студија утицаја на приватност: основни елементи (1)

Експерт за приватност и заштиту података о личности, Правни саветник за приватност при ИНТЕРПОЛ-у, Експерт-евалуатор Европске комисије, Мастер права ЕУ, аутор књиге ”Заштита приватности на Интернету и Савет Европе”,  Privacy by Design Ambassador.

  • googleplus
  • linkedin
  • twitter

У неколико претходних чланака објаснили смо шта су студије утицаја на приватност (privcay impact assessments, PIA), као и њихов значај код планирања стратегије заштите права на приватност и податке о личности.

Подсјећања ради, студију утицаја на право приватности и заштиту података о личности смо дефинисали као колаборативну и структурисану методу управљања ризицима која омогућава идентификацију стварних или потенцијалних ефеката које дати ИКТ пројекат може имати на право приватности и заштиту података о личности. Као таква, она олакшава избјегавање идентификованих ризика, или њихово свођење на прихватљиву мјеру.

Прије описа конкретних корака за спровођење студије утицаја на приватност, неопходно је објаснити неколико елемената који их дефинишу.

1. колаборативан приступ

Ризици који угрожавају право на приватност и заштиту података о личности могу бити техничке, организационе или правне природе. Самим тим, солуције које омогућавају спречавање ових ризика или смањење њихових ефеката морају бити засноване на мултидисциплинарном приступу.

То практично значи да је у току спровођења студије утицаја на приватност неопходна сарадња свих релевантних учесника на датом пројекту. Сарадња је неопходна да би се разнородни ризици могли сагледати из различитих углова: правног, техничког, организационог итд.

На примјер, узмимо да се ваш пројекат састоји у изради софтверске компоненте система који омогућава даљинско праћење здравственог стања пацијената на кућном лијечењу. За функционисање система је неопходан рад са подацима о личности који спадају у категорију ”осјетљивих” и као такви уживају посебну заштиту.

У пракси, правна обавеза обезбјеђења информационих система значи имплементацију одређених техничких рјешења која ту безбиједност омогућавају.

Међутим, у конкретном случају, да би програмер могао одабрати адекватно техничко рјешење, њему је неопходно разумијевање правних дефиниција које се односе на заштиту осјетљивих података о личности. За почетак, који се подаци сматрају осјетљивим и шта то конкретно значи? У ком периоду се подаци морају чувати и када се бришу? На који начин се добија пацијентов пристанак за обраду његових података? Шта се дешава са подацима у случају повлачења сагласности за обраду?

Због чињеница да одговори на ова питања превазилазе компетенције програмера, као и њихова виталност за усклађеност пројекта са законским обавезама неопходно је у поступак укључити правника.

Исто тако, да би се на одговарајући начин имплементирала законска обавеза одговорног поступања са подацима о личности, на организационом нивоу је неопходно установити ко, када и под којим условима може имати приступ подацима о личности. У овом случају, неопходно је имати увид у мишљење менаџера организације, тако да и ова категорија мора бити укључена у поступак спровођења студије утицаја на право приватности и заштиту података о личности.

2. структурисана метода

Правилно осмишљена студија утицаја на право приватности и заштиту података о личности се спроводи у неколико фаза које могу бити подијељене на више сегмената.

Структурисаност студија утицаја се оглада и у чињеници да материјал тј. документација која се користи има одређену структуру која олакшава њихово спровођење. Често, помоћни материјал има форму приручника за спровођење, или упутства за употребу и садржи неопходне информације о  томе шта се у којој фази ради, које је значење правних и техничких појмова у употреби у поступку евалуације, како се користе матрице за процјену ризика итд.

Помоћни материјал често садржи и упитник тј. листу питања на које онај ко студију спроводи треба да одговори. Питања се могу односити на правне, организационе или техничке елементе информационог система који се анализира. Потрага за одговорима омогућава схватање ефеката које дати информациони систем може имати на приватност и податке о личности.

На крају, израда извјештаја о спроведеној студији пружа структуриран преглед карактеристика анализираног информационог система, као и идентификованих ризика, њиховог могућег утицаја на приватност или податке о личности, и солуција превдиђених за њихово избјегавање или смањивање.

3. управљање ризицима

Управљање ризицима је саставни дио животног циклуса сваког ИКТ пројекта. Од фазе планирања и развоја до фазе имплементације и одржавања, неопходно је бити спреман за суочавање са ситуацијама када све не иде по плану.

Када се ради о заштити права на приватност и податке о личности, планирање и спровођење студије утицаја је један од најбољих начина за идентификацију, евалуацију и управљање ризицима које дати ИКТ пројекат може произвести у овој области.

Присутан нарочито у англосаксонском свијету, због позитивних резултата које омогућава, овај метод је све више прихваћен у свијету. Да је у питању модеран и квалитетан приступ управљању ризицима у области приватности и заштите података о личности поврђује и значај који му даје законодавство ЕУ, као и чињеница да је Европска комисија објавила позив за предлоге пројеката усмјерен на израду правног оквира посвећеног студијама о утицају.

Тренутно у рангу препоруке, статус студија утицаја у правном систему ЕУ биће подигнут на виши ниво изгласавањем реформи правног оквира за заштиту приватности и података о личности.

Утицај промјена на европском плану осјетиће се и код нас, како у виду обавезе усклађивања правног система у поступку придруживања, тако и на пословном плану, као обавеза домаћих организација који учествују на европским пројектима или остварују пословну сарадњу са фирмама из ЕУ.