Во функција на усогласување со начелата, вредностите и правилата за заштита на личните податоци предвидени во новиот Закон за заштита на личните податоци („Службен весник на Република Северна Македонија“ бр. 42/20), контролорот ќе треба да преземе соодветни активности за подобрување, надградба и прилагодување на својот воспоставен систем за заштита на личните податоци согласно овој закон.
Во тој контекст, контролорот ќе треба да изврши длабинска анализа на постојниот воспоставен систем за заштита на личните податоци во корелација со одредбите од Законот за заштита на личните податоци кои се применливи на операциите на собирање, обработка и чување на личните податоци.
При вршењето на длабинската анализа, контролорот ќе треба да направи и проценка со која ќе ги опфати особено следните прашања, и тоа:
- каталошко идентификување на сите збирки на лични податоци во однос на: целите на обработка; категориите на физички лица (субјекти на личните податоци) и на категориите на личните податоци; преносот на лични податоци во други држави; предвидените рокови за чување, односно бришење на различните категории на лични податоци,
- детектирање на природата, обемот, контекстот и целите на обработката на личните податоци, како и ризиците со различна веројатност и сериозност за правата и слободите на физичките лица (субјекти на личните податоци) кои произлегуваат од таа обработка,
- поставеноста, улогата, правата, обврските и одговорностите на офицерот за заштита на личните податоци,
- применливите технички и организациски мерки и потребата од нивно надградување и подобрување според мерките предвидени во Законот за заштита на личните податоци,
- документацијата за техничките и организациските мерки и нејзино усогласување според одредбите на Законот за заштита на личните податоци,
- договорните норми за заштита на личните податоци со обработувачите (определување на меѓусебните права и обврски на контролорот и обработувачот), како и нивна евалуација од аспект на постојното применување на правилата за заштита на личните податоци,
- воспоставениот систем за обуки за вработените во врска со заштитата на личните податоци,
- поставеноста на процесите за информирање за правата на физичките лица (субјектите на личните податоци) и за начинот на нивното остварување, како што се правото на: информирање, пристап, исправка, бришење, ограничување на обработката, преносливост на податоците и приговор,
- процесите на пренос на личните податоци во други држави и правната рамка врз основа на која се врши преносот,
- користењето на информатичка инфраструктура и софтверски апликации и потребата од нивна надградба и прилагодување според стандардите и мерките предвидени во Законот за заштита на личните податоци, а посебно од аспект на применливоста на техничка и интегрирана заштита на личните податоци (privacy by design and privacy by default),
- воспоставениот систем за периодична и внатрешна контрола на операциите за обработка на личните податоци,
- процесите на профилирање, како и правната и информатичката рамка за тие процеси,
- поставеноста, улогата, обврските и одговорностите на раководството и вработените во постојниот систем за заштита на личните податоци и потребата од прилагодување според правилата предвидени во Законот за заштита на личните податоци (начелото на отчетност).
По завршување на длабинската анализа, контролорот ќе треба да донесе и примени Акциски план со предвидени активности и мерки по приоритет, како и динамика за постигнување на соодветна усогласеност со одредбите од Законот за заштита на личните податоци.
По реализирање на предвидените активности и мерки од Акцискиот план, контролорот ќе треба континуирано да го следи и проверува применувањето на усогласениот систем за заштита на личните податоци, како и да ги координира активностите и дејствијата помеѓу вработените и раководството во функција на одржување на системот. Во тие рамки, клучна улога во координирањето на вработените и раководството, комуникацијата помеѓу вработените и раководството, нивната обука, како и следењето и проверувањето на усогласеноста на системот ќе има офицерот за заштита на личните податоци според Законот за заштита на личните податоци.