стратегија заштите приватности у шест корака

Експерт за приватност и заштиту података о личности, Правни саветник за приватност при ИНТЕРПОЛ-у, Експерт-евалуатор Европске комисије, Мастер права ЕУ, аутор књиге ”Заштита приватности на Интернету и Савет Европе”,  Privacy by Design Ambassador.

  • googleplus
  • linkedin
  • twitter

увод

Квалитетна политика заштите приватности (privacy policy) је саставни дио процеса управљања ризицима сваке озбиљне организације која у оквиру својих активности има додира са подацима о личности.

Губитак контроле над осјетљивим информацијама, неовлаштен приступ базама података усљед недовољне безбиједности информационих система, као и нестручно управљање информацијама само су неки од разлога због којих организације, државне и приватне компаније, велике и мале, постају предмет интересовања масовних медија и стручне штампе која прати ову област.

Грађани су све више свјесни опасности које са собом носи губитак контроле над информацијама које се тичу њихове личности. Као учесници информационог друштва, они у све већој мјери од организација очекују да пруже адекватну заштиту информацијама које су им повјерене.

На тржишту услуга које се пружају путем Интернета, све је већи број организација које схватају значај квалитетне заштите приватности. Увиђајући да су корисници спремни и да плате да би били сигурни да ће њиховим подацима бити пружена одговарајућа заштита, ове организације убрзано прилагођавају своје политике заштите приватности. Пружајући корисницима већу заштиту, оне стичу конкурентску предност над осталим актерима на тржишту и остварују или директан профит на основу спремности корисника да такву услугу плате или, једнако директно подижу себи рејтинг у очима корисника и тако јачају свој бренд.

Без обзира да ли је у питању државна фирма, јавна установа или интернационална приватна компанија, свака организација која ради са подацима о личности би требало да има квалитетну политику њихове заштите. Пут до ње подразумијева неколико релативно једноставних корака.

први корак: планирање

Свака организација послује у оквиру неког правног система који одређује правила понашања кад су у питању право на приватност или заштиту података о личности. Први корак у изради квалитетне политике заштите приватности је управо прикупљање информација о правном систему који регулише пословање дате организације. То практично значи стварање систематичног прегледа конкретних правних аката и норми које регулишу ову област.

Укратко, квалитетна политика приватности заснива се на прецизним, ажурним информацијама о правним нормама које се у овој области примјењују. Исто тако, пракса великих организација или адвокатских канцеларија које се тиме баве је израда мапа које, као алгоритам, корак по корак, приказују однос могућих ситуација полазећи од законских обавеза до правних процедура везаних за заштиту права на приватност.

други корак: privacy by design

Систематско уграђивање елемената заштите приватности у производе и услуге од тренутка њихове концепције представља суштину концепта интегрисане заштите приватности односно “privacy by design”. Адекватној заштити приватности се мора приступати као безбиједности аутомобила: да би функционисала, она мора бити осмишљена, планирана и уграђена у сам дизајн већ у концептуалној фази развоја.

Поента је да ако нпр. ваша организација поставља нови сајт који би корисницима омогућавао куповину преко интернета, пуно је лакше, јефтиније и боље размишљати о проблемима који могу настати усљед непоштовања приватности на почетку пројекта, него на крају, кад је сајт већ постављен.

Пречесто може бити касно, репутација организације уништена, бројеви кредитних картица изгубљени и слично.

трећи корак: управљање ризицима

Идентификација и процјена ризика за приватност праћене осмишљањем одговарајућих мјера да се ови избјегну или сведу на законски дозвољену мјеру представљају основу сваког ризик-менаџмента. Управљање ризицима везанх за приватност и заштиту података о личности не одступа од правила.

Међутим, оно што је за ову област карактеристично је мултидисциплинарност. Пројекти у области информационо-комуникационих технологија готово увијек обухватају учешће људи из различитих домена: информатичара, дизајнера, менаџера, правника итд. Традиционално, због разлика у приступу и начинима размишљања, комуникација између ових лица је отежана, што има негативне посљедице на имплементацију принципа “privacy by design” о коме смо говорили раније и који захтијева кооперацију свих учесника пројекта.

Посебна методологија управљања ризицима у области заштите права на приватност или “privacy impact assessment” омогућава превазилажење овог проблема. О овој методологији ће бити више ријечи у неком од наредних чланака.

За сада, инсистираћемо на потреби укључивања ризика везаних за приватност и употребу података о личности у редовни риск-менаџмент процес организације. Исто тако, кад је у питању рад на конкретном пројекту, током фазе идентификације, процјене и управљања ризицима неопходна је кооперација свих учесника, без обзира да ли су информатичари, правници, итд.

четврти корак: планирање за случај инцидентa

Претходна фаза, управљање ризицима омогућава идентификацију, процјену и превазичажење ситуација које имају негативне посљедице за организацију. Ипак, квалитетно управљање ризицима не представља апсолутну гаранцију да се нека од анализираних ситуација неће остварити или да се неће десити нешто непредвиђено.

Када је у питању руковање подацима о личности, неопходно је унапред осмислити и тестирати процедуру по којој се поступа у случају инцидента. У циљу планирања непредвиђеног, јако је корисно осмислити неколико сценарија инцидената, и кроз њих тестирати политику приватности организације.

Нпр. сценаријо по којем долази до неовлаштеног приступа бази података банкарских трансакција може да пружи корисне информације менаџменту и запосленима у банци и да им кроз студију практичног случаја омогући разумијевање законодавства, улога и одговорности различитих актера, као и евентуалне мане у њиховом информационом систему, политици приватности, интерној организацији итд.

Наравно, ако се најгоре ипак оствари, неопходно је извући конкретне закључке и искористити ово негативно искуство у циљу побољшања заштите права на приватност и заштиту података о личности.

пети корак: односи са јавношћу

Штета коју организације могу да претрпе у случају инцидената везаних за информације о личности може бити врло разноврсна. Неки од видова штете обухватају трошкове судских поступака насталих због губитка контроле над информацијама корисника, губитак корисника или њиховог повјерења, лош публицитет организације, трошкови аудита информационог система или техничких и организационих мјера безбиједности, губитак дозволе за пословање, новчане и друге казне итд.

У циљу избјегавања или умањења штетних посљедица инцидента везаног за податке о личности, у тренутку кад се инцидент догоди и непосредно потом, неопходно је у најкраћем могућем року обавијестити кориснике чији су подаци или право на приватност угрожени инцидентом.

Често, ради се о осјетљивим информацијама као што су бројеви кредитних картица и слично. Неовлаштен приступ овим подацима може имати катастрофалне посљедице по корисника. Управо због тога, неопходно је на правилан начин одреаговати у инцидентној ситуацији и омогућити корисницима правовремену информацију да би они сами могли предузети одговарајуће кораке и заштитити се.

шести корак: праћење и прилагођавање

Свака процедура, процес, систем захтијева повремену ревизију и прилагођавање. Да би била квалитетна, политика приватности мора бити редовно ажурирана. Један од основних разлога је убрзан развој информационо-комуникационих технологија и ризика које оне са собом носе. Политика приватности би требало да прати еволуцију технологије.

Осим тога, након сваке инцидентне ситуације, неопходно је установити кокретне узроке који су до ње довели. Политика приватности није документ који се једном за свагда напише и објави на интернет презентацији организације јер то закон захтијева. Она би требало да прожима активности сваке организације. Квалитетна политика приватности може да има дугачак животни циклус, током којег би требало да се обнавља и да јој се посвећује одговарајућа пажња.