Kako podaci koje ostavljamo kompanijama prilikom korišćenja njihovih servisa sve više privlače pažnju javnosti i izazivaju strah da je privatnost mrtva, odlučili smo da serijom tekstova, koji će izlaziti jednom nedeljno, ukažemo na glavne trendove u ovoj oblasti i načine na koje kompanije mogu da sačuvaju ili povrate reputaciju.
Cilj nam je da omogućimo kompanijama uvid u alternativne mehanizme zaštite podataka o ličnosti u svom poslovanju, ali i da korisnicima ukažemo na moguće probleme koji se mogu javiti prilikom korišćenju njihovih ličnih podataka. Stupili smo u kontakt sa kompanijama iz IKT sektora čija dobra praksa upravljanja podacima može biti primer za ostale kompanije iz ove oblasti, a takođe smo i obratili pažnju na međunarodnu sudsku praksu kako bismo videli sa kakvim se sve problemima sreću potrošači i korisnici servisa.
Ukoliko imate neka pitanja ili sugestije, pozivamo vas da ostavite komentare. Smatramo da ćemo ovim putem pomoći kompanijama da zaštitu podataka podignu na viši nivo, a da će korisnici usluga više ceniti svoje podatke i dobro razmisliti kome i na koji način ih ostavljaju.
Najiskrenije se nadamo, za vaše dobro, da ćete posle ovih tekstova više ceniti svoje podatke.
Regulatorni pristupi zaštite ljudskih prava u digitalnom društvu: međunarodni standardi zaštite podataka o ličnosti
Kompanije su prethodnih decenija često bile na meti kritika zbog sudelovanja u kršenju ljudskih prava. U svakoj grani privrede kompanije utiču na ostvarivanje i uživanje ljudskih prava pojedinaca, kako zaposlenih, tako i potrošača. Ovaj uticaj se prostire na više prava, uključujući i prava na privatnost, imovinu, slobodno udruživanje i izražavanje.
Iako kompanije deluju prvenstveno na svoje zaposlene, deluju i na zajednicu u kojoj posluju. Kompanije same prepoznaju i pridaju važnost svojoj ulozi u zajednici i to najčešće kroz programe društveno odgovornog poslovanja (Corporate social responsibility-CSR). Ipak, neophodno je napraviti razliku između ovakvih inicijativa i koncepta ljudskih prava i biznisa, jer se one, iako su svakako veoma značajne, preduzimaju selektivno i fokusiraju samo na pojedinačna pitanja, dok se koncept “ljudska prava i biznis” odnosi na poštovanje svih obavezujućih standarda ljudskih prava. Međutim, čini se da pravo na privatnost i zaštita podataka nisu dovoljno privlačili pažnju javnosti sve dok razvoj novih biznis-modela u digitalnom dobu nije počeo da ih ugrožava.
Prva inicijativa od globalnog značaja u oblasti ljudskih prava i biznisa je UN Global Compact iz 2000. godine. Dobrovoljna inicijativa Global Compact nije pravno obavezujuća, ali utiče na reputaciju i okuplja kompanije koje su posvećene usklađivanju svog poslovanja sa deset međunarodno prihvaćenih principa iz oblasti ljudskih prava, radnih odnosa, životne sredine i anti-korupcije. Nakon Global Compact inicijative, takođe pod okriljem Ujedinjenih nacija, Specijalni izvestilac za pitanja ljudskih prava i biznisa je u junu 2011. godine sačinio Rukovodeća načela o biznisu i ljudskim pravima: sprovođenje „zaštiti, poštuj, otkloni“ Okvira Ujedinjenih nacija. Ovaj okvir zasnovan je na tri stuba: obavezi države da pruži zaštitu od kršenja ljudskih prava, obavezi kompanija da poštuju ljudska prava, kao i pristupu efikasnim pravnim lekovima za žrtve kršenja ljudskih prava.
Ako se načela primene na oblast zaštite podataka, može se zaključiti da kompanija koja se bavi informacionim i komunikacionim tehnologijama (IKT) može biti podložna posebnom riziku povrede prava na privatnost i/ili zaštitu podataka svojih korisnika koja bi nastala kao rezultat razmene podataka i cenzure. Jedan od primera ovakve povrede prava je slučaj kompanije Yahoo! Inc, koja je pristala da preda podatke svojih korisnika vladi Kine, kako bi se ti podaci potom koristili za lociranje i krivično procesuiranje političkih disidenata, čime se očigledno krše univerzalno prihvaćena ljudska prava. Ovaj slučaj će detaljnije biti obrađen u nekim od sledećih tekstova iz ove oblasti.
Jedna od prvih inicijativa zaštite podataka o ličnosti su OECD (tada organizacije koja je brojala mali broj država članica, gotovo isključivo ekonomski najrazvijenih država sveta) Privacy Principles usvojeni 1980, i revidirani 2013. godine.
U okviru evropskog zakonodavstva, Savet Evrope je doneo Konvenciju o zaštiti pojedinaca u vezi sa obradom podataka o ličnosti i slobodnom protoku podataka br. 95/46 od 24. oktobra. Na osnovu Konvencije, u cilju harmonizacje i obezbeeđivanja neometanog protoka informacija, na nivou EU je doneta Direktiva o zaštiti prava pojedinaca u vezi sa obradom podataka i slobodnom protoku tih podataka (Directive on the Protection of Individual with regard to the Processing of Personal Data and on the Free Movement of such Data). Pet fundamentalnih principa na kojima počiva sistem zaštite podataka o ličnosti po Direktivi 95/46/EC (član 6) su:
(a) podaci moraju biti obrađivani odgovorno i zakonito;
(b) podaci moraju biti prikupljani u određene, izričite i zakonite svrhe, i ne smeju se dalje obrađivati na način koji je neprimeren svrsi;
(c) podaci moraju biti primereni, relevantni i ne smeju biti prekomerni u odnosu na svrhu radi koje se prikupljaju i/ili se dalje obrađuju;
(d) podaci moraju biti tačni i, po potrebi, ažurirani; mora biti preduzet svaki razuman korak da bi se obezbedilo da podaci koji su netačni ili nepotpuni, s obzirom na svrhu radi koje se prikupljaju ili radi koje se dalje obrađuju, budu izbrisani ili ispravljeni.
(e) podaci moraju biti čuvani u obliku koji omogućuje identifikaciju lica koja su predmet podataka, ali ne duže nego što je neophodno u svrhu radi koje su podaci prikupljani ili radi koje su dalje obrađivani. Države-članice će propisati odgovarajuće mere zaštite za podatke o ličnosti koji se čuvaju na duži vremenski period radi korišćenja u istorijske, statističke ili naučne svrhe.
Dakle, obrada podataka treba da bude svedena na meru koja je neophodna, mora postojati najveća moguća transparentnost obrade podataka i mora biti uspostavljen efikasan nadzor nad obradom podataka.
Uskoro se očekuje usvajanje nove uredbe EU o zaštiti podataka o ličnosti, koja će za sve članice važiti neposredno. Tekst koji je usaglašen u Evropskom parlamentu između ostalog predviđa i visoke kazne za kompanije koje krše odredbe ovog propisa. Izglasavanje uredbe se očekuje najkasnije do maja 2014, jer se tada održavaju novi izbori za Evropski parlament.
Sa druge strane, primer dobre prakse za uspostavljanje “pakta” potrošača i kompanija uz posredničku ulogu organizacija civilnog društva je i projekat Global Network Initiative (GNI). GNI nastoji da uspostavi pravni okvir zasnovan na međunarodno prihvaćenim standardima koji bi obezbedio odgovorno poslovanje IKT sektora, pružio šansu za angažman u oblasti kreiranja samoregulatornih pravila i stvorio prostor za uzajamnu razmenu ideja i iskustava.
Principi slobode izražavanja i privatnosti, koji predstavljaju jedan od tri osnovna dokumenta Inicijative, opisuju sveobuhvatno posvećenost članova Inicijative saradnji u unapređivanju prava na slobodu izražavanja i privatnosti korisnika. Ovi Principi definišu lične podatke kao podatke koji mogu, sami ili grupisani, da budu korišćeni za identifikaciju ili lociranje lica (kao što su ime, e-mail adresa ili podaci o plaćanju) ili podaci koji mogu da budu povezani, direktno ili indirektno, sa drugim informacijama na osnovu kojih bi pojedinac mogao da bude identifikovan ili lociran. Shodno ovoj definiciji, kompanije članice se obavezuju da primenjuju zaštitu ličnih podataka u svim zemljama u kojima obavljaju poslovanje kako bi zaštitili privatnost korisnika, a pogotovo u situacijama kad su suočene sa vladinim zahtevima, zakonima ili regulativama koje ugrožavaju privatnost na način koji nije u skladu sa međunarodno priznatim pravilima i standardima.
Smernice za primenu ovih Principa daju detaljnija uputstva za IKT kompanije o tome kako da u praksi primene Principe, kao i okvir za saradnju između kompanija, nevladinih organizacija, investitora i akademije. Tako Smernice za primenu propisuju da kompanije u delu Zaštite podataka treba da:
- “usko tumače zahtev državnih organa za pristup podacima kompanije, imajući u vidu da zahtev može da ugrozi privatnost;
- da zahtevaju dodatna razjašnjenja ili izmenu zahteva ukoliko je reč o zahtevu kojim je traženo više ličnih podataka u odnosu na svrhu kojoj ti podaci služe, ili ako vladin zahtev nije u skladu sa zakonom ili sa prihvaćenim međunarodnim ljudskim pravima i standardima privatnosti;
- u daljoj komunikaciji sa vladinim organima, kompanije treba da, najbolje pismeno, održavaju komunikaciju, zahtevaju objašnjenje u vezi sa pravnim osnovom poslatog zahteva, sa akcentom na ime organa, službenika, njegovu poziciju i potpis zvaničnika;
- kompanije treba da utiču da državni organi poštuju domaću pravnu proceduru u ovim situacijama;
- kompanije treba da usvoje pravila i procedure kojima će regulisati postupanja u situacijama kada je reč o zahtevu koji nije u pisanoj proceduri ili nije u skladu sa pravnom procedurom.
- pravila treba da razmotre i situacije u kojima će kompanije pokretati sudske i druge postupke za ispitivanje legalnosti zahteva;
- kompanije treba da usko tumače ovlašćenje vlada za pristup ličnim podacima u zemlji u kojoj posluju i da u određenim situacijama u postupcima pred domaćim sudovima, uz asistenciju relevantnih stručnjaka, međunarodnih organizacija za ljudska prava, nevladnih organizacija, vode postupke kada zahtev nije u skladu sa domaćim ili međunarodnim propisima i standardima privatnosti. “
Ipak, treba imati u vidu da nije ni praktično ni poželjno da kompanije ispituju u postupcima sve zahteve, već je bolje da razviju posebne kriterujume na osnovu kojih će pokretati postupke (postupci koji će pozitivno uticati na zaštitu privatnosti, težina slučaja i ozbiljnost situacije, troškovi postupka, relevantnost slučaja za sudsku praksu i da li se već vode slični slučajevi). U primeni ovih Smernica, kompanije treba da predvide i situacije u kojima države pokušavaju da izbegnu domaću proceduru, pa zahtevaju pristup podacima kroz “proksi” (proxy) servere i preko trećih lica.
Međunarodna praksa u zaštiti podataka o ličnosti je postavila standarde i fundamentalne principe u ovoj oblasti, koje kompanije treba da poštuju i slede da bi zakonito i odgovorno poslovale, kao i u cilju očuvanja reputacije. U sledećem tekstu ćemo dati pregled zašitite podataka o ličnosti u Srbiji kao i primere dobre prakse u radu naših kompanija.
Nastaviće se…