студијa утицаја на приватност: како је спровести (2)

Након израде стратегије за заштиту приватности, објашњења појма студије утицаја на приватност и прегледа њених основних елемената, вријеме је да опишемо конкретне кораке неопходне за њено спровођење.

Предмет овог текста су основне фазе на којима се заснива свака студија утицаја на приватност. Разматраћемо начин на који се одвијају, проблеме на које евалуатор може наићи, као и савјете за њихово превазилажење и очекивани резултат на крају сваке фазе.

Подсјећања ради, студију утицаја на приватности и заштиту података о личности смо дефинисали као колаборативну и структурисану методу управљања ризицима која омогућава идентификацију стварних или потенцијалних ефеката које дати ИКТ пројекат може имати на право приватности и заштиту података о личности. Као таква, она олакшава избјегавање идентификованих ризика, или њихово свођење на прихватљиву мјеру.

прелиминарна фаза

Прелиминарна фаза студије подразумијева доношење одлуке о неопходности њеног спровођења. Ако је очито да дати ИКТ пројекат нема никакве везе са обрадом података о личности или да ни на који начин не утиче на право приватности, нема потребе да се студија спроводи.

У току прелиминарне фазе, тим који спроводи студију треба да одговори на врло једноставно питање: ”Да ли је, у оквиру датог пројекта, неопходна обрада података о личности?”

Ако је одговор негативан, односно дати ИКТ пројекат нема додирних тачака с обрадом података о личности и ни на који начин не представља ризик за право на приватност, то је неопходно документовати. Поступак евалуације се тиме завршава.

У супторном случају, тј. ако се дати пројекат заснива на обради података о личности или представља ризик за приватност, да би се ти ризици процијенили и спречити односно умањити, неопходно је спровести студију утицаја на право приватности.

прва фаза: контекст

Прва фаза студије утицаја на приватност обухвата опис контекста у којем долази до обраде података о личности. Циљ ове фазе је стицање јасне представе о елементима датог ИКТ пројекта који су од значаја за управљање ризицима. Током прве фазе евалуатор односно тим евалуатора треба да испита и објасни животни циклус података о личности у оквиру датог ИКТ пројекта: од њиховог ”уласка” у систем (уносом корисника, копирањем, итд.), преко трансфера у оквиру система до ”изласка” (архивирањем, брисањем, трансферомка другим системима итд).

Практично гледано, пошто се информациони системи у концептуалној фази често представљају графичким путем у виду планова, мапа и слично, животни циклус података о личности је најједноставније визуелизовати и описати на исти начин.

Израда шематских приказа кретања података о личности у оквиру датог информационог система је од велике користи не само у техничком, већ и у правничком смислу: она помаже јасном дефинисању права и одговорности које над подацима о личности постоје у различитим сегментима информационог система. Исто тако, визуализација тока података о личности помаже идентификацији евентуалних проблема који могу бити препрека поштовању права личности на које се дати подаци односе.

У току планирања стратегије заштите приватности и израде помоћне документације за спровођење студије утицаја на пројектима на којима је сарађивао, аутор овог текста је формулисао сет основних питања на којa би сваки евалуаторски тим требало да одговори, без обзира на специфичности пројекта на којем ради.

Одговарањем на ова питања, евалуаторски тим би требало да стекне детаљну слику о статусу који подаци о личности имају у оквиру датог пројекта, ризицима који их могу угрозити, као и техничким, организационим и правним мјерама које могу бити предузете у циљу њихове легалне и лојалне обраде.

  • Пружите детаљан опис вашег садашњег или планираног информационог система, програма или технологије који се заснива или се користи за обраду података о личности.
  • О каквој обради (обрадама) података о личности је ријеч?
  • Наведите листу свих података о личности који се обрађују.
  • Наведите листу свих осјетљивих података о личности који се обрађују.
  • Да ли постоје дијаграми (шеме) које приказују кретање података о личности у оквиру информационог система, програма или технологије?
  • Која је сврха (сврхе) обраде података о личности?
  • Да ли је сврха обраде података о личности јасно одређена?
  • На кога се подаци о личности односе?
  • Да ли се обрада података о личности заснива пристанку лица на које се подаци односе или његовог заступника?
  • Како се до пристанка дошло?
  • Да ли је пристанак лица на које се подаци односе документован?
  • На који начин је лице чији се подаци обрађују информисано о обради?
  • Да ли постоји документација која омогућава увид у то ко има приступ подацима о личности, у оквиру организације која врши обраду?
  • Да ли и под којим условима трећа лица могу имати приступ подацима о личности који се обрађују?
  • Да ли организација која податке обрађује има израђену стратегију заштите приватности и података о личности?
  • Да ли организација која податке обрађује има дефинисане конкретне мјере поступања у случају инцидента везаног за податке о личности?
  • Да ли организација која податке обрађује предвиђа мјере обавјештавања лица на које се односе подаци о личности обухваћени инцидентом?
  • Да ли су лица која имају приступ подацима о личности обучена, или упућена у обавезе поштовања права на приватност и заштиту података о личности?

Израда додатних питања која омогућавају разумијевање контекста обраде података у оквиру датог пројекта је и могуће и неопходно. Та питања би требало да се заснивају на специфичностима пројекта чији се евентуални утицај на приватност анализира.

Након успијешно спроведене прве фазе студије утицаја на приватност може се почети са идентификацијом и евалуацијом ризика, као и предвиђањем одговарајућих рјешења за њихово избјегавање односно смањивање на прихватљиву мјеру.

photo credit: NathanaelBcc

Ђорђе Ђокић, LL.M.

Експерт за приватност и заштиту података о личности, Правни саветник за приватност при ИНТЕРПОЛ-у, Експерт-евалуатор Европске комисије, Мастер права ЕУ, аутор књиге ”Заштита приватности на Интернету и Савет Европе”,  Privacy by Design Ambassador.

  • googleplus
  • linkedin
  • twitter