Regulatorni pristupi zaštite ljudskih prava u digitalnom društvu: službenik za privatnost i zaštitu podataka u sklopu kompanije

12-02-2014

U svetu postoji praksa uvođenja kancelarije službenika za podatke o ličnosti i privatnost unutar kompanija. Službenik za podatke o ličnosti ima nadležnost nad sprovođenjem i nadzorom zbriki podataka, kao i njihovom registracijom u centralni registar podataka, pribavljanjem dozvola za transfer podataka u inostranstvo, kontrolom izjava o saglasnosti za obradu podataka o ličnosti, nadziranjem obaveza informisanja lica čiji se podaci obrađuju, sačinjavanjem ugovora o prenosu podataka i njihov nadzor, konstantno unapređivanje, poboljšavanje i donošenje predloga u vezi sa usvajanjem sigurnosnih mera za zaštitu podataka, kao i drugim poslovima koji se tiču zaštite privatnosti i podataka o ličnosti. Nova uredba EU o zaštiti podataka o ličnosti, čije se izglasavanje očekuje do maja 2014, predviđa da sve kompanije i ustanove koje obrađuju više od 5000 podataka o ličnosti imaju moraju da imaju poverenika za zaštitu podataka o ličnosti.

Kao primer kompanije koja ima službenika za zaštitu podataka i privatnost (Datenschutzbeauftragter) možemo da navedemo austrijsku kompaniju SIMACEK Facility Management Group GmbH. SHARE Defense je stupio u kontakt sa službenikom nadležnim za zaštitu podataka, gospodinom Andrejem Diligenskim, kako bi nam dao uvid u njegov rad.

Razlog za uvođenje ove funkcije bila je težnja kompanije SIMACEK za dobijanje sertifikata ISO 27001, o kom smo već pisali u prethodnom tekstu (linkovati tekst), koji se odnosi na bezbednost podataka (Information Security) za čiju implementaciju je on zadužen. “Uredjivanje ove oblasti donosi prednost na tržištu, ali je u isto vreme skupo. Ovaj sertifikat bi se donekle mogao uporediti sa HCCAP sistemom. Informacije su danas postale u tom segmentu važne kao i zaštita životne sredine. One su kao radijacija – zbog gomilanja podataka, samo je pitanje vremena kada će procureti, a onda se postavlja pitanje odgovornosti. Ovom pozicijom na neki način rukovodioci firmi prenose odgovornost na poverenika unutar firme, pošto je on zadužen da implementira zakon o zaštiti podataka, ali ne samo taj zakon. Zaštita podataka ne obuhvata samo Zakon o zaštiti podataka o ličnosti, već su tu i drugi sektorski zakoni (telekomunikaciono pravo, autorsko pravo, radno pravo, elektronska trgovina, elektronski potpis, pravo konkurencije, pravo medija, ljudska prava itd). Dakle, ova oblast prava spada u ljudska prava, ali zahteva širinu u pravnom znanju i poznavanje posebnih propisa. Takođe, ova pozicija može uspostaviti i u državnim instiucijama”, navodi gospodin Diligenski.

Prednosti uvođenja ove funkcije za kompaniju su brojne. Kao što je već navedeno, uspostavljanje ove funkcije predstavlja važan deo sertifikacije 27001. Kao ostale prednosti, prvenstveno treba navesti da klijenti očekuju da kompanija savesno i u skladu sa zakonima rukuje njihovim podacima. Takođe, to doprinosi lojalnoj konkurenciji, jer se podaci ne obrađuju bez znanja klijenata. Uvođenjem ove funkcije, smanjuje se i odgovornost rukovodstva kompanije, doprinosi se ugledu kompanije (pošto firma koja ima uređene unutrašnje akte i organizaciono-tehničke mere, može u svakom trenutku to klijentima i prikazati). Uz to se smanjuju troškovi i rizici mogućeg “curenja” informacija (pošto u Austriji postoji obaveza plaćanje kazne za SPAM, koja ide i do 58.000 evra), a doprinosi se i transparentnosti poslovanja kompanije, kako nam je objasnio gospodin DIligenski.

Govoreći o problemima sa kojima se suočava u svom radu, gospodin Diligenski je rekao da se susreće sa različitim izazovima i da konstantno mora da balansira, pošto je ova pozicija izuzetno osetljiva i nada se da će biti regulisana zakonom. “Pošto samo nezavisan i nepristrasan poverenik može da obavlja funkciju bez pritisaka, mora mu se garantovati zaštita radnog mesta i to u minimalnom roku od dve do tri godine. Na taj način, rukovodstvo firme neće moći da se meša u rad poverenika“, dodao je on.

Kao jedan od problema sa kojima se susreće izdvojio je sledeći primer: “Imao sam slučaj gde se koleginica žalila i tražila da se ukloni njena slika sa veb sajta firme. Spomenuta koleginica je učestvovala na manifestaciji u našoj organizaciji i slikana je sa ostalim kolegama i logom firme. U tom kontekstu je ona morala da bude svesna, da se takve manifestacije mogu koristiti u marketinške svrhe firme. Stoga sam odlučio da na njen zahtev odgovorim negativno. Međutim, koleginica je kasnije napustila firmu i tada firmin interes više nije bio pretežniji, a pošto je koleginica uložila žalbu, naložio sam da se fotografije obrišu. Jasno je da više ne postoji nikakva povezanost između firme i koleginice, pa fotografije više nisu prisutne na veb stranici.”

Kao izazov je naveo i kreiranje veb stranice koja klijenitma omogućava uvid u poslovanje poverenika, kao i postavljanje pitanja u vezi sa zaštitom podataka o ličnosti. Prema rečima gospodina Diligenskog, ovde se radi o opt-in rešenju gde klijenti odlučuju koje će podatke uneti i da li žele da dobijaju marketinške materijale (striktna saglasnost klijenata) jer je to najbolje moguće rešenje vezano pre svega za marketing. Na ovaj način, prema navodima gospodina Diligenskog, baza klijenata za slanje mejlova je znatno smanjena, a samim tim i potencijalna zarada. Na sreću, nadležne kolege su uvidele značaj ovog rešenja, iako je u početku bilo problema da im objasni da bi šteta koja bi mogla da nastane bila nedoknadiva. ”Kazne se najviše naplaćuju upravo u toj oblasti, pošto je jedan mejl digitalni potpis, pa je bez saglasnosti nemoguće preduzimati bilo kakve radnje.”

Kompanije u poslednje vreme nastoje da oblast zaštite podataka urede unutrašnjim propisima, pa tako u SIMACEK grupi, prema rečima gospodina Diligenskog, postoje ugovori i tzv. direktive na nivou firme. “Recimo, ugovori su u vezi sa korišćenjem podataka u okviru koncerna u marketinške svrhe, zatim ugovori u vezi sa knjigovodstvom, fakturisanjem, korišćenjem veb stranice itd. Na primer, direktive se odnose na korišćenje elektronskih uređaja, a postoje i uputstva za korišćenje smartfon uređaja i slično.”

Zanimalo nas je i da li postoje analize koje pokazuju direktan pozitivan uticaj ove funkcije na finansijsko poslovanje kompanije. Prema rečima gospodina Diligenskog, ova pozicija ne donosi direktan profit, ali donosi brojne prednosti. Problem je u tome što se posledice koje mogu nastati usled neuspostavljanja ove funkcije vide tek nakon određenog vremena, pogotovo ukoliko se kompanija nađe u situaciji da mora da plati određene kazne. “Najveća šteta za kompaniju je ipak gubitak velikih klijenata i reputacije, pošto je zaštita podataka veoma važna za marketing”, navodi on. Gospodin Diligenski takođe tvrdi da je i u Austriji, baš kao i u Srbiji, Zakon o zaštiti podataka o ličnosti “mrtav zakon”, ali da u budućnosti to mora da se menja, pošto će kompanije sve više uviđati potrebu uvođenja ove funkcije i njene prednosti.

Na globanom nivou, Facebook je korisnicima dao mogućnost da direktoru za pitanje politike privatnosti postavljaju pitanja koja se odnose na privatnost na toj društvenoj mreži. Praksa ove društvene mreže po pitanjima privatnosti se nije uvek poklapala sa proklamovanim ciljevima. Tako je 2011. ova kompanija bila pod istragom Federalne Trgovinske Komisije(FTC) sa sumnjom da je obmanjivala svoje korisnike o politici privatnosti na ovoj društvenoj mreži. Ovaj slučaj je na kraju završen nagodbom između Facebook i FTC, gde se Facebook obavezao da prestane sa lažnim tvrdnjama o svojoj politici privatnosti i da podleže nezavisnim proverama narednih 20 godina. Drugi veliki slučaj jeste slučaj austrijskog studenta prava Maksa Šremsa, koji je u okviru istraživanja za rad na fakultetu uputio zahtev da mu Facebook dostavi sve podatke koje imaju o njemu kao korisniku, što je Facebook i uradio tako što su mu poslali 1,222 strane njegovih podataka koje imaju. Nakon toga Maks je pokrenuo inicijativu Europe v. Facebook, kao pokušaj da natera Facebook da promeni svoju politiku privatnosti u pravcu veće zaštite privatnosti korisnika, u čemu je delimično i uspeo.

Jedan od svetlih primera među kompanijama koje posluju na našem tržištu, Telenor d.o.o. koja je uspostavila funkciju službenika za privatnosti i zaštitu podataka, odnosno Lokalnog oficira za zaštitu privatnosti, koji je odgovoran za poštovanje i primenu politike privatnosti od strane Telenora. SHARE Defense je pitao lokalnog rukovodioca za privatnost podataka Telenora Srbija, gospodina Milana Nikolića o načinu rada i ovlašćenjima ovog organa. Prema rečima gospodina Nikolića, “uloga lokalnog oficira za zaštitu privatnosti (Local Privacy Officer – LPO), predviđena je Politikom privatnosti Telenor grupe. LPO je inokosni organ koga imenuje generalni direktor lokalne Telenorove kompanije i formalno je odgovoran generalnom direktoru. U lokalnoj organizaciji Telenora u Srbiji, u cilju efikasne funkcionalne integracije, direktor korporativne bezbednosti je istovremeno i LPO, koji:

  • Odgovara za praćenje usaglašenosti obrade podataka o ličnosti u Telenoru Srbija sa nacionalnim i međunarodnim propisima o zaštiti podataka i Politikom privatnosti Telenor grupe;

  • Mora biti uključen u projektovanje novih proizvoda i usluga već od ranih faza kako bi se osiguralo da su oni u skladu sa principima Politike privatnosti “Telenor grupe”, a sve unutrašnje organizacione jedinice obavezne su da obaveštavaju LPO o razvoju u ovoj oblasti;

  • Poseduje ovlašćenje da na licu mesta ispita svaku obradu koja uključuje korišćenje ličnih podataka, kao i pravo da slučajeve neusklađenosti neposredno prijavi Generalnom direktoru;

  • Ima obavezu da pruži pomoć u aktivnostima u vezi obuke i razvijanja svesti zaposlenih u ovoj oblasti.”

 

Na pitanje na koji su način, tj. po kom osnovu, podaci o ličnosti korisnika dostupni državnim organima Republike Srbije, gospodin Nikolić je odgovorio da se podaci o ličnostima Telenorovih korisnika daju “na korišćenje državnim organima Republike Srbije na osnovu i u skladu sa Zakonom o zaštiti podataka o ličnosti, Zakonika o krivičnom postupku, Zakona o elektronskim komunikacijama i pojedinačnih naredbi sudova i tužilaštva.”

Službenik za zaštitu privatnosti i podataka o ličnosti o kojem smo pisali u ovom tekstu treba da obezbedi odgovorno poslovanje kompanija i da spreči nastanak nenadoknadive štete koja može nastati kao posledica postupanja sa podacima koje nije u skladu sa zakonom. Upravo o tome biće više reči u sledećem tekstu kao i o tome kako kompanije mogu da povrate poverenje korisnika, omoguće korisnicima da shvate značaj i cenu svojih podataka, kao i o sudskoj praksi u ovoj oblasti.