враќањето на податоците, како и соработката при ревизии.
Второ, функцијата на офицерот за заштита на податоци (DPO) е оперативна, а не формална. Законот предвидува дека DPO има активна улога која опфаќа советување, мониторинг на усогласеноста, обука, поддршка при проценки на влијание (DPIA) и дејствување како контакт точка со Агенцијата за заштита на лични податоци (АЗЛП).
Права и обврски од кои заврши реалната усогласеност
Физичките лица (субјекти на податоци) имаат извршливи права, а контролорите имаат строги обврски за навремено постапување. Во пракса, токму тука најчесто започнуваат споровите.
| Право | Што може да побара лицето | Што мора вашата организација да има подготвено |
|---|---|---|
| Пристап | „Дали ги обработувате моите податоци? Дајте ми копија и клучни информации.“ | Мапа на податоци, процес за пребарување низ системи, верификација на идентитет, шаблони за одговор. |
| Исправка | „Исправете неточни податоци.“ | Јасна сопственост на изворите на податоци, логови за корекции, известувања за ажурирање каде што е потребно. |
| Бришење | „Избришете ги моите податоци“ (кога законот дозволува). | Политики за чување на податоци, процедури за бришење, анализа на исклучоци (законски обврски, побарувања итн.). |
| Ограничување | „Привремено престанете да ги користите моите податоци.“ | Можност за означување и „замрзнување“ на обработката во системите. |
| Преносливост | „Дајте ми ги моите податоци во употреблив формат.“ | Формати за извоз, контроли за автентикација, поддршка од добавувачи. |
| Приговор | „Престанете со обработка врз основа на мојата ситуација“, особено за маркетинг. | Документација за легитимен интерес, алатки за opt-out. |
| Жалба и судска постапка | Лицето може да се обрати до АЗЛП и суд. Можни се и барања за надомест на штета. | Внатрешни процедури за ескалација, правна ревизија, зачувување на докази и управување со инциденти. |
Роковите се критични. Според Законот за заштита на лични податоци, контролорот мора да постапи без неоправдано одложување, и по правило во рок од еден месец, со можност за продолжување до уште два месеци во сложени случаи. Доколку контролорот одбие да постапи или не постапи, должен е да даде јасно образложение и да го информира лицето за можноста да поднесе жалба до АЗЛП или да побара судска заштита.
Чувствителни лични податоци и високоризична обработка
Што се смета за „чувствителни“ податоци во Северна Македонија
Законот за заштита на лични податоци ги дефинира „посебните категории на податоци“ на ист начин како GDPR. Ова ги опфаќа податоците за расно или етничко потекло, политички ставови, религиозни или филозофски убедувања, синдикално членство, како и генетски, биометриски и здравствени податоци, вклучително и податоци за сексуален живот и сексуална ориентација.
Основното правило е исто како и во GDPR: обработката на овие категории податоци е забранета, освен ако не постои конкретен законски основ. Овие основи вклучуваат, меѓу другото, експлицитна согласност, обврски од работен однос или социјално осигурување, витални интереси, јавен интерес, здравствена заштита, како и други пропишани случаи.
Клучна локална разлика: претходни одобренија
Северна Македонија воведува дополнителен регулаторен слој во одредени области.
Кај здравствени, генетски и биометриски податоци, член 84 предвидува дека во одредени случаи е потребно претходно одобрување од Агенцијата за заштита на лични податоци (АЗЛП). Иако постојат исклучоци (на пример кога обработката е утврдена со закон и соодветни заштитни мерки), ова правило има значајно практично влијание.
Кај обработката на матичен број, член 83 воведува ограничувања и бара претходно одобрување од АЗЛП за одредени систематски и обемни обработки.
Овие правила имаат најголемо значење во сектори како здравство (клинички записи, пациентски портали, лабораториски резултати, телемедицина, дијагностички алатки), финансии (KYC процедури, кредитно оценување, спречување измами) и технологија (биометриска контрола на пристап, AI профилирање, анализа на големи чувствителни бази на податоци).
Ризик кај „нови производи“: DPIA и дизајн од почеток
Доколку развивате нов производ, заштитата на податоци мора да биде интегрирана во самиот дизајн.
Законот бара спроведување на проценка на влијание врз заштита на податоци (DPIA) пред обработка која може да предизвика висок ризик, особено кога се користат нови технологии, се врши профилирање во голем обем, се обработуваат чувствителни податоци на големо ниво или се врши систематско следење на јавни простори.
Дополнително, законот бара примена на принципите „заштита на податоци по дизајн и по дифолт“ (privacy by design и by default). Ова значи дека уште од првиот ден мора да се вградат минимизација на податоци, контрола на пристап и соодветни поставки за приватност.
Известување за високоризична обработка
Покрај DPIA, Законот предвидува и посебен концепт на „известување за високоризична обработка“.
Член 71 бара контролорите да ја известат АЗЛП кога користат нови технологии кои можат да создадат висок ризик. Законот исто така ги дефинира и потребните елементи на известувањето, како што се назив на системот, цел на обработката, правна основа, категории на податоци, приматели, информации за трансфер и безбедносни мерки.
Ова е една од причините зошто усогласеноста во пракса бара детална интерна документација, а не само формално известување за приватност.
Меѓународни трансфери на податоци: ЕУ/ЕЕА, НАТО и трети земји
Прекуграничните преноси на податоци се секојдневие за македонските компании. Користењето cloud услуги, хостинг, поддршка на клиенти, payroll системи и групно известување неизбежно отвора прашања за трансфер на податоци.
Трансфери кон ЕУ/ЕЕА и НАТО земји
Согласно член 48, правилата за „трансфери кон трети земји“ не се применуваат кога податоците се пренесуваат од Северна Македонија во земји членки на ЕУ или ЕЕА. Сепак, контролорот или обработувачот има обврска да изврши известување до АЗЛП за ваквите трансфери.
Во мај 2025 година, законот беше изменет со што и земјите членки на НАТО беа вклучени во овој поедноставен режим. Ова значи дека и за нив важи истата логика на известување.
Дополнително, подзаконските акти (правилници) детално ја уредуваат постапката, вклучително и обврската известувањето да се поднесе најмалку 15 дена пред започнување на трансферот, преку електронскиот систем на АЗЛП или по е-пошта.
Практичен заклучок
За трансфери кон ЕУ/ЕЕА и НАТО земји, вообичаено не е потребно одобрување од АЗЛП, но е задолжително известување.
Трансфери кон трети земји надвор од ЕУ/ЕЕА и НАТО
Законот за заштита на лични податоци користи структура слична на GDPR кога станува збор за трансфери кон трети земји и меѓународни организации.
Соодветност (Adequacy)
Трансферите може да се вршат кога Агенцијата за заштита на лични податоци (АЗЛП) утврди дека третата земја или меѓународната организација обезбедува соодветно ниво на заштита на личните податоци. Согласно правилникот за трансфери, при оваа оценка АЗЛП ги зема предвид одлуките на Европската унија, како и тоа дали конкретната држава е потписничка на Конвенцијата 108 на Советот на Европа.
Соодветни заштитни мерки (Appropriate safeguards)
Кога не постои одлука за соодветност, трансферите може да се засноваат на соодветни заштитни механизми, како што се договорни решенија, обврзувачки корпоративни правила и други правни инструменти, зависно од конкретниот случај.
Северна Македонија има усвоено стандардни договорни клаузули (SCC) за трансфери кон трети земји, со одлука на АЗЛП, кои се усогласени со SCC рамката на Европската унија.
Исклучоци (Derogations)
Законот предвидува и одредени исклучоци за специфични ситуации, како што се експлицитна согласност на субјектот, потреба за извршување на договор, јавен интерес или остварување на правни побарувања.
Табела: Алатки за трансфер на податоци
| Дестинација | Што вообичаено е потребно | Клучни извори |
|---|---|---|
| ЕУ/ЕЕА | Известување до АЗЛП за трансферот и водење евиденција за трансферите. | Член 48 од ЗЗЛП; Правилник за трансфери. |
| НАТО земји | Од 2025 година се третираат како ЕУ/ЕЕА за целите на член 48, односно важи логика на известување. Треба да се следат можни измени во 2026 година. | Измени на ЗЗЛП 101/25; нацрт-измени. |
| Други трети земји | Одлука за соодветност, или соодветни заштитни мерки (SCC и сл.), или тесно дефиниран исклучок. | Членови 49–50 од ЗЗЛП; одлуки и упатства на АЗЛП за SCC. |
Што треба да знаете за користење cloud услуги според Законот за заштита на лични податоци во Северна Македонија?
Користењето cloud услуги е дозволено според Законот за заштита на лични податоци во Северна Македонија. Сепак, користењето на меѓународни cloud провајдери создава правни обврски кои одат подалеку од основната ИТ безбедност.
Кога вашата компанија користи провајдери како AWS, Microsoft Azure, Google Cloud или други SaaS платформи, вие и понатаму останувате целосно одговорни како контролор. Аутсорсингот на инфраструктурата не значи пренос на одговорноста за усогласеност.
Клучно прашање е меѓународниот трансфер на податоци. Многу cloud провајдери складираат или реплицираат податоци во повеќе јурисдикции. Дури и ако вашата компанија работи во Скопје, податоците може да се обработуваат во ЕУ, САД или други трети земји, што директно ги активира правилата за прекуграничен трансфер.
Пред користење на cloud услуги, потребно е да се направи јасна проценка на следните прашања. Треба да се утврди каде точно ќе се складираат и од каде ќе се пристапува до податоците, дали трансферот спаѓа во поедноставениот режим за ЕУ/ЕЕА, дали трансферите кон трети земји бараат дополнителни заштитни механизми, како и дали постои обврска за известување до Агенцијата за заштита на лични податоци (АЗЛП).
Доколку личните податоци се пренесуваат надвор од ЕУ/ЕЕА или други дозволени јурисдикции, потребно е да се применат соодветни заштитни мерки, како што се стандардни договорни клаузули (SCC) или други законски механизми.
Покрај прашањата за трансфер, неопходно е да постои усогласен договор помеѓу контролорот и обработувачот. Овој договор мора да ги регулира доверливоста, безбедносните мерки, користењето на под-обработувачи, правата за ревизија и обврските за известување при повреди на податоци.
Исто така, од суштинско значење се техничките и организациските мерки. Употребата на енкрипција, контроли на пристап, системи за логирање и јасни процедури за управување со инциденти значително го намалуваат регулаторниот ризик. Доколку обработката вклучува чувствителни податоци или следење во голем обем, може да биде потребна и проценка на влијание (DPIA).
Практиката покажува дека неправилно конфигурирани cloud системи се чест повод за регулаторни контроли, особено кога компаниите не ги анализирале импликациите од меѓународниот трансфер.
Доколку вашиот бизнис се потпира на меѓународна cloud инфраструктура, препорачливо е да се консултира адвокат за заштита на лични податоци во Северна Македонија, со цел да се воспостават усогласени механизми за трансфер и да се намали ризикот од санкции.
Нашето искуство: изградба на системи, развој на производи и постапување при контроли и спорови
Работиме со организации чие работење е директно зависно од податоци.
Имаме поддржано ИТ компании кои обработуваат големи количини на кориснички податоци, логови за користење и datasets хостирани во cloud. Во рамки на оваа работа, редовно советуваме и за структурирање на vendor синџири и прекугранични трансфери, како дел од секојдневното работење.
Советуваме и финансиски компании кои обработуваат високо чувствителни податоци поврзани со идентитет и трансакции. Овие проекти често бараат строга контрола и governance, особено во однос на идентификатори и профилирање.
Дополнително, поддржуваме здравствени установи и healthtech компании, каде податоците се наоѓаат во зоната на највисока чувствителност според ЗЗЛП. Во одредени случаи, законот бара и претходно одобрување од АЗЛП за обработка на здравствени, генетски и биометриски податоци.
Што редовно работиме
Во нашата пракса, редовно:
- постапуваме во спорови и судски постапки поврзани со наводна злоупотреба или неправилна обработка на лични податоци, вклучително и случаи со потенцијална одговорност за штета.
- градиме системи за усогласеност во стил на ЗЗЛП/GDPR, вклучително политики, регистри, договори со добавувачи и обуки,
- советуваме при лансирање на нови производи, особено кога ризиците за приватност не се очигледни на почеток (профилирање, биометрика, AI, анализа на големи податоци),
- ги поддржуваме и застапуваме клиентите во постапки пред АЗЛП, вклучително надзори и барања за доставување на докази,
- постапуваме во спорови и судски постапки поврзани со наводна злоупотреба или неправилна обработка на лични податоци, вклучително и случаи со потенцијална одговорност за штета.
Нашиот пристап е практичен и оперативно ориентиран. Комбинираме правна анализа со реален дизајн на процеси, што вклучува моделирање на ризици, мапирање на текови на податоци и воспоставување на мерливи контролни механизми.
Ви е потребна структурирана правна поддршка за заштита на лични податоци во Северна Македонија?
Заштитата на личните податоци повеќе не е само формална обврска. Таа директно влијае на договорите, cloud инфраструктурата, HR процесите, маркетинг активностите и прекуграничното работење.
Професионалната правна поддршка ја намалува неизвесноста и го штити вашиот бизнис.
Како адвокат за заштита на лични податоци во Северна Македонија, советуваме ИТ компании, финансиски институции, здравствени организации и меѓународни инвеститори во однос на регулаторна усогласеност, интерна документација, инспекции и спорови поврзани со злоупотреба на лични податоци.
Комбинираме правна експертиза со силно разбирање на бизнисот и технологијата, што ни овозможува да обезбедиме практични и ризик-ориентирани решенија.
📞 Call us: +389 70 257 879
📧 Email: contact@boshnjakovski.com
🌐 Website: www.boshnjakovski.com
Бесплатна консултација
Правото е сложена материја. Може да ви предизвика голем проблем. Дозволете ни да ви помогнеме!
