šta je studija uticaja na privatnost i podatke o ličnosti (privacy impact assessment)

uvod

Poštovanje prava na privatnost (privacy) i prava na zaštitu podataka o ličnosti je vitalan dio svakog IKT projekta i često predstavlja zakonsku obavezu. Zbog razvijenosti pravnog sistema EU, ozbiljnost zakonom nametnute obaveze poštovanja prava na privatnost dolazi naročito do izražaja kod IKT projekata sa evropskom dimenzijom.

Ako ste imali priliku da sarađujete na nekom od projekata koje finansira EU, znate da već u fazi pripreme projektne dokumentacije, a prije proglašavanja najboljeg kandidata i dodjele novčanih sredstava, Evropska komisija nalaže izradu detaljnog izvještaja o etici (ethics review).

Izvještaj o etici je sastavni dio dokumentacije koja čini predlog projekta. Sadrži informacije  o tome da li će se u okviru projekta koristiti podaci o ličnosti i ako je to slučaj, na koji način će oni biti zaštićeni. U svojstvu eksperta-evaluatora, autor je imao priliku raditi za Evropsku komisiju i može da potvrdi da loš izvještaj o etici u očima evaluatora automatski smanjuje vrijednost datog predloga projekta i može voditi njegovoj diskvalifikaciji.

Kada su u pitanju IKT projekti uopšte (npr. izrada mobilne aplikacije ili ažuriranje veb sajta), značaj kvalitetne zaštite prava na privatnost prevazilazi običnu usklađenost sa zakonom. Dobro osmišljena strategija privatnosti garantuje transparentnost u poslovanju i pozitivno utiče na izgradnju odnosa povjerenja sa korisnicima ili licima kojima je dati IKT projekat namijenjen.

Kao što smo konstatovali u uvodu jednog od prethodnih članaka, korisnici IKT usluga sve više zahtijevaju odgovorno ponašanje i adekvatnu zaštitu privatnih podataka od organizacija kojima su podaci povjereni.

Zbog poštovanja zakonskih obaveza, kao i izgradnje odnosa povjerenja sa licima kojima je određeni IKT projekat upućen, pravo na privatnost i zaštitu podataka o ličnosti moraju biti uzeti u obzir već u fazi planiranja novih ili osavremenjavanja postojećih IKT projekata.

Međutim, da bi se formulisala kvalitetna strategija zaštite privatnosti u okviru datog IKT projekta, prethodno je neophodno prikupiti informacije o posljedicama koje projekat može imati na privatnost i pravo na zaštitu podataka o ličnosti.

Postupak koji omogućava sistematsku identifikaciju i sprečavanje eventualnih rizika u ovoj situaciji naziva se studija uticaja na pravo privatnosti i zaštitu podataka o ličnosti, Privacy Impact Assessment na engleskom.

Ovaj članak pruža osnovne informacije o studijama uticaja na privatnost, insistira na njihovom značaju i daje pregled njihovih osnovnih karakteristika. Služi kao uvod za opis konkretne procedure po kojoj se ove studije sprovode.

zamislite auto-put

Zamislite da vam je povjerena izgradnja auto-puta. Još u razvojnoj fazi projekta, dok izgradnja nije ni počela, jedna od osnovnih obaveza koja vam se nameće je analiza posljedica koje izgradnja auto-puta može imati po čovjekovu okolinu. Možda planirana ruta prolazi kroz stanište neke ugrožene životinjske vrste. U tom slučaju, obavezni ste ne samo analizirati posljedice koje izgradnja može imati na tu ugroženu vrstu, već i predvidjeti konkretne mjere za njeno očuvanje.

Studija uticaja na privatnost i podatke o ličnosti se zasniva na istoj logici.

definicija

Studija uticaja na privatnost i podatke o ličnosti je kolaborativna i strukturisana metoda upravljanja rizicima koja omogućava identifikaciju stvarnih ili potencijalnih efekata koje dati IKT projekat može imati na pravo na privatnost i zaštitu podataka o ličnosti. Ona olakšava izbjegavanje identifikovanih rizika ili njihovo svođenje na prihvatljivu mjeru.

Pošto je privatnost na Internetu ugrožena vrsta na granici opstanka, svaki odgovoran učesnik na nekom IKT projektu ima obavezu da je zaštiti, počev od najranije, konceptualne faze projekta.

multidisciplinarnost

Tradicionalno, jedna od glavnih prepreka adekvatnoj zaštiti privatnosti je nepostojanje ili nizak nivo komunikacije između učesnika na projektu, naročito između pravnika i informatičara. Uzrok ovome su razlike u načinu razmišljanja. Dok je pravo kao disciplina naginje filosofiji, informatika je zasnovana na matematici i samim tim egzaktnija.

Za pravnike ”da” i ”ne” mogu postojati u istoj rečenici. Pravna tehnika često koristi labavo definisane pojmove upravo da bi se omogućila njihova primjena na što veći broj životnih situacija. Informatičar ima linearan, ”algoritamski” pristup: u kolu ili ima ili nema struje. Binarni sistem po kojem kompjuteri funkcionišu je zasnovan na ovome.

Oba su pristupa pravilna i neophodna da bi se privatnosti i podacima o ličnosti pružila adekvatna pravna zaštita. Multidisciplinarnost u IKT projektima je redovna pojava. U ovoj oblasti projekti koji se tiču samo jedne uske oblasti su izuzetno rijetki. Upravo zbog toga, i pristup zaštiti privatnosti mora biti multidisciplinaran.

Kvalitetna zaštita prava na privatnost i primjena koncepta Privacy by Design, ondosno ugrađivanje kvalitetne zaštite privatnosti u sam dizajn proizvoda i usluga zasnivaju se na saradnji svih učesnika na projektu, bez obzira da li su informatičari, dizajneri, pravnici itd.

Studija uticaja na privatnost omogućava prevazilaženje ove situacije. Pravilno osmišljena, sprovedena još u konceptualnoj fazi projekta, studija uticaja zahtijeva usku saradnju svih aktera i zasniva se kako na razumijevanju kako pravnih tako i tehničkih elemenata projekta.

kada sprovesti studiju uticaja

Studija uticaja na privatnost sprovodi se prilikom planiranja novog ili izmjena postojećeg IKT projekta. Najbolje je da studija uticaja bude uključena u sam proces planiranja, od njegovog početka. Razlog za ovo je veoma jednostavan:  lakše je i jeftinije uskladiti nov projekat sa zakonskom obavezom zaštite privatnosti i podataka o ličnosti u početnoj nego u završnoj fazi. Kako se projekat bliži kraju, troškovi usklađivanja ubrzano rastu.

Npr. ako se pri izradi mobilne aplikacije, video igre koja ima pristup informacijama o ličnosti korisnika zaštita ovih informacija ne uzme u obzir u postupku izrade, tj. pisanja koda, kasnije izmjene u cilju implementacije pravila privatnosti i usklađivanja sa zakonskim obavezama mogu izazvati značajne troškove i rezultirati neadekvatnom zaštitom informacija o ličnosti.

U ovoj situaciji, šteta nastaje kako na strani neograničenog broja korisnika aplikacije čije su informacije kompromitovane, tako i na strani kreatora aplikacije, u vidu sudskih tužbi, kazni za nepoštovanje zakona, gubitka klijentele, lošeg imidža itd.

Kad su u pitanju izmjene postojećih projekata, situacija je ista: studiju uticaja treba predvidjeti u okviru plana izmjene projekta i sprovesti što je prije moguće.

zašto sprovesti studiju uticaja

1. ispunjavanje zakonske obaveze

Studija uticaja na privatnost i pravo na zaštitu podataka o ličnosti može biti nametnuta zakonom. Trenutno, u srpskom zakonodavstvu ova obaveza ne postoji. Situacija je slična i sa pravnim sistemima članica EU, za razliku od anglo-saksonskih pravnih sistema u kojima su studije uticaja na privatnost redovana pojava još od devedesetih godina prošlog vijeka.

Na nivou Evropske unije situacija je drugačija. Uviđajući značaj studija uticaja na privatnost Evropska komisija je u predlogu reforme pravne regulative vezane za zaštitu prava na privatnost i informacije o ličnosti predvidjela njihovu obaveznu primjenu u određenim slučajevima.

Osim toga, bez obzira što se sam termin ”studija uticaja” ne upotrebljava izričito, sprovođenje studije uticaja na privatnost je obavezan dio pripreme projektne dokumentacije za učestvovanje na konkursu za dobijanje finansija od Evropske komisije. Izvještaj o etici (ethics review) koji je obavezan dio projektne dokumentacije na sažet način obuhvata analizu rukovanja sa podacima o ličnosti u okviru projekta.

2. upravljanje rizicima

Studija uticaja na privatnost spada u grupu alata za upravljanje rizicima. Pri planiranju određenog projekta bitno je da se eventualni rizici pravilno identifikuju da bi se njihovo ostvarivanje moglo sprečiti ili da bi se posljedice  njihovog nastupanja svele na prihvatljivu mjeru.

Zbog značajnih posljedica koje mogu imati kako za lica o čijim se podacima radi tako i za organizaciju odgovornu za dati projekat, rizici vezani za rukovanje podacima o ličnosti moraju biti identifikovani, kao i svaki ostali rizici.

3. izbjegavanje pravnih troškova

Šteta koja može nastati za organizaciju koja na nezakonit način postupa sa podacima o ličnosti može biti izražena u vidu troškova sudskog procesa, administrativnih kazni, obeštećenja korisnika.

U pravnim sistemima koji rukovanje podacima o ličnosti uslovljavaju administrativnom dozvolom, pored gore navedenih oblika, šteta može nastati i u vidu gubitka licence, ili zabrane daljeg poslovanja.

4. povjerenje korisnika

Organizacija koja na odgovoran način postupa sa podacima o ličnosti uživanje veće povjerenje i lojalnost korisnika. Planiranje strategije zaštite privatnosti, predviđanje tehničkih i organizacionih mjera obezbjeđenja informacionih sistema, pravovremeno obavještavanje korisnika u slučaju incidenta i sprovođenje studija uticaja na privatnost su osnovni elementi na kojima se gradi povjerenje korisnika u datu organizaciju.

5. odnosi sa javnošću

Odgovorno postupanje sa podacima o ličnosti i otvorenost u odnosu sa korisnicima vodi stvaranju pozitivnog imidža organizacije. Pozitivan imidž nije nedodirljiva, efemerna kategorija, već se, kad su u pitanju privredna društva, ogleda u mogućnosti ostvarivanja većeg profita. Kada se radi o organima državne uprave pozitivan imidž je jednako značajan, naročito na političkom planu.

6. konkurentska prednost

Organizacija koja odgovorno postupa sa podacima o ličnosti i ima kvalitetnu strategiju zaštite privatnosti na današnjem tržištu usluga zasnovanih na informaciono-komunikacionim tehnologijama uživa prednost u odnosu na svoje konkurente zato što je u stanju da korisnicima pruži dodatnu vrijednost na već postojeće usluge. Zauzvrat, sve veći broj korisnika je spreman da plati viši stepen zaštite svoje privatnosti ili podataka o ličnosti.

Zbog svega ovog, rano planiranje i sistematsko sprovođenje studija uticaja na privatnost predstavlja nezaobilaznu etapu upravljanja rizicima svake organizacije koja radi sa podacima o ličnosti, bez obzira da li se radi o privatnoj firmi, organu državne uprave ili nevladinoj organizaciji.

odabrani resursi

OETZEL (M. C.) et SPIEKERMANN (S.), Privacy-by-Design through systematic privacy impact assessment – a design science approach, 20th European Conference on Information Systems (ECIS 2012), Barcelona, June 2012

WATERS (N.), Privacy Impact Assessment – Great potential not often realised, in WRIGHT (D.) and WATERS (N.), Privacy Impact Assessment, Springer, Dordrecht, 2012

WRIGHT (D.), WADHWA (K.), HERT (P. DE) et KLOZA (D.), A Privacy Impact Assessment Framework for data protection and privacy rights, Deliverable D1, JLS/2009-2010/DAP/AG, Septembre 2011

HOSEIN (G.) et DAVIES (S.), Empirical research of contextual factors affecting the introduction of privacy impact assessment frameworks in the Member States of the European Union, Delivrable D2, JLS/2009-2010/DAP/AG, August 2012

WRIGHT (D.), WADHWA (K.), HERT (P. DE) et KLOZA (D.), Recommendations
for a privacy impact assessment framework for the European Union, Deliverable D3, Novembre 2012

EU COMMISSION, Privacy and Data Protection Impact Assessment Framework for RFID Applications, 12 January, 2011

Đorđe Đokić, LL.M.

Ekspert za privatnost i zaštitu podataka o ličnosti, Pravni savetnik za privatnost pri INTERPOL-u, Ekspert-evaluator Evropske komisije, Master prava EU, autor knjige ”Zaštita privatnosti na Internetu i Savet Evrope”,  Privacy by Design Ambassador.

  • googleplus
  • linkedin
  • twitter

One Comment

  1. Pingback: ENISA – bezbijednost informacija u umreženom svijetu | Pravo IKT

Comments are closed.