Интегрисана заштита приватности: од теорије до праксе

Интегрисана заштита приватности: од теорије до праксе

Интегрисана заштита приватности

У ситуацији у којој нове информационо-комуникационе технологије омогућавају прикупљање и обраду огромне количине података о личности, заштита ових информација је од примарног значаја.

Имплементација квалитетних мера заштите приватности и података о личности представља битан елемент управљања пројектима. Због тога, неопходно је узети је у обзир у току најранијих фаза развоја пројекта.

Овакав, проактиван приступ заснован на схватању да су мере заштите заправо саставни елемент дизајна неког производа, услуге, пословне праксе или бизнис модела, осигурава већу отпорност датог пројекта на ризике у области приватности. Концепт на коме се овај приступ базира зове се ”Интегрисана заштита приватности” (енг. Privacy by Design).

Предмет овог текста је спровођење односно интегрисање мера заштите приватности и података о личности у контексту конкретног пројекта.

Постављање проблема

Идеја да организације треба да заштите лица и податке о личности који тим лицима припадају од самог почетка неког пројекта је једна од основних идеја на којима се заснива концепт интегрисане заштите приватности.

Међутим, у пракси се често поставља питање како принципе интегрисане заштите приватности спровести у живот. На папиру, они изгледају једноставно и логично. У реалности њихова оптимална имплементација у датом контексту није увек загарантована и многе организације се боре да ове принципе трансформишу у листу задатака које треба успешно извршити.

Могућа решења

Да бисмо релативно флексибилне принципе на којима се интегрисана заштита приватности заснива успешно имплементирали, не смемо изгубити из вида неколико врло једноставних правила заштите приватности и података о личности. Kада у конкретној ситуацији наиђемо на проблем, поштовање ових једноставних правила може бити користан и неопходан алат за проналажење одговарајуће солуције.

Приватност и безбедност информационих система

На првом месту, треба истаћи потребу за високим нивоом заштите информационог система односно производа или услуге који се заснива на обради података о личности заштити. Одговарајуће мере безбедности треба да прате податке о личности током њиховог комплетног животног циклуса у оквиру датог система. Од тренутка њиховог прикупљања преко њихове обраде све до краја (брисања, архивирања итд.)

Прикупљање само неопходних података о личности

Када је само прикупљање у питању, оно треба да буде сведено на неопходни минимум, тј. не сме обухватити сувишне информације које нису апсолутно неопходне за остварење циља који се жели постићи. Сам циљ обраде треба да је јасан, да је лице чији се подаци обрађују упознат с њим, и да постоји пристанак лица за обраду. Прикупљени подаци треба да буду тачни.

Процедуре за заштиту приватности

На организационом нивоу, ентитети одговорни за обраду података о личности треба да установе процедуралне мере које омогућавају да се у сваком тренутку зна ко, кад и под којим условима може приступити подацима о личности, који су разлози за приступање. Са друге стране, неопходно је установити јасне одговорности лица за поступање у случају инцидента. У овом смислу конкретно је потребно јасно утврдити шта је чија дужност ако нпр. дође до неовлаштеног приступа информационом систему у коме се обрађују подаци о личности.

Реаговање у случају инцидента

Даље, у оквиру шире активности управљања ризицима и инцидентима, потребно је успоставити конкретну листу радњи које је неопходно предузети у случају неког инцидента, са јасно додељеним одговорностима за сваки посебан корак.

Подизање свести о значају заштите приватности

Коначно, промоција одговорног понашања запослених тј. подизање свести учесника датог пројекта о питањима и изазовима заштите приватности представља неопходну меру која позитивно утиче на омогућавање квалитетне имплементације концепта интегрисане заштите приватности.

Укратко, у оквиру датог пројекта неопходно је бити сигуран да:

  • имплементиране мере одговарају реалним ризицима
  • да је њихова ефикасност доказана у пракси
  • да су прилагођене датом пројекту
  • да су довољно флексибилне и да се могу адаптирати новим ситуацијама
  • да омогућавају даљу иновацију у оквиру пројекта

При процени ефикасности мера заштите приватности и података о личности, неопходно је јасно схватање потреба будућих корисника, односно разумевање ризика који прете лицима и подацима о личности који се на њих односе.

Технологије које омогућавају бољу заштиту приватности

Концепт интегрисане заштите приватности често се везује за употребу технологија које омогућавају бољу заштиту приватности (енг. Privacy Enhancing Technologies).

Категорија технологија које омогућавају бољу заштиту приватности обухвата изузетно разнородне елементе који се крећу од нпр. програма за енкрипцију, програме за генерисање и управљање лозинкама до дистрибуираних система који омогућавају одређени ниво анонимности на Интернету.

Док иновативне технологије омогућавају квалитетнију заштиту приватности имају своје место у животу сваког пројекта, њихова употреба као јединог средства заштите, нарочито на самом крају пројекта није довољна. Дакле, иако ове технологије представљају користан, неопходан алат у имплементацији концепта интегрисане заштите приватности, да би биле ефективне оне морају бити елемент самог дизајна датог производа или услуге.

Исто тако, треба имати у виду да њихова употреба не омогућава свим корисницима једнаку заштиту. Корисници који су свесни ризика које одређена технологија носи, или корисници који располажу одређеним техничким знањима имају већу шансу да се боље заштите.

Због овог, при употреби технологија које омогућавају бољу заштиту приватности треба имати у виду потребе свих корисника, не само оних који располажу одговарајућим знањима.

Ђорђе Ђокић, LL.M.

Експерт за приватност и заштиту података о личности, Правни саветник за приватност при ИНТЕРПОЛ-у, Експерт-евалуатор Европске комисије, Мастер права ЕУ, аутор књиге ”Заштита приватности на Интернету и Савет Европе”,  Privacy by Design Ambassador.

  • googleplus
  • linkedin
  • twitter