studija uticaja na privatnost: kako je sprovesti (2)

Nakon izrade strategije za zaštitu privatnosti, objašnjenja pojma studije uticaja na privatnost i pregleda njenih osnovnih elemenata, vrijeme je da opišemo konkretne korake neophodne za njeno sprovođenje.

Predmet ovog teksta su osnovne faze na kojima se zasniva svaka studija uticaja na privatnost. Razmatraćemo način na koji se odvijaju, probleme na koje evaluator može naići, kao i savjete za njihovo prevazilaženje i očekivani rezultat na kraju svake faze.

Podsjećanja radi, studiju uticaja na privatnosti i zaštitu podataka o ličnosti smo definisali kao kolaborativnu i strukturisanu metodu upravljanja rizicima koja omogućava identifikaciju stvarnih ili potencijalnih efekata koje dati IKT projekat može imati na pravo privatnosti i zaštitu podataka o ličnosti. Kao takva, ona olakšava izbjegavanje identifikovanih rizika, ili njihovo svođenje na prihvatljivu mjeru.

preliminarna faza

Preliminarna faza studije podrazumijeva donošenje odluke o neophodnosti njenog sprovođenja. Ako je očito da dati IKT projekat nema nikakve veze sa obradom podataka o ličnosti ili da ni na koji način ne utiče na pravo privatnosti, nema potrebe da se studija sprovodi.

U toku preliminarne faze, tim koji sprovodi studiju treba da odgovori na vrlo jednostavno pitanje: ”Da li je, u okviru datog projekta, neophodna obrada podataka o ličnosti?”

Ako je odgovor negativan, odnosno dati IKT projekat nema dodirnih tačaka s obradom podataka o ličnosti i ni na koji način ne predstavlja rizik za pravo na privatnost, to je neophodno dokumentovati. Postupak evaluacije se time završava.

U suptornom slučaju, tj. ako se dati projekat zasniva na obradi podataka o ličnosti ili predstavlja rizik za privatnost, da bi se ti rizici procijenili i sprečiti odnosno umanjiti, neophodno je sprovesti studiju uticaja na pravo privatnosti.

prva faza: kontekst

Prva faza studije uticaja na privatnost obuhvata opis konteksta u kojem dolazi do obrade podataka o ličnosti. Cilj ove faze je sticanje jasne predstave o elementima datog IKT projekta koji su od značaja za upravljanje rizicima. Tokom prve faze evaluator odnosno tim evaluatora treba da ispita i objasni životni ciklus podataka o ličnosti u okviru datog IKT projekta: od njihovog ”ulaska” u sistem (unosom korisnika, kopiranjem, itd.), preko transfera u okviru sistema do ”izlaska” (arhiviranjem, brisanjem, transferomka drugim sistemima itd).

Praktično gledano, pošto se informacioni sistemi u konceptualnoj fazi često predstavljaju grafičkim putem u vidu planova, mapa i slično, životni ciklus podataka o ličnosti je najjednostavnije vizuelizovati i opisati na isti način.

Izrada šematskih prikaza kretanja podataka o ličnosti u okviru datog informacionog sistema je od velike koristi ne samo u tehničkom, već i u pravničkom smislu: ona pomaže jasnom definisanju prava i odgovornosti koje nad podacima o ličnosti postoje u različitim segmentima informacionog sistema. Isto tako, vizualizacija toka podataka o ličnosti pomaže identifikaciji eventualnih problema koji mogu biti prepreka poštovanju prava ličnosti na koje se dati podaci odnose.

U toku planiranja strategije zaštite privatnosti i izrade pomoćne dokumentacije za sprovođenje studije uticaja na projektima na kojima je sarađivao, autor ovog teksta je formulisao set osnovnih pitanja na koja bi svaki evaluatorski tim trebalo da odgovori, bez obzira na specifičnosti projekta na kojem radi.

Odgovaranjem na ova pitanja, evaluatorski tim bi trebalo da stekne detaljnu sliku o statusu koji podaci o ličnosti imaju u okviru datog projekta, rizicima koji ih mogu ugroziti, kao i tehničkim, organizacionim i pravnim mjerama koje mogu biti preduzete u cilju njihove legalne i lojalne obrade.

  • Pružite detaljan opis vašeg sadašnjeg ili planiranog informacionog sistema, programa ili tehnologije koji se zasniva ili se koristi za obradu podataka o ličnosti.
  • O kakvoj obradi (obradama) podataka o ličnosti je riječ?
  • Navedite listu svih podataka o ličnosti koji se obrađuju.
  • Navedite listu svih osjetljivih podataka o ličnosti koji se obrađuju.
  • Da li postoje dijagrami (šeme) koje prikazuju kretanje podataka o ličnosti u okviru informacionog sistema, programa ili tehnologije?
  • Koja je svrha (svrhe) obrade podataka o ličnosti?
  • Da li je svrha obrade podataka o ličnosti jasno određena?
  • Na koga se podaci o ličnosti odnose?
  • Da li se obrada podataka o ličnosti zasniva pristanku lica na koje se podaci odnose ili njegovog zastupnika?
  • Kako se do pristanka došlo?
  • Da li je pristanak lica na koje se podaci odnose dokumentovan?
  • Na koji način je lice čiji se podaci obrađuju informisano o obradi?
  • Da li postoji dokumentacija koja omogućava uvid u to ko ima pristup podacima o ličnosti, u okviru organizacije koja vrši obradu?
  • Da li i pod kojim uslovima treća lica mogu imati pristup podacima o ličnosti koji se obrađuju?
  • Da li organizacija koja podatke obrađuje ima izrađenu strategiju zaštite privatnosti i podataka o ličnosti?
  • Da li organizacija koja podatke obrađuje ima definisane konkretne mjere postupanja u slučaju incidenta vezanog za podatke o ličnosti?
  • Da li organizacija koja podatke obrađuje predviđa mjere obavještavanja lica na koje se odnose podaci o ličnosti obuhvaćeni incidentom?
  • Da li su lica koja imaju pristup podacima o ličnosti obučena, ili upućena u obaveze poštovanja prava na privatnost i zaštitu podataka o ličnosti?

Izrada dodatnih pitanja koja omogućavaju razumijevanje konteksta obrade podataka u okviru datog projekta je i moguće i neophodno. Ta pitanja bi trebalo da se zasnivaju na specifičnostima projekta čiji se eventualni uticaj na privatnost analizira.

Nakon uspiješno sprovedene prve faze studije uticaja na privatnost može se početi sa identifikacijom i evaluacijom rizika, kao i predviđanjem odgovarajućih rješenja za njihovo izbjegavanje odnosno smanjivanje na prihvatljivu mjeru.

photo credit: NathanaelBcc

Đorđe Đokić, LL.M.

Ekspert za privatnost i zaštitu podataka o ličnosti, Pravni savetnik za privatnost pri INTERPOL-u, Ekspert-evaluator Evropske komisije, Master prava EU, autor knjige ”Zaštita privatnosti na Internetu i Savet Evrope”,  Privacy by Design Ambassador.

  • googleplus
  • linkedin
  • twitter