Velika škola GDPR-a - lekcija 9 - Integriranje privatnosti u dizajn procesa i IT sustava – Privacy by design

Velika škola GDPR-a - lekcija 9  - Integriranje privatnosti u dizajn procesa i IT sustava – Privacy by design

Foto: Fotolia

Učinkovito integriranje privatnosti u sve poslovne procese moguće je jedino podizanjem svijesti o značenju osobnih podataka, dobrobiti koje njihova obrada donosi pojedincu i društvu, ali i negativnom utjecaju koji neetička uporaba osobnih podataka može imati. Posve je jasno da će postupak integracije privatnosti u društvo trajati godinama. Organizacije koje upravljaju osobnim podacima u tom postupku moraju biti predvodnici. Ne samo zato što je to dobro za društvo, nego i zato što takav pristup očekuje i GDPR. Kako to izgleda?

DPIA u glavi

U prošloj smo lekciji opisali DPIA – procjenu utjecaja na zaštitu podataka. Intenzivna edukacija zaposlenika zaduženih za upravljanje, dizajn, uspostavu i održavanje poslovnih procesa pomoći će vam u prepoznavanju potrebe za zaštitom osobnih podataka u vašoj organizaciji. Privacy by design idealno je integrirati u sve procese koji mogu rezultirati promjenama u poslovnim procesima ili uvođenjem novih procesa. Tipična životna situacija izgledala bi otprilike ovako:

  1. Organizacija razmišlja o uvođenju nove usluge i kreira tim za procjenu izvedivosti. Ovaj se tim ne mora formalno tako zvati, niti mora biti stvoren isključivo s tim razlogom. U malim dinamičnim organizacijama bit će to razgovor par ključnih ljudi na kavi. U velikima će to biti formalni tim.
  2. Tim je uočio da bi usluga ostvarivala pristup osobnim podacima. U malim će se organizacijama ovo dogoditi samo ako su članovi tima svjesni posljedica korištenja osobnih podataka, dok će u velikim organizacijama dokumentirani proces procjene izvedivosti uključivati i obaveznu identifikaciju uključenosti osobnih podataka.
  3. Članovi tima će provesti DPIA u obimu proporcionalnom utjecaju koji bi narušavanje sigurnosti osobnih podataka u novoj usluzi moglo imati. Po potrebi, konzultirat će i druge stručnjake.
  4. Ocjena izvedivosti morat će se između ostaloga temeljiti i na procjeni izvedivosti adekvatne zaštite osobnih podataka u usluzi.
  5. Kod dizajna usluge, potrebno se voditi slijedećim načelima:
    1. ne prikupljati niti pristupati osobnim podacima koji nisu neophodni za pružanje usluge,
    2. ne pohranjivati osobne podatke kad to nije neophodno,
    3. pristup osobnim podacima omogućiti samo onim osobama i sustavima kojima je to stvarno potrebno, i to samo onim podacima koji im trebaju,
    4. razinu zaštite osobnih podataka uskladiti sa rezultatima DPIA,
    5. osigurati funkcionalnosti za provedbu prava ispitanika (pravo na zaborav, portabilnost, usklađenost obrade s danim privolama…).
    6. Navedena načela integrirati u sve faze dizajna. Ako se npr. radi o razvoju aplikacije, razvojni tim mora biti upoznat sa na ovim načelima i primjenjivati ih kod pisanja koda (npr, ne koristiti “select * from“ za pristup osobnim podacima). Timovi za razvoj aplikacija koje pristupaju osjetljivim podacima bi obavezno trebali biti educirani za sigurno kodiranje.
    7. Osigurati da se stvarni osobni podaci ne koriste u postupku razvoja i testiranja, a ako to nije moguće, adekvatno ih zaštiti od neovlaštenog pristupa.

Isti principi vrijede i za implementaciju bilo kakvih promjena u aplikacijama i procesima, no sve to pada u vodu ukoliko niste identificirali postojanje osobnih podataka i potrebu za njihovom zaštitom. To možete samo ukoliko u organizaciji postoji svijest o vrijednosti osobnih podataka.

Još iz kategorije

IP adresa (ni)je osobni podatak!

IP adresa (ni)je osobni podatak!

19.10.2017. komentiraj

Osobnim podacima se smatraju setovi podataka koji se odnose na točno određenu osobu čiji identitet je utvrđen ili se može utvrditi izravnim ili neizravnim putem. Kada je voditelj obrade uz razumni napor legalnim putem može nedvojbeno povezati sa konkretnom osobom, IP adresu bi trebalo smatrati osobnim podatkom. U suprotnom, IP adresa nije osobni podatak. O tome svjedoči i odluka Europskog suda pravde od 19.10.2016.

KOMENTAR: Odlični rezultati Tele2 u Hrvatskoj

KOMENTAR: Odlični rezultati Tele2 u Hrvatskoj

19.10.2017. komentiraj

Velika konkurencija na domaćem mobilnom telekom tržištu prije gotovo dvije godine natjerala je trećeg po veličini domaćeg telekom operatera Tele2 da krene s ulaganjima. Iako su jako dugo tvrdili kako neće tako skoro ulaziti u 4G odnosno neće dizati najnoviju generaciju mobilnih mreža koje donose velike brzine prijenosa podataka ipak su to učinili i početkom prošle godine pustili u pogon svoju 4G mrežu.

Može li umjetna inteligencija uzdrmati fotografski svijet?

Može li umjetna inteligencija uzdrmati fotografski svijet?

18.10.2017. komentiraj

Umjetna inteligencija (AI) bi oko 2045. godine trebala biti sposobna pisati bestelere, što znači da će se razviti do te mjere da oponaša najkrerativnije umove u ljudskoj povijesti. Naravno, sve to još uvijek je teorija, ali ako AI uistinu može biti toliko kreativna, znači li to da će moći fotografirati kao profesionalci?