Regulatorni pristupi zaštite ljudskih prava u digitalnom društvu: alternativni mehanizmi zaštite podataka o ličnosti

29-01-2014

Prikupljanje, obrada, analiza i korišćenje ličnih podataka u komercijalne svrhe je jedan od najvećih izazova informacionog društva. Podaci o ličnosti su postali osnova novih biznis-modela, ali istovremeno i temelj odgovornosti kompanija koje prikupljaju i obrađuju informacije o korisnicima njihovih usluga. U cilju zaštite svog poslovanja ali i korisnika, kompanije su razvile alternativne mehanizme zaštite podataka o ličnosti.

Jedan od načina za uspostavljanje ravnoteže između zaštite potrošača i bezbednosti njihovih podataka su postupci procene rizika poslovanja i uspostavljanje mehanizama za njihovo prevazilaženje. Pitanje zaštite privatnosti se najčešće postavlja u kontektu ljudskih prava, dok se termin zaštite podaka više koristi kao tehnički izraz. Ipak nesumnjiva je veza ova dva pojma, te bolja zaštita podataka ujedno je i bolja zaštita privatnosti. Stoga su izdvojena tri faktora rizika koja mogu predstavljati opasnost za privatnost. Prvi rizik potiče od toga da podaci najčešće nisu tačni, da su neaužurni, kao i da su nesrazmerni svrsi obrade. Drugi rizik se odnosi na mogućnost personalne kontrole prikupljenih informacija, prikupljanje podataka bez saglasnosti lica, postojanje zabrana ili obeshrabrivanje da se vode postupci za zaštitu podataka o ličnosti. Na kraju, treći rizik se odnosi na povredu dostojanstva i sramoćenje nastalo kao posledica objavljivanja podataka bez transparentne procedure. Isti rizik postoji i u slučajevima kada se  podaci ostavljaju  uprkos  tome što nisu potrebni za svrhu obrade, ili u slučaju nepotrebnog i neopravdanog otkrivanja ličnih podataka bez saglasnosti korisnika. Procenom rizika kompanije mogu da obezbede visoki nivo zaštite podataka i da izbegnu troškove izazvane nepravilnim upravljanjem podacima.

Na nivou Evropske Unije (EU), ustanovljena je i praksa prihvatanja Obavezujućih poslovnih pravila (Binding Corporate Rules-BCR), koja olakšava kompanijama prenos podataka o ličnosti iz Evropskog ekonomskog prostora (EEP) u predstavništva koja se nalaze van EEP, koristeći BCR mehanizme zaštite, koje je nezavisno EU telo za zaštitu podataka (Article 29 Working Party) prethodno odobrilo.

Obavezujuća poslovna pravila (Binding Corporate Rules) su unutrašnja pravila, poput Pravila postupanja, koja usvajaju multinacionalne kompanije kako bi definisale svoju globalnu politiku u vezi sa međunarodnim transferima podataka o ličnosti u okviru iste korporativne grupe ka entitetima lociranim u zemljama koje ne pružaju adekvatan nivo zaštite. Multinacionalne kompanije koriste ova pravila kako bi primenila adekvatne mehanizme zaštite privatnosti,i na taj način iskazale poštovanje osnovnim pravima i slobodama pojedinaca u skladu sa članom 26 stav 2 EU Direktive 95/46/CE. Pravila moraju da sadrže principe zaštite privatnosti (transparentnost, kvalitet podataka, bezbednost…), efikasna sredstva zaštite (revizije, obuka zaposlenih, sistem podnošenja žalbi…) i element koji dokazuje da su pravila obavezujuća.

 

S druge strane, u velikim tržišnim ekonomijama kompanije sve više razvijaju samoregulatorne propise. Primer ovakvih propisa su Smernice koje je napravila koalicija od preko 80 onlajn kompanija i trgovinskih udruženja pod nazivom Online Privacy Alliance (OPA). U skladu sa ovim Smernicama, članice OPA se obavezuju da usvoje i primene određena pravila o zaštiti privatnosti podataka čime kompanije preuzimaju na sebe obavezu da detaljno obaveštavaju potrošače o korišćenju njihovih podataka. Obaveštenje se odnosi na vrste podataka o ličnosti i vrstu obrade, dostupnost informacija trećim licima, mere za zaštitu podataka, kao i na mogućnost pristupa informacijama od strane korisnika.

Smernice za onlajn politike privatnosti izdvajaju zajedničkih pet fundamentalnih principa zaštite privatnosti:

  • obaveštenje/svest- korisnici treba da budu obavešteni o obradi i identitetu kompanije pre nego što joj dozvole prikupljanje ličnih podataka.

  • izbor/saglasnost- postoje dva tipa izbora ili saglasnosti- opt-in i opt-out. Opt-in podrazumeva izjašnjavanje korisnika o dozvoli za prikupljanje i korišćenje podataka, dok se opt-out odnosi na nesaglasnost korisnika za prikupljanje i obradu određenih podataka, a u oba slučaja informacije koje se prikupljaju su ponuđene od strane kompanije.

  • pristup/učestvovanje- mogućnost korisnika da pristupe ličnim podacima, kao i da osporavaju tačnost i celovitost podataka.

  • integritet/bezbednost- kako bi obezbedili integritet podataka, kompanije moraju da preduzmu razumne korake, kao što je korišćenje isključivo proverenih izvora podataka i naknadna provera podataka, omogućavanje korisniku da pristupi podacima, ali i uništavanje zastarelih podataka ili njihovo anonimiziranje.

  • izvršenje/obeštećenje- svi ovi fundamentalni principi zaštite privatnosti mogu biti efikasni jedino ako postoji mehanizam zaštite i naknade štete u slučaju nepostupanja po navedenim pravilima.

Još jedan od načina na koji biznis sektor može da osigura poštovanje i zaštitu podataka o ličnosti svojih korisnika je uvođenje ISO standarda 27001 koji se odnosi na zaštitu podataka. Nova verzija Standarda ISO 27001 koji je objavljen još 2005. godine, nastala je 2013. godine i sada je skladu sa drugim ISO sertifikovanim menadžment sistem standardima. Standarda ISO 27001 uveo je “Planiraj-Uradi-Proveri-Reaguj” (Plan-Do-Check-Act) koncept.  Ovaj standard je specifikacija sistema ISMS- Information Security Management Systems (Sistem upravljanja bezbednošću podataka), na osnovu kog se i ovaj standard dodeljuje.

 

Cilj ovog standarda je da obezbedi uslove za uspostavljanje, implementaciju, održavanje i kontinuirano unapređivanje sistema upravljanja bezbednošću podataka (ISMS).  Standard obuhvata sve vrste kompanija (komercijalna preduzeća, vladine, nevladine i neprofitne organizacije), svih veličina (od mikro preduzeća do velikih multinacionalnih kompanija) i sve industrije i segmente (npr. maloprodaja, bankarstvo, odbrana, zdravstvo, obrazovanje i vlada). Obavezan deo u postupku sertifikacije jeste da sprovođenje objektivne analize o tome šta kompanija treba da uradi kako bi primenila ISMS sistem, a u isto vreme služi kao osnova za formalnu procenu usklađenosti koju obavljaju ovlašćeni revizori.

Obavezna dokumenta, odnosno dokumentovani podaci kako to naziva Standard su između ostalog sledeći: analiza već postojećeg ISMS, polise bezbednosti podataka, procena rizika bezbednosti podataka,  način tretmana rizika po bezbednost podataka, dokaz o stručnosti i kvalifikacijama ljudi koji su zaduženi za bezbednost podataka, operativno planiranje i kontrola dokumenata, rezultalti procene rizika, odluke u vezi sa tretmanom rizika, dokazi o praćenju i merenju bezbednosti podataka, interni revizorski program ISMS sistema i rezultati o sprovedenim revizijama, dokazi o utvrđenim neusaglašenostima i korektivnim merama koje proizilaze i ostala propratna dokumentacija.

Sertifikacija donosi brojne koristi koje prevazilaze cilj koji se želi postoći njegovim uvođenjem a to je usklađenost sa standardom. Upravo kao standardi  iz ove serije govori  više o kompanije i njenoj odgovornoj politici postupanja sa podacima, te ujedno ukazuje na lojalnu utakmicu na tržištu i prevashodnu zaštitu potrošača.

Saznajte više o procesu sertifikacije na http://www.27000.org/ismsprocess.htm kao i o drugim relevatnim ISO standardima o zaštiti privatnosti  na:

http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=45123

U sledećem tekstu ćete imati prilike da saznate više o poziciji službenika za zaštitu privatnosti i podataka o ličnosti kao i intervju sa gospodinom Andrejem Diligenskim koji je zaposlen u austrijskoj komaniji SIMACEK group upravo na ovoj poziciji, ali i o drugim kompanijama koje su uvidele značaj ove pozicije.

Nastaviće se…

NAJNOVIJE