Уставен суд
на Република Северна Македонија
УЗ.бр.24/2025
Скопје, 25.02.2026 година
Уставниот суд на Република Северна Македонија, во состав д-р Дарко Костадиновски, претседател на Судот и судиите Насер Ајдари, м-р Татјана Васиќ-Бозаџиева, д-р Осман Кадриу, Добрила Кацарска, д-р Гоце Наумовски, д-р Ана Павловска-Данева и м-р Фатмир Скендер, врз основа на член 110 од Уставот на Република Северна Македонија и член 73 од Актот на Уставниот суд на Република Северна Македонија („Службен весник на Република Северна Македонија“ бр.115/2024), на седницата одржана на 25 февруари 2026 година, донесе
Р Е Ш Е Н И Е
НЕ СЕ ПОВЕДУВА постапка за оценување на уставноста и законитоста на Правилникот за техничките и организациските мерки за безбедност и заштита на обработка на личните податоци бр.02-5200/1 од 28 октомври 2025 година („Службен весник на Република Северна Македонија“ бр.248/2021).
Образложение
I
Игорчо Точев од Скопје, до Уставниот суд на Република Северна Македонија, поднесе иницијатива за поведување постапка за оценување на уставноста и законитоста на актот означен во диспозитивот на ова решение.
Се наведува дека истиот е спротивен на член 4 став 1 точка 7 од Законот за заштита на личните податоци, член 157 став 2 од Законот за пензиското и инвалидското осигурување, како и со член 8 став 1 алинеја 3 и член 51 од Уставот на Република Северна Македонија.
Во иницијативата се цитираат одредби од Законот за пензиското и инвалидското осигурување, Законот за заштита на личните податоци, како и воведот на оспорениот правилник за кој се наведува дека не е јасно дали истиот е донесен врз основа на претходна согласност од Министерството за труд и социјална политика, согласно со член 157 став 2 од Законот за пензиското и инвалидското осигурување.
Со оглед на тоа што во ниту еден член од Законот за пензиското и инвалидското осигурување не се определува контролорот на начин определен во член 4 став 1 точка 7 од Законот за заштита на личните податоци, може да се доведе во прашање согласноста на оспорениот правилник и со член 8 став 1 алинеја 3 и член 51 од Уставот.
Поради сето ова, со иницијативата се предлага Судот да поведе постапка за оценување на уставноста и законитоста на оспорениот правилник и истиот да го укине.
II
На седницата Судот утврди дека оспорениот Правилник за техничките и организациските мерки за безбедност и заштита на обработка на личните податоци бр.02-5200/1 е донесен од страна на Управниот одбор на Фондот на пензиското и инвалидското осигурување на Северна Македонија, на седницата одржана на 28.10.2021 година, врз основа на член 157 став 1 точка 1 и член 215 став 2 од Законот за пензиското и инвалидското осигурување („Службен весник на Република Македонија“ бр. 98/2012, 166/2012, 15/2013, 170/2013, 43/2014, 44/2014, 97/2014, 113/2014, 160/2014, 188/2014, 20/2015, 61/2015, 97/2015, 129/2015, 147/2015, 154/2015, 173/2015, 217/2015, 27/2016, 120/2016, 132/2016, 35/2018, 220/2018 и 245/2018 и „Службен весник на Република Северна Македонија“ бр.180/2019, 275/2019, 31/2020 и 267/2020), а во врска со член 119 и 120 од Законот за заштита на личните податоци („Службен весник на Република Северна Македонија“ бр. 42/2020).
Правилникот содржи 50 члена систематизирани во 4 глави. Глава I е со наслов „Општи одредби“ (членови 1-7).
Според член 1 од Правилникот, со истиот се уредуваат правилата и стандардите кои ги применува Фондот на пензиското и инвалидското осигурување на Северна Македонија и истиот се применува на сите збирки на лични податоци кои Фондот ги собира, чува и обработува, со цел да обезбеди заштита на личните податоци за обврзниците, осигурениците и корисниците на права од пензиското и инвалидското осигурување, за кои Фондот води евиденција. Заштитата на обработката на личните податоци, Фондот ја обезбедува со примена на технички и организациски мерки, кои обезбедуваат тајност и заштита на податоците, соодветно на природата на податоците кои се обработуваат и ризикот при нивната обработка. Техничките и организациските мерки утврдени во овој правилник, соодветно се применуваат и во филијалите и деловниците на Фондот.
Во член 2 од Правилникот се дефинирани одделни изрази употребени во овој правилник како доверливост, интегритет, овластено лице, проверка, офицер за заштита на личните податоци,достапност, автентификација, неотповикливост, безбедносен ризик, управување со ризик, систем за заштита на личните податоци, документ, лозинка.
Согласно со член 3 од истиот пропис, фондот ги утврдува целите, безбедноста и начинот на обработка на личните податоци согласно со овој правилник.
Со член 4 од овој правилник, се уредува безбедноста на обработката на личните податоци, додека со член 5 се пропишани фазите кои ги опфаќа управувањето со ризик.
Техничките и организациските мерки, Фондот ги класифицира во две нивоа: стандардно и високо ниво, според член 6.
Со член 7 од истиот правилник, се дефинира за каков вид на документи кои технички и организациски мерки се применуваат.
Главата II од Правилникот е со наслов „Стандардно ниво на технички и организациски мерки“ и ги опфаќа членовите 8 – 36. Во членовите 8 и 9 се дефинирани документацијата за технички и организациски мерки и техничките мерки за обезбедување тајност и заштита на податоците.
Член 10 уредува дека обврските и одговорностите на секое овластено лице, Фондот ги дефинира и утврдува во правила за определување на обврските и одговорностите на администраторот на информацискиот систем и на овластените лица при користење на документите и информатичко-комуникациската опрема.
Член 11 од Правилникот, ја уредува контролата и пристапот на овластените лица до личните податоци и информатичко- комуникациска опрема.
Одредбите од член 12 и заклучно со член 17 ја уредуваат евиденцијата на пристап, евиденција на инциденти и мерките кои се применуваат заради обезбедување на преносливите медиуми, серверите и веб-страницата на Фондот, како и за заштита на внатрешната мрежа.
Начинот на дефинирање на обврските и одговорностите на администраторот на информацискиот систем е уреден со член 18, додека со член 19 е предвидено дека Фондот воспоставува постапки за идентификација и проверка на авторизираниот пристап. Начинот на изготвување на сигурносните копии како и повторното враќање на зачуваните лични податоци е пропишан со член 20. Со член 21 е утврден начинот на архивирање и чување на податоците.
Со членовите од 22 до 25 се пропишуваат начинот на управување со преносливи медиуми, криптирањето на личните податоци, како и начинот на спроведувањето на внатрешна и надворешна контрола на информацискиот систем и информатичката инфраструктура.
Одредбите од овој правилник се применуваат и при обработка на личните податоци од страна на обработувачот на збирка на лични податоци, според член 26.
Управувањето на обработувачите и меѓусебните права и обврски на Фондот и обработувачот се уредени со членовите 27 и 28.
Во член 29 се утврдени организациските мерки за безбедност на личните податоци. Информирањето и едукацијата за заштита на лични податоци на вработените во Фондот и лицата кои се ангажираат за извршување на работи во Фондот, се уредени со член 30.
Пристапот на документите на овластените лица во Фондот, правилото на „чисто биро“, при обработката на личните податоци, примената на соодветни механизми за чување на документите, како и начинот на уништување и чување на документите се уредени со членовите 31, 32, 33, 34, 35 и 36 од овој правилник.
Глава III од Правилникот со наслов „Високо ниво за технички и организациски мерки“ ги опфаќа членовите од 37 до 47. Со член 37 е утврдено дека високото ниво на технички и организациски мерки, подразбира: примена на електронски сертификати за идентификација и автентификација, криптирање на податоците кога се пренесуваат на медиуми и криптирање или посебна заштита со соодветни методи кога се пренесуваат преку телекомуникациска мрежа. Во член 38 се уредуваат дополнителни правила за технички мерки. Управувањето со лозинки и сертификацијата за заштита на личните податоци се уредени со членовите 39 и 40.
Управувањето со преносливи медиуми, тестирањето на информацискиот систем, сертификационите постапки, пренесувањето на медиуми и пренесувањето на личните податоци преку мрежа за електронски комуникации се уредени со членовите 41, 42, 43, 44 и 45.
Со членовите 46 и 47 се пропишани начинот и контролата на копирање или умножување на документите, како и физичкиот пренос на истите.
Глава IV од Правилникот е насловена „Преодни и завршни одредби“. Во член 48 е предвидено дека начинот и условите за обезбедување технички и организациски мерки за тајност и заштита на обработката на личните податоци се уредуваат со документацијата од член 8 од овој правилник. Документацијата од член 8 од овој правилник, директорот на Фондот ја донесува во рок од шест месеци од денот на влегување во сила на овој правилник. Во член 49 е предвидено дека со влегувањето во сила на овој правилник, престанува да се применува Правилникот за заштита на податоците на Фондот на пензиското и инвалидското осигурување на Македонија („Службен весник на Република Македонија“ бр. 73/2015). Со член 50 е утврдено дека овој правилник влегува во сила осмиот ден од денот на објавувањето во „Службен весник на Република Северна Македонија“.
III
Согласно со член 8 став 1 алинеја 3 од Уставот на Република Северна Македонија, владеењето на правото е темелна вредност на уставниот поредок на Република Северна Македонија.
Според член 51 од Уставот, во Република Северна Македонија законите мораат да бидат во согласност со Уставот, а сите други прописи со Уставот и со закон и секој е должен да ги почитува Уставот и законите.
Во член 157 став 1 точка 1 од Законот за пензиското и инвалидското осигурување („Службен весник на Република Македонија” бр. 98/2012, 166/2012, 15/2013, 170/2013, 43/2014, 44/2014, 97/2014, 113/2014, 160/2014, 188/2014, 20/2015, 61/2015, 97/2015, 129/2015, 147/2015, 154/2015, 173/2015, 217/2015, 27/2016, 120/2016, 132/2016, 35/2018, 220/2018 и 245/2018 и „Службен весник на Република Северна Македонија“ бр. 180/2019, 275/2019, 31/2020, 267/2020, 67/2022, 79/2023, 193/2024, 75/2025 и 154/2025), е утврдено дека Управниот одбор на Фондот донесува статут и други општи акти на Фондот согласно со овој закон. Во ставот 2 од истиот член од Законот е наведено дека статутот и другите општи акти од ставот 1 точка 1 на овој член ги донесува Управниот одбор на Фондот, по претходно прибавено мислење од Министерството за труд и социјална политика. Управниот одбор ги донесува одлуките со мнозинство гласови од вкупниот број членови.
Според член 194 став 1 од истиот закон, Фондот воспоставува и води матична евиденција која содржи податоци потребни за остварување на правата од пензиското и инвалидското осигурување. Во матичната евиденција се водат податоци за осигурениците, корисниците на правата од пензиското и инвалидското осигурување и обврзниците за пресметка и уплата на придонесот за пензиско и инвалидско осигурување, врз основа на единствениот матичен број на граѓанинот, според став 2 од истиот член. Со ставот 3 од истиот член е утврдено дека во прибирањето, обработката, користењето, размената и чувањето на податоците, се применуваат одредбите од законот кој ја уредува заштитата на личните податоци.
Заштитата на податоците Фондот ја обезбедува преку преземање мерки против лица кои вршат неовластен пристап или неовластена обработка на податоците, како и мерки преку кои се спречува уништувањето, губењето, промената, злоупотребата и неовластената употреба на податоците, согласно со член 215 став 1 од истиот закон. Во ставот 2 од истиот член е утврдено дека техничките и организационите мерки за обезбедување на податоците од матичната евиденција, Фондот ги определува со општ акт.
Во член 1 од Законот за заштита на личните податоци („Службен весник на Република Северна Македонија“ бр. 42/2020, 294/2021 и 101/2025), е определено дека со овој закон се уредува заштитата на личните податоци и правото на приватност во врска со обработката на личните податоци, а особено начелата поврзани со обработката на личните податоци, правата на субјектот на личните податоци, положбата на контролорот и обработувачот, преносот на личните податоци во други држави, основањето, статусот и надлежностите на Агенцијата за заштита на личните податоци, посебните операции на обработка на личните податоци, правните средства и одговорноста при обработката на личните податоци, супервизијата над заштита на личните податоци, како и прекршоците и прекршочната постапка во оваа област.
Според член 4 став 1 точка 7 од истиот закон, контролорот е физичко или правно лице, орган на државната власт, државен орган или правно лице основано од државата за вршење на јавни овластувања, агенција или друго тело, кое самостојно или заедно со други ги утврдува целите и начинот на обработка на личните податоци, а кога целите и начинот на обработка на личните податоци се утврдени со закон, со истиот закон се определуваат контролорот или посебните критериуми за негово определување. Согласно со точка 8 на овој став, обработувач на збирка на лични податоци е физичко или правно лице, орган на државната власт, државен орган или правно лице основано од државата за вршење на јавни овластувања, агенција или друго тело кое ги обработува личните податоци во име на контролорот.
Со член 119 од овој закон е определено дека контролорите и обработувачите се должни да го усогласат своето работење со одредбите од овој закон во рок од 18 месеци од денот на влегувањето во сила на овој закон.
Во член 120 од Законот е утврдено дека законите и другите прописи со кои се уредува собирањето, обработката, чувањето, користењето и доставувањето на лични податоци, ќе се усогласат со одредбите од овој закон во рок од 18 месеци од денот на влегувањето во сила на овој закон.
IV
Со иницијативата е оспорен Правилникот за техничките и организациските мерки за безбедност и заштита на обработка на личните податоци бр.02-5200/1 од 28 октомври 2025 година. Правилникот е донесен по добиена согласност од страна на Министерството за труд и социјална политика.
Имено, Фондот за пензиското и инвалидското осигурување на Северна Македонија, до Судот го достави Мислењето по Нацрт- правилникот за технички и организациски мерки за безбедност и заштита на обработката на личните податоци. Мислењето е заведено под архивски број 09-5702/2 од 19.08.2021 година и е дадено од страна на министерот на труд и социјална политика. Во истото е наведено дека со Нацрт-правилникот се уредени правилата и стандардите кои ги применува Фондот и дека одредбите од Правилникот се применуваат на сите збирки на лични податоци кои Фондот ги собира, чува и обработува, со цел да обезбеди заштита на личните податоци за обврзниците, осигурениците и корисниците на права од пензиското и инвалидското осигурување, а за кои Фондот води евиденција. Нацрт-правилникот има за цел усогласување на прописите со кои се уредува собирањето, обработката, чувањето, користењето и доставувањето на личните податоци, согласно со одредбите од членовите 119 и 120 од Законот за заштита на личните податоци. На крајот, Министерството го известува Фондот дека нема забелешки по однос на Нацрт-правилникот.
Министерството за социјална политика, демографија и млади во доставениот одговор до Судот, наведува дека оспорениот правилник бил доставен на мислење. Доставениот предметен материјал бил разгледан и од страна на Министерството со Допис со архивски број 09-5702/2 од 19.08.2021 година, е дадено мислење дека нема забелешки по однос на истиот.
Од вака утврдената фактичка состојба, Судот утврди дека неосновани се наводите во иницијативата дека Правилникот е донесен без претходна согласност од Министерството за труд и социјална политика. Имајќи предвид дека Фондот го подготвил актот, го испратил на мислење, и го донел по добивање на позитивното мислење од Министерството, Судот оцени дека постапката за донесувањето на оспорениот правилник е во согласност со член 157 ставови 1 и 2 од Законот за пензиското и инвалидското осигурување. Фактот што ова не е наведено во воведот на Правилникот, не го прави самиот акт незаконски, бидејќи суштинскиот услов е исполнет.
Од анализата на членовите 194 и 215 од Законот за пензиското и инвалидското осигурување, произлегува дека Фондот има законско овластување да воспоставува и води матична евиденција и со општ акт да ги определува техничките и организационите мерки за обезбедување на податоците од матичната евиденција. Во матичната евиденција се водат податоци за осигурениците, корисниците на правата од пензиското и инвалидското осигурување и обврзниците за пресметка и уплата на придонесот за пензиско и инвалидско осигурување, врз основа на единствениот матичен број на граѓанинот. Во прибирањето, обработката, користењето, размената и чувањето на податоците, се применуваат одредбите од Законот којшто ја уредува заштитата на личните податоци. Одредбата од член 194 јасно го овластува Фондот за собирање и обработка на податоците од матичната евиденција.
Од анализата на наведените законски одредби, произлегува дека согласно со своите надлежности, Законот за пензиското и инвалидското осигурување имплицитно го определува Фондот како контролор. Оспорениот правилник е донесен токму со цел да се исполнат обврските утврдени со Законот за заштита на личните податоци, и детално ги имплементира принципите на безбедност на обработката на податоците и ги утврдува конкретните технички и организациски мерки што мора да ги презема контролорот. Истиот е неопходен инструмент за заштита на јавниот интерес и правата на граѓаните и има за цел да ја заштити приватноста на граѓаните и да ги заштити личните податоци.
Врз основа на направената анализа, Судот оцени дека оспорениот правилник е во согласност со член 4 став 1 точка 7 од Законот за заштита на личните податоци, член 157 став 2 од Законот за пензиското и инвалидското осигурување, како и со член 8 став 1 алинеја 3 и член 51 од Уставот на Република Северна Македонија, од аспект на наводите во иницијативата.
V
Врз основа на наведеното, Судот одлучи како во диспозитивот на ова решение.
ПРЕТСЕДАТЕЛ
на Уставниот суд на Република Северна Македонија,
д-р Дарко Костадиновски