strategija zaštite privatnosti u šest koraka

uvod

Kvalitetna politika zaštite privatnosti (privacy policy) je sastavni dio procesa upravljanja rizicima svake ozbiljne organizacije koja u okviru svojih aktivnosti ima dodira sa podacima o ličnosti.

Gubitak kontrole nad osjetljivim informacijama, neovlašten pristup bazama podataka usljed nedovoljne bezbijednosti informacionih sistema, kao i nestručno upravljanje informacijama samo su neki od razloga zbog kojih organizacije, državne i privatne kompanije, velike i male, postaju predmet interesovanja masovnih medija i stručne štampe koja prati ovu oblast.

Građani su sve više svjesni opasnosti koje sa sobom nosi gubitak kontrole nad informacijama koje se tiču njihove ličnosti. Kao učesnici informacionog društva, oni u sve većoj mjeri od organizacija očekuju da pruže adekvatnu zaštitu informacijama koje su im povjerene.

Na tržištu usluga koje se pružaju putem Interneta, sve je veći broj organizacija koje shvataju značaj kvalitetne zaštite privatnosti. Uviđajući da su korisnici spremni i da plate da bi bili sigurni da će njihovim podacima biti pružena odgovarajuća zaštita, ove organizacije ubrzano prilagođavaju svoje politike zaštite privatnosti. Pružajući korisnicima veću zaštitu, one stiču konkurentsku prednost nad ostalim akterima na tržištu i ostvaruju ili direktan profit na osnovu spremnosti korisnika da takvu uslugu plate ili, jednako direktno podižu sebi rejting u očima korisnika i tako jačaju svoj brend.

Bez obzira da li je u pitanju državna firma, javna ustanova ili internacionalna privatna kompanija, svaka organizacija koja radi sa podacima o ličnosti bi trebalo da ima kvalitetnu politiku njihove zaštite. Put do nje podrazumijeva nekoliko relativno jednostavnih koraka.

prvi korak: planiranje

Svaka organizacija posluje u okviru nekog pravnog sistema koji određuje pravila ponašanja kad su u pitanju pravo na privatnost ili zaštitu podataka o ličnosti. Prvi korak u izradi kvalitetne politike zaštite privatnosti je upravo prikupljanje informacija o pravnom sistemu koji reguliše poslovanje date organizacije. To praktično znači stvaranje sistematičnog pregleda konkretnih pravnih akata i normi koje regulišu ovu oblast.

Ukratko, kvalitetna politika privatnosti zasniva se na preciznim, ažurnim informacijama o pravnim normama koje se u ovoj oblasti primjenjuju. Isto tako, praksa velikih organizacija ili advokatskih kancelarija koje se time bave je izrada mapa koje, kao algoritam, korak po korak, prikazuju odnos mogućih situacija polazeći od zakonskih obaveza do pravnih procedura vezanih za zaštitu prava na privatnost.

drugi korak: privacy by design

Sistematsko ugrađivanje elemenata zaštite privatnosti u proizvode i usluge od trenutka njihove koncepcije predstavlja suštinu koncepta integrisane zaštite privatnosti odnosno “privacy by design”. Adekvatnoj zaštiti privatnosti se mora pristupati kao bezbijednosti automobila: da bi funkcionisala, ona mora biti osmišljena, planirana i ugrađena u sam dizajn već u konceptualnoj fazi razvoja.

Poenta je da ako npr. vaša organizacija postavlja novi sajt koji bi korisnicima omogućavao kupovinu preko interneta, puno je lakše, jeftinije i bolje razmišljati o problemima koji mogu nastati usljed nepoštovanja privatnosti na početku projekta, nego na kraju, kad je sajt već postavljen.

Prečesto može biti kasno, reputacija organizacije uništena, brojevi kreditnih kartica izgubljeni i slično.

treći korak: upravljanje rizicima

Identifikacija i procjena rizika za privatnost praćene osmišljanjem odgovarajućih mjera da se ovi izbjegnu ili svedu na zakonski dozvoljenu mjeru predstavljaju osnovu svakog rizik-menadžmenta. Upravljanje rizicima vezanh za privatnost i zaštitu podataka o ličnosti ne odstupa od pravila.

Međutim, ono što je za ovu oblast karakteristično je multidisciplinarnost. Projekti u oblasti informaciono-komunikacionih tehnologija gotovo uvijek obuhvataju učešće ljudi iz različitih domena: informatičara, dizajnera, menadžera, pravnika itd. Tradicionalno, zbog razlika u pristupu i načinima razmišljanja, komunikacija između ovih lica je otežana, što ima negativne posljedice na implementaciju principa “privacy by design” o kome smo govorili ranije i koji zahtijeva kooperaciju svih učesnika projekta.

Posebna metodologija upravljanja rizicima u oblasti zaštite prava na privatnost ili “privacy impact assessment” omogućava prevazilaženje ovog problema. O ovoj metodologiji će biti više riječi u nekom od narednih članaka.

Za sada, insistiraćemo na potrebi uključivanja rizika vezanih za privatnost i upotrebu podataka o ličnosti u redovni risk-menadžment proces organizacije. Isto tako, kad je u pitanju rad na konkretnom projektu, tokom faze identifikacije, procjene i upravljanja rizicima neophodna je kooperacija svih učesnika, bez obzira da li su informatičari, pravnici, itd.

četvrti korak: planiranje za slučaj incidenta

Prethodna faza, upravljanje rizicima omogućava identifikaciju, procjenu i prevazičaženje situacija koje imaju negativne posljedice za organizaciju. Ipak, kvalitetno upravljanje rizicima ne predstavlja apsolutnu garanciju da se neka od analiziranih situacija neće ostvariti ili da se neće desiti nešto nepredviđeno.

Kada je u pitanju rukovanje podacima o ličnosti, neophodno je unapred osmisliti i testirati proceduru po kojoj se postupa u slučaju incidenta. U cilju planiranja nepredviđenog, jako je korisno osmisliti nekoliko scenarija incidenata, i kroz njih testirati politiku privatnosti organizacije.

Npr. scenarijo po kojem dolazi do neovlaštenog pristupa bazi podataka bankarskih transakcija može da pruži korisne informacije menadžmentu i zaposlenima u banci i da im kroz studiju praktičnog slučaja omogući razumijevanje zakonodavstva, uloga i odgovornosti različitih aktera, kao i eventualne mane u njihovom informacionom sistemu, politici privatnosti, internoj organizaciji itd.

Naravno, ako se najgore ipak ostvari, neophodno je izvući konkretne zaključke i iskoristiti ovo negativno iskustvo u cilju poboljšanja zaštite prava na privatnost i zaštitu podataka o ličnosti.

peti korak: odnosi sa javnošću

Šteta koju organizacije mogu da pretrpe u slučaju incidenata vezanih za informacije o ličnosti može biti vrlo raznovrsna. Neki od vidova štete obuhvataju troškove sudskih postupaka nastalih zbog gubitka kontrole nad informacijama korisnika, gubitak korisnika ili njihovog povjerenja, loš publicitet organizacije, troškovi audita informacionog sistema ili tehničkih i organizacionih mjera bezbijednosti, gubitak dozvole za poslovanje, novčane i druge kazne itd.

U cilju izbjegavanja ili umanjenja štetnih posljedica incidenta vezanog za podatke o ličnosti, u trenutku kad se incident dogodi i neposredno potom, neophodno je u najkraćem mogućem roku obavijestiti korisnike čiji su podaci ili pravo na privatnost ugroženi incidentom.

Često, radi se o osjetljivim informacijama kao što su brojevi kreditnih kartica i slično. Neovlašten pristup ovim podacima može imati katastrofalne posljedice po korisnika. Upravo zbog toga, neophodno je na pravilan način odreagovati u incidentnoj situaciji i omogućiti korisnicima pravovremenu informaciju da bi oni sami mogli preduzeti odgovarajuće korake i zaštititi se.

šesti korak: praćenje i prilagođavanje

Svaka procedura, proces, sistem zahtijeva povremenu reviziju i prilagođavanje. Da bi bila kvalitetna, politika privatnosti mora biti redovno ažurirana. Jedan od osnovnih razloga je ubrzan razvoj informaciono-komunikacionih tehnologija i rizika koje one sa sobom nose. Politika privatnosti bi trebalo da prati evoluciju tehnologije.

Osim toga, nakon svake incidentne situacije, neophodno je ustanoviti kokretne uzroke koji su do nje doveli. Politika privatnosti nije dokument koji se jednom za svagda napiše i objavi na internet prezentaciji organizacije jer to zakon zahtijeva. Ona bi trebalo da prožima aktivnosti svake organizacije. Kvalitetna politika privatnosti može da ima dugačak životni ciklus, tokom kojeg bi trebalo da se obnavlja i da joj se posvećuje odgovarajuća pažnja.

Đorđe Đokić, LL.M.

Ekspert za privatnost i zaštitu podataka o ličnosti, Pravni savetnik za privatnost pri INTERPOL-u, Ekspert-evaluator Evropske komisije, Master prava EU, autor knjige ”Zaštita privatnosti na Internetu i Savet Evrope”,  Privacy by Design Ambassador.

  • googleplus
  • linkedin
  • twitter