studija uticaja na privatnost: osnovni elementi (1)

U nekoliko prethodnih članaka objasnili smo šta su studije uticaja na privatnost (privcay impact assessments, PIA), kao i njihov značaj kod planiranja strategije zaštite prava na privatnost i podatke o ličnosti.

Podsjećanja radi, studiju uticaja na pravo privatnosti i zaštitu podataka o ličnosti smo definisali kao kolaborativnu i strukturisanu metodu upravljanja rizicima koja omogućava identifikaciju stvarnih ili potencijalnih efekata koje dati IKT projekat može imati na pravo privatnosti i zaštitu podataka o ličnosti. Kao takva, ona olakšava izbjegavanje identifikovanih rizika, ili njihovo svođenje na prihvatljivu mjeru.

Prije opisa konkretnih koraka za sprovođenje studije uticaja na privatnost, neophodno je objasniti nekoliko elemenata koji ih definišu.

1. kolaborativan pristup

Rizici koji ugrožavaju pravo na privatnost i zaštitu podataka o ličnosti mogu biti tehničke, organizacione ili pravne prirode. Samim tim, solucije koje omogućavaju sprečavanje ovih rizika ili smanjenje njihovih efekata moraju biti zasnovane na multidisciplinarnom pristupu.

To praktično znači da je u toku sprovođenja studije uticaja na privatnost neophodna saradnja svih relevantnih učesnika na datom projektu. Saradnja je neophodna da bi se raznorodni rizici mogli sagledati iz različitih uglova: pravnog, tehničkog, organizacionog itd.

Na primjer, uzmimo da se vaš projekat sastoji u izradi softverske komponente sistema koji omogućava daljinsko praćenje zdravstvenog stanja pacijenata na kućnom liječenju. Za funkcionisanje sistema je neophodan rad sa podacima o ličnosti koji spadaju u kategoriju ”osjetljivih” i kao takvi uživaju posebnu zaštitu.

U praksi, pravna obaveza obezbjeđenja informacionih sistema znači implementaciju određenih tehničkih rješenja koja tu bezbijednost omogućavaju.

Međutim, u konkretnom slučaju, da bi programer mogao odabrati adekvatno tehničko rješenje, njemu je neophodno razumijevanje pravnih definicija koje se odnose na zaštitu osjetljivih podataka o ličnosti. Za početak, koji se podaci smatraju osjetljivim i šta to konkretno znači? U kom periodu se podaci moraju čuvati i kada se brišu? Na koji način se dobija pacijentov pristanak za obradu njegovih podataka? Šta se dešava sa podacima u slučaju povlačenja saglasnosti za obradu?

Zbog činjenica da odgovori na ova pitanja prevazilaze kompetencije programera, kao i njihova vitalnost za usklađenost projekta sa zakonskim obavezama neophodno je u postupak uključiti pravnika.

Isto tako, da bi se na odgovarajući način implementirala zakonska obaveza odgovornog postupanja sa podacima o ličnosti, na organizacionom nivou je neophodno ustanoviti ko, kada i pod kojim uslovima može imati pristup podacima o ličnosti. U ovom slučaju, neophodno je imati uvid u mišljenje menadžera organizacije, tako da i ova kategorija mora biti uključena u postupak sprovođenja studije uticaja na pravo privatnosti i zaštitu podataka o ličnosti.

2. strukturisana metoda

Pravilno osmišljena studija uticaja na pravo privatnosti i zaštitu podataka o ličnosti se sprovodi u nekoliko faza koje mogu biti podijeljene na više segmenata.

Strukturisanost studija uticaja se oglada i u činjenici da materijal tj. dokumentacija koja se koristi ima određenu strukturu koja olakšava njihovo sprovođenje. Često, pomoćni materijal ima formu priručnika za sprovođenje, ili uputstva za upotrebu i sadrži neophodne informacije o  tome šta se u kojoj fazi radi, koje je značenje pravnih i tehničkih pojmova u upotrebi u postupku evaluacije, kako se koriste matrice za procjenu rizika itd.

Pomoćni materijal često sadrži i upitnik tj. listu pitanja na koje onaj ko studiju sprovodi treba da odgovori. Pitanja se mogu odnositi na pravne, organizacione ili tehničke elemente informacionog sistema koji se analizira. Potraga za odgovorima omogućava shvatanje efekata koje dati informacioni sistem može imati na privatnost i podatke o ličnosti.

Na kraju, izrada izvještaja o sprovedenoj studiji pruža strukturiran pregled karakteristika analiziranog informacionog sistema, kao i identifikovanih rizika, njihovog mogućeg uticaja na privatnost ili podatke o ličnosti, i solucija prevdiđenih za njihovo izbjegavanje ili smanjivanje.

3. upravljanje rizicima

Upravljanje rizicima je sastavni dio životnog ciklusa svakog IKT projekta. Od faze planiranja i razvoja do faze implementacije i održavanja, neophodno je biti spreman za suočavanje sa situacijama kada sve ne ide po planu.

Kada se radi o zaštiti prava na privatnost i podatke o ličnosti, planiranje i sprovođenje studije uticaja je jedan od najboljih načina za identifikaciju, evaluaciju i upravljanje rizicima koje dati IKT projekat može proizvesti u ovoj oblasti.

Prisutan naročito u anglosaksonskom svijetu, zbog pozitivnih rezultata koje omogućava, ovaj metod je sve više prihvaćen u svijetu. Da je u pitanju moderan i kvalitetan pristup upravljanju rizicima u oblasti privatnosti i zaštite podataka o ličnosti povrđuje i značaj koji mu daje zakonodavstvo EU, kao i činjenica da je Evropska komisija objavila poziv za predloge projekata usmjeren na izradu pravnog okvira posvećenog studijama o uticaju.

Trenutno u rangu preporuke, status studija uticaja u pravnom sistemu EU biće podignut na viši nivo izglasavanjem reformi pravnog okvira za zaštitu privatnosti i podataka o ličnosti.

Uticaj promjena na evropskom planu osjetiće se i kod nas, kako u vidu obaveze usklađivanja pravnog sistema u postupku pridruživanja, tako i na poslovnom planu, kao obaveza domaćih organizacija koji učestvuju na evropskim projektima ili ostvaruju poslovnu saradnju sa firmama iz EU.

Đorđe Đokić, LL.M.

Ekspert za privatnost i zaštitu podataka o ličnosti, Pravni savetnik za privatnost pri INTERPOL-u, Ekspert-evaluator Evropske komisije, Master prava EU, autor knjige ”Zaštita privatnosti na Internetu i Savet Evrope”,  Privacy by Design Ambassador.

  • googleplus
  • linkedin
  • twitter

One Comment

  1. Pingback: ENISA – bezbijednost informacija u umreženom svijetu | Pravo IKT

Comments are closed.