Đorđe Đokić, LL.M.
Ekspert za privatnost i zaštitu podataka o ličnosti, Pravni savetnik za privatnost pri INTERPOL-u, Ekspert-evaluator Evropske komisije, Master prava EU, autor knjige ”Zaštita privatnosti na Internetu i Savet Evrope”, Privacy by Design Ambassador.
Integrisana zaštita privatnosti
U situaciji u kojoj nove informaciono-komunikacione tehnologije omogućavaju prikupljanje i obradu ogromne količine podataka o ličnosti, zaštita ovih informacija je od primarnog značaja.
Implementacija kvalitetnih mera zaštite privatnosti i podataka o ličnosti predstavlja bitan element upravljanja projektima. Zbog toga, neophodno je uzeti je u obzir u toku najranijih faza razvoja projekta.
Ovakav, proaktivan pristup zasnovan na shvatanju da su mere zaštite zapravo sastavni element dizajna nekog proizvoda, usluge, poslovne prakse ili biznis modela, osigurava veću otpornost datog projekta na rizike u oblasti privatnosti. Koncept na kome se ovaj pristup bazira zove se ”Integrisana zaštita privatnosti” (eng. Privacy by Design).
Predmet ovog teksta je sprovođenje odnosno integrisanje mera zaštite privatnosti i podataka o ličnosti u kontekstu konkretnog projekta.
Postavljanje problema
Ideja da organizacije treba da zaštite lica i podatke o ličnosti koji tim licima pripadaju od samog početka nekog projekta je jedna od osnovnih ideja na kojima se zasniva koncept integrisane zaštite privatnosti.
Međutim, u praksi se često postavlja pitanje kako principe integrisane zaštite privatnosti sprovesti u život. Na papiru, oni izgledaju jednostavno i logično. U realnosti njihova optimalna implementacija u datom kontekstu nije uvek zagarantovana i mnoge organizacije se bore da ove principe transformišu u listu zadataka koje treba uspešno izvršiti.
Moguća rešenja
Da bismo relativno fleksibilne principe na kojima se integrisana zaštita privatnosti zasniva uspešno implementirali, ne smemo izgubiti iz vida nekoliko vrlo jednostavnih pravila zaštite privatnosti i podataka o ličnosti. Kada u konkretnoj situaciji naiđemo na problem, poštovanje ovih jednostavnih pravila može biti koristan i neophodan alat za pronalaženje odgovarajuće solucije.
Privatnost i bezbednost informacionih sistema
Na prvom mestu, treba istaći potrebu za visokim nivoom zaštite informacionog sistema odnosno proizvoda ili usluge koji se zasniva na obradi podataka o ličnosti zaštiti. Odgovarajuće mere bezbednosti treba da prate podatke o ličnosti tokom njihovog kompletnog životnog ciklusa u okviru datog sistema. Od trenutka njihovog prikupljanja preko njihove obrade sve do kraja (brisanja, arhiviranja itd.)
Prikupljanje samo neophodnih podataka o ličnosti
Kada je samo prikupljanje u pitanju, ono treba da bude svedeno na neophodni minimum, tj. ne sme obuhvatiti suvišne informacije koje nisu apsolutno neophodne za ostvarenje cilja koji se želi postići. Sam cilj obrade treba da je jasan, da je lice čiji se podaci obrađuju upoznat s njim, i da postoji pristanak lica za obradu. Prikupljeni podaci treba da budu tačni.
Procedure za zaštitu privatnosti
Na organizacionom nivou, entiteti odgovorni za obradu podataka o ličnosti treba da ustanove proceduralne mere koje omogućavaju da se u svakom trenutku zna ko, kad i pod kojim uslovima može pristupiti podacima o ličnosti, koji su razlozi za pristupanje. Sa druge strane, neophodno je ustanoviti jasne odgovornosti lica za postupanje u slučaju incidenta. U ovom smislu konkretno je potrebno jasno utvrditi šta je čija dužnost ako npr. dođe do neovlaštenog pristupa informacionom sistemu u kome se obrađuju podaci o ličnosti.
Reagovanje u slučaju incidenta
Dalje, u okviru šire aktivnosti upravljanja rizicima i incidentima, potrebno je uspostaviti konkretnu listu radnji koje je neophodno preduzeti u slučaju nekog incidenta, sa jasno dodeljenim odgovornostima za svaki poseban korak.
Podizanje svesti o značaju zaštite privatnosti
Konačno, promocija odgovornog ponašanja zaposlenih tj. podizanje svesti učesnika datog projekta o pitanjima i izazovima zaštite privatnosti predstavlja neophodnu meru koja pozitivno utiče na omogućavanje kvalitetne implementacije koncepta integrisane zaštite privatnosti.
Ukratko, u okviru datog projekta neophodno je biti siguran da:
- implementirane mere odgovaraju realnim rizicima
- da je njihova efikasnost dokazana u praksi
- da su prilagođene datom projektu
- da su dovoljno fleksibilne i da se mogu adaptirati novim situacijama
- da omogućavaju dalju inovaciju u okviru projekta
Pri proceni efikasnosti mera zaštite privatnosti i podataka o ličnosti, neophodno je jasno shvatanje potreba budućih korisnika, odnosno razumevanje rizika koji prete licima i podacima o ličnosti koji se na njih odnose.
Tehnologije koje omogućavaju bolju zaštitu privatnosti
Koncept integrisane zaštite privatnosti često se vezuje za upotrebu tehnologija koje omogućavaju bolju zaštitu privatnosti (eng. Privacy Enhancing Technologies).
Kategorija tehnologija koje omogućavaju bolju zaštitu privatnosti obuhvata izuzetno raznorodne elemente koji se kreću od npr. programa za enkripciju, programe za generisanje i upravljanje lozinkama do distribuiranih sistema koji omogućavaju određeni nivo anonimnosti na Internetu.
Dok inovativne tehnologije omogućavaju kvalitetniju zaštitu privatnosti imaju svoje mesto u životu svakog projekta, njihova upotreba kao jedinog sredstva zaštite, naročito na samom kraju projekta nije dovoljna. Dakle, iako ove tehnologije predstavljaju koristan, neophodan alat u implementaciji koncepta integrisane zaštite privatnosti, da bi bile efektivne one moraju biti element samog dizajna datog proizvoda ili usluge.
Isto tako, treba imati u vidu da njihova upotreba ne omogućava svim korisnicima jednaku zaštitu. Korisnici koji su svesni rizika koje određena tehnologija nosi, ili korisnici koji raspolažu određenim tehničkim znanjima imaju veću šansu da se bolje zaštite.
Zbog ovog, pri upotrebi tehnologija koje omogućavaju bolju zaštitu privatnosti treba imati u vidu potrebe svih korisnika, ne samo onih koji raspolažu odgovarajućim znanjima.