8 minute read
Zaštita podataka o ličnosti i GDPR
"U Srbiji je u novembru 2018. godine usvojen Zakon o zaštiti podataka o ličnosti (ZZLP) sa odloženom primenom od devet meseci. Budući da tekst ovog zakona predstavlja na neki način adaptirani prevod GDPR-a, možemo reći da su ovim zakonom načela GDPR-a uvedena na domaći teren." - Dina Raković
Četvrta industrijska revolucija predstavlja revoluciju bez presedana u istoriji, razvijajući se munjevitom brzinom, ostavljajući uticaj kako na privatni, tako i na javni sektor u svakoj državi. Obećanjem da će nam poboljšati uslove života, kroz povećanje produktivnosti, umanjenje troškova, optimizaciju poslovanja i slično, tehnologija je ušla u sve pore našeg života. S tim u vezi, poslovni modeli zasnovani na primeni informacionih tehnologija za obradu velikih količina podataka iziskuju sve češće postavljanje pitanja o bezbednosti podataka koji se obrađuju i lica na koja se ona odnose. Neosporan značaj obrade podataka se najčešće ogleda u ciljevima organizacija da unaprede i/ili kreiraju nove vrednosti koje mogu da utiču na donošenje smislenijih odluka, na poboljšanje procesa unutar organizacije, kao i da se predvide nove okolnosti i slično.
Advertisement
Upotrebna i ekonomska vrednost podataka raste sa njihovom kvalitetom i obradom. U okviru savremene ekonomije, podaci su postali svojevrsna valuta, te se vrlo često čuje pojam ekonomija podataka, budući da usluge digitalnih servisa poput društvenih mreža ili pretraga na internetu ne možemo platiti novcem, već ih plaćamo sopstvenim podacima prihvatajući olako uslove korišćenja. Najčešće nismo svesni da upravo ti servisi zadržavaju pravo da sa naših uređaja preuzmu različite količine i vrste podataka, koje koriste za svoje poslovanje, u pomenute svrhe.
Evropska unija je prepoznala značaj podataka kao ključnog resursa za razvoj poslovanja i ukupni društveni napredak, kao i da je bitan preduslov za održivi razvoj ekonomije
ZAŠTITA PODATAKA O LIČNOSTI
ZAŠTITA PODATAKA O LIČNOSTI I GDPR
podataka uspostavljanje poverenja u digitalnu ekonomiju i nove poslovne modele zasnovane na (ličnim) podacima. U maju 2018. godine na snagu je stupila Opšta uredba o zaštiti podataka (General Data Protection Regulation-GDPR) stavljajući podatke o ličnosti pod zaštitu bez presedana. Ukratko, GDPR štiti prava građana Evropske unije, time što se njegove odredbe odnose na svaku organizaciju bilo gde u svetu koja obrađuje podatke stanovnika EU, nezavisno od toga na koji način to radi i u koje svrhe – da li je u pitanju, na primer, trgovina robom i uslugama ili praćenje njihovog ponašanja na internetu.
U Srbiji je u novembru 2018. godine usvojen Zakon o zaštiti podataka o ličnosti (ZZLP) sa odloženom primenom od devet meseci. Budući da tekst ovog zakona predstavlja na neki način adaptirani prevod GDPR-a, možemo reći da su ovim zakonom načela GDPR-a uvedena na domaći teren. Bez obzira na nemali broj nedostataka, ZZLP normativno predstavlja najviši standard zaštite podataka o ličnosti u Republici Srbiji, te se veruje da će manjkavosti i praznine biti rešeni u hodu, a značajne pravne inovacije biti ugrađene u sistem zaštite ljudskih prava. I pored svih poboljšanja životnog standarda koje donose proizvodi i usluge zasnovani na podacima, ni na koji način se ne može opravdati odbacivanje privatnosti kao osnovnog prava i odricanje građana od ovlašćenja da kontrolišu ko, za koje svrhe i na koji način obrađuje njihove podatke o ličnosti. Neobično brz razvoj i implementacija tehnologija za prikupljanje, skladištenje i obradu podataka, uključujući razvoj poslovne inteligencije i mašinskog učenja, izazivaju bojazan da će se „nedobronamernim licima“ omogućiti sveobuhvatna slika o svakom pojedincu bez njihovog znanja.
Rizik da ovako moćne alate poseduju određene privatne i javne organizacije svakako treba uzeti sa najvećim oprezom, ali to ne znači da ćemo olako napustiti prednosti koje obrada podataka o ličnosti može doneti, naročito ukoliko je transparentna i adekvatno uređena. S druge strane, neadekvatna upotreba ili zloupotreba resursa koji ima toliku vrednost može dovesti do nenadoknadivih posledica.
STANDARD ISO /IEC27701- NOVI MEHANIZAM ZAŠTITE PODATAKA O LIČNOSTI
Bez obzira kojim se poslom danas bavite – bavite se privatnošću podataka. Tada se postavlja pitanje: Kako organizacije mogu upravljati privatnim informacijama ljudi? Novi propisi o privatnosti koje su evropske vlade uvele poslednjih godina, poput pomenute
Opšte uredbe o zaštiti podataka Evropske unije (GDPR) ili Zakona o zaštiti podataka o ličnosti, zahtevaju posvećenost i odgovornost javnog i privatnog sektora.
Nedavno objavljeni standard ISO / IEC 27701, čiji je pun naziv „Tehnike bezbednosti - Proširenje na ISO/IEC 27001 i ISO/IEC 27002 za upravljanje podacima o privatnosti – Zahtevi i smernice“, pomaže kompanijama da upravljaju rizicima od privatnosti radi ličnih podataka. Takođe, standard može pomoći kompanijama da se pridržavaju GDPR-a, Zakona o zaštiti podataka o ličnosti, kao i drugih propisa o zaštiti podataka. Izrađen pod zajedničkim upravljanjem ISO-a i Međunarodne elektrotehničke komisije (IEC), to je prvi svetski standard posvećen privatnosti ličnih podataka na svetu.
Suština ISO/IEC 27701 (PIMS – Private Information Managmant System) je da je to jednostavan i efikasan način za rešavanje problema obrade podataka u jednoj organizaciji. Iako su sajber bezbednost i privatnost podataka međusobno povezani, u mnogim organizacijama se i dalje tretiraju kao različiti projekti. S tim u vezi, bio bi pametan potez da implementaciju i primenu standarda ISO/IEC 27701 povežemo sa upravljanjem bezbednošću informacija putem ISO/IEC 27000 serije standarda, koju na godišnjem nivou revidira hiljade kompanija na svetu. Nezanemar- ljiv je podatak da je broj implementacija ISO/IEC 27001 na svetskom nivou već nekoliko godina prevazišao implementaciju ISO 9001 sistema. Stavljanjem PIMS-a na vrh te strukture, timovi koji se bave bezbednošću informacija u jednoj organizaciji mogu zajedno sa timom za bezbednost podataka o ličnosti uspostaviti prakse obrade podataka koje obuhvataju i bezbednosna i pitanja ličnih
podataka, te na taj način omogućiti visok stepen ukupne bezbednosti informacija organizacije. PIMS uzima u obzir potrebu da se o zaštiti podataka razmišlja sveobuhvatno.
U GDPR-u, kao i mnogim drugim zakonima o privatnosti širom sveta, postoji potreba da organizacije imaju službenika za zaštitu podataka koji ima veliki izazov da kreira adekvatnu dokumentaciju. Drugim rečima, kada radite u organizaciji, kako dokazujete da pravilno vršite obradu podataka? Proces PIMS vam omogućava da napravite sveobuhvatnije mehanizme primene, a zatim da uspostavite dokumentaciju i odgovorite na zahteve zakona i standarda.
DA LI OVAJ NOVI STANDARD MOŽE DA POMOGNE KOMPANIJAMA DA POSTIGNU USKLAĐENOST SA GDPR-OM ILI ZAKONOM O ZAŠTITI PODATAKA O LIČNOSTI?
U ovom trenutku ne postoji standard koji se identifikuje da predstavlja poštovanje zakonskih odredbi o privatnosti, tako da trenutno u Evropi postoji puno diskrecionog prava u pogledu načina na koji kompanije tumače propise. Ono što ovaj standard omogućava jeste da obezbeđuje dokaz primene i poštova- nja pravila i prakse u oblasti zaštite podataka o ličnosti. Radi se o jakim praksama, uspostavljanju odgovornih ponašanja koja su dokumentovana, koja se razvijaju i koja imaju sposobnost da se vremenom poboljšaju, jer je jedna od glavnih odlika sistema upravljanja procesima fokusiranje na kontinuirano poboljšanje.
Važno je napomenuti da na svetu ne postoji jedan zakon o privatnosti, već postoje: GDPR, Kalifornijski zakon, naš Zakon o zaštiti podataka o ličnosti i tako dalje. Jedna od stvari koja čini PIMS toliko zanimljivim jeste da on oličava dosledan skup praksi privatnosti, odnosno kontrola, koje se mogu mapirati u skladu sa bilo kojim zakonom o privatnosti.
ŠTA ZA ORGANIZACIJU ZNAČI USVAJANJE ISO / IEC 27701?
Činjenica da se tehnologija kontinuirano razvija, i to sve brže, znači da nikada ne možete reći „to smo sredili i sada možemo da budemo mirni“. To jednostavno ne funkcioniše na taj način. Svaki posao se razvija svakog dana. Standard poput ISO/IEC 27701 stvara mogućnost za doslednost pristupa, a istovremeno je dovoljno fleksibilan da se prilagodi promenama koje se dešavaju. Važan pojam koji treba savladati je procena uticaja na privatnost, što je sistematičan proces za procenu potencijalnih efekata vašeg sistema na privatnost ličnih podataka. Iako ovo nije karakteristika samog standarda, ISO/IEC 27701 ima zahtev za opseg primenjivosti, kada je kompanija pozvana da meri uticaj svoje obrade podataka u datom kontekstu. Standard zatim pruža niz kontrola za suzbijanje tog uticaja. Kombinacija ovih segmenata zajedno može vas odvesti do niza odgovornih praksi za zaštitu podataka!
Ovaj standard se nadovezuje na seriju ISO/IEC 27000, pa PIMS uključuje kretanje putem bezbednosti informacija i prihvatanje da će biti potrebno angažovanje sistema upravljanja informacionom bezbednošću, koji se kasnije može proširiti i na lične podatke. Radi se o sagledavanju vaših sistema i procesa, identifikacije i procene rizika, a zatim uspostavljanju kontrola i mehanizama za sprečavanje ili minimalizaciju pojave istih.
6 ČINJENICA O ISO/IEC 27701
ISO/IEC 27701:
je prvi sistem za upravljanje informacijama o privatnosti na svetu (PIMS)
je jednostavan i efikasan način širenja doslednih praksi obrade podataka u organizaciji
uspostavlja dokumentovane dokaze da ispravno rukujete obradom podataka
nadograđuje seriju ISO/IEC 27000, proširujući svoje principe informacione bezbednosti na privatnost
nudi doslednost pristupa, a istovremeno je i dovoljno fleksibilan da se prilagodi tekućim promenama
dragoceno je sredstvo u korišćenju informacione tehnologije u bilo kom poslu
Zamislite kontrolu kao propisano ponašanje koje ste se obavezali da ćete slediti, a koje s vremenom postaje ponašanje koje se ponavlja i koje dokumentujete. Ukratko, kontrole koje se postave trebalo bi da obuhvate sve: od prikupljanja podataka, upotrebe podataka, odlaganja podataka, načina na koji postupate sa povredama podataka, kako obaveštavate lica na koja se podaci odnose i drugo.
Dina Raković
Izvori:
„Vodič kroz zakon o zaštiti podataka o ličnosti i GDPR – tumačenje novog pravnog okvira „ Misija OEBS-a u Srbiji i Share Fondacija Zakon zaštiti podataka o ličnosti Opšta EU regulativa o zaštiti podataka Standard ISO 27701 "Ono što je sigurno, implementacija i primena ovog standarda ne treba da vas plaši. Bitno je samo da bavljenje ovim pitanjem shvatite ovo kao putovanje, a ne kao odredište." -Dina Raković
