Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Državna agencija za zaštitu ličnih podataka
Strana 1 / 29
Priručnik
“O smernicama za sprovođenje zakonodavstva za zaštitu ličnih podataka”
April, 2016
Državna agencija za zaštitu ličnih podataka
Strana 2 / 29
Sadržaj
1 BEZBEDNOST LIČNIH PODATAKA - OSNOVNI KONCEPTI, ZAKONSKE OBAVEZE, PREPORUKE ........ 3
2 Bavljenje velikim rizicima obrade ličnih podataka .......................................................................... 5
2.1 Provera pravne usaglašenosti ................................................................................................. 5
2.2 Usaglašenost bezbednosti povezane sa IKT ............................................................................ 6
3 Zajedničke obaveze bezbednosti podataka za svakog pravnog Obrađivača ili Kontrolora koji
obrađuju lične podatke ........................................................................................................................... 7
4 SZP kao osoba koja je zadužena za bezbednost podataka ........................................................... 12
5 UREDBA BR. 03/2015 O MERAMA BEZBEDNOSTI U TOKU OBRADE LIČNIH PODATAKA .............. 15
5.1 Bezbednosne obaveze za privatne i javne organe niskog i visokog rizika predviđenih
UREDBOM BR. 03/2015 .................................................................................................................... 15
5.2 Glavne obaveze nametnute privatnim i javnim organima obrade podataka niskog rizika .. 17
5.3 Glavne obaveze za privatne i javne organe visokog rizika .................................................... 19
6 VELIKE BEZBEDNOSNE OBAVEZE PRI UGOVARANJA OBRADE LIČNIH PODATAKA ....................... 20
7 Dobri saveti kako voditi dokumentaciju vezanu za obradu i sigurnost podataka ........................ 23
7.1 Vođenje evidencije svih sistema arhiviranja i IT sistema ...................................................... 23
7.2 Prepoznavanja “poslovnih obrada” koje uključuju obradu ličnih podataka ......................... 23
7.3 Prepoznavanje kategorije da je lični podatak u obradi, davajući poseban tretman osetljivim
podacima........................................................................................................................................... 25
7.4 Praćenje svih oblika ručne obrade (pismena forma) ............................................................ 25
7.5 Prateća dokumentacija ......................................................................................................... 26
7.6 Važne smernice za SZP tokom dizajniranja inventara sistema arhiviranja ličnih podataka
(kataloga) .......................................................................................................................................... 27
7.7 Prateće procedure – usavršavanje nalaza, uspostavljanje procedura ažuriranja za sve
prateće dokumentacije ..................................................................................................................... 28
Državna agencija za zaštitu ličnih podataka
Strana 3 / 29
1 BEZBEDNOST LIČNIH PODATAKA - OSNOVNI KONCEPTI, ZAKONSKE
OBAVEZE, PREPORUKE
Jedna od osnovnih obaveza svakog kontrolora i obrađivača (kasnije spomenut kao
Obrađivač ili Kontrolor obrade podataka) je da osigura bezbednost podataka,
odnosno da sprovode odgovarajuće tehničke i organizacione mere za zaštitu ličnih
podataka od slučajnog ili nezakonitog uništavanja ili slučajnog gubitka, menjanja,
neovlašćenog otkrivanja ili pristupa. Takođe, pokriva obradu koja uključuje prenos
podataka preko lokalnih i javnih mreža. Bezbednost u pravnom smislu takođe
obuhvata zaštitu protiv svih ostalih nezakonitih formi obrađivanja. Primenjene mere
bezbednosti moraju biti adekvatno identifikovane slabostima i rizicima i kategorijama
podataka - posebnim merama bezbednosti koji će biti primenjene u obradi "osetljivih
podataka". Zahtev adekvatnosti traži sredstva za ublažavanje rizika koji su u stanju
da daju nivo sigurnosti propisan zakonom, i ovaj zakon ne sprovodi obavezu za
usvajanje "kosmičkih" bezbednosnih mera koje bi bile uništavajuće za Obrađivača ili
Kontrolora obrade podataka (kontrolor ili obrađivač).
Osiguravanje bezbednosti podataka nije jednokratni zadatak, to je stalna obaveza koja
je "poslovni proces" sam po sebi, tako da zahteva da se garantuju odgovarajući ljudski
i kapitalni resursi na trajnoj osnovi.
Obaveza za obezbeđivanje podataka je nametnut svakom Obrađivaču ili Kontroloru
obrade podataka, bez obzira na njihov značaj, oblik svojine, i/ili veličine. Ona takođe
pokriva sve vrste ručne obrade.
Mere bezbednosti koje se primenjuju treba da odražavaju stvarne pretnje i ranjivosti
određene sredine u kojoj se podaci obrađuju.
Za privatne i javne organe obrade podataka niskog rizika, opisna terminologija treba
da bude odgovarajuće pojednostavljena, da bude što je više moguće bliže jeziku koji
se koristi za obične poslovne prakse takvih privatnih i javnih organa u određenom
sektoru ekonomije
Ovi termini imaju sledeće značenje:
Poverljivost - osigurava da informacije nisu dostupne ili otkrivene
neovlašćenim licima, privatnim i javnim organima ili procesima.
Integritet - osigurava da podaci nisu menjani ili uništeni na neovlašćen način,
čime čuvaju tačnost i potpunost podataka i metode obrade.
Dostupnost - osigurava da su dostupni i moguće ih je koristiti na zahtev, u
određenom vremenu i mestu, na raspolaganju ovlašćenim licima i sistemima
za preradu kada se to zahteva.
Odgovornost IKT sistema koji se primenjuju na obradu podataka, kao i osoblja
Državna agencija za zaštitu ličnih podataka
Strana 4 / 29
koje radi sa njima, čime se garantuje da je svaka njihova aktivnost koja se
primenjuje nad podacima je pratljiva i proverljiva.
Neporecivost - nemogućnost da se poriče da je neko (od osoblja ili sistema za
obradu podataka) uključen u obradu podataka, u celini ili delimično.
Privatni i javni organi za obradu su odgovorni za bezbednost ličnih podataka štiteći
ih protiv slučajnog ili nezakonitog oštećenja ili uništenja, slučajnog gubitka, menjanja,
neovlašćenog pristupa i stavljanja na raspolaganje, kao i protiv bilo kojeg drugog
oblika neovlašćene obrade. Za tu svrhu oni treba da rasporede tehničke i
organizacione mere adekvatne za pretnje i ranjivosti na koje je ova obrada izložena.
Oni treba da uzmu u obzir sve slabosti i pretnje koje se mogu materijalizovati u rizike,
tretirajući ih na neki logičan (adekvatnom) prioritetan način.
Glavne kategorije lica zaduženih obavezom da učine obradu ličnih podataka
sigurnim:
Administratori sistema informacione i komunikacione tehnologije (u daljem
tekstu IKT) i njihove bezbednosti, koji su zaduženi ovom obavezom kada
obrađivač ili kontrolor koji obrađuje lične podatke ima uspostavljen interni i/ili
eksterni IKT sistem za tu svrhu.
Operatori ličnih podataka (zaposleni, ugovarači, itd) koji obrađuju lične
podatke koristeći IKT sredstva u cilju ispunjavanja svojih zadataka dok rade za
Obrađivača ili Kontrolora obrade podataka.
Sva ostala lica koja su određena od strane Obrađivača ili Kontrolora obrade
podataka za ručnu obradu podataka.
Zapamtite:
„Operatori “se ne smeju pomešati sa „obrađivačima“: Operator je fizičko lice za
izvršavanje zadatka za obradu podataka za kontrolora ili obrađivača.U slučaju malog
preduzeća obrađivača od jedne osobe, takav obrađivač može takođe istovremeno da
deluju i kao operator.
U pogledu bezbednosti obrade ličnih podataka, privatni i javni organi su dužni da se
pridržavaju ne samo opštih zakona o zaštiti ličnih podataka izdatih od strane skupštine,
ali i sekundarnih podzakonskih akata izdatih od strane vlade, kao i administrativnih
uputstava DAZLP i konkretnih smernica. Oni su takođe dužni da se pridržavaju svih
sektorskih specifičnh zakona, podzakonskih akata i kodekasa dobre prakse predstavljenih
kao sredstva za samo-regulisanje.
Državna agencija za zaštitu ličnih podataka
Strana 5 / 29
2 Bavljenje velikim rizicima obrade ličnih podataka
Dobra polazna tačka je razmatranje ranjivosti i pretnji zasnovanih na zdravom
razumu kojim je izložena obrada vaših podataka. Ovakva analiza i procena zahteva
odgovor na sledeća pitanja:
Koje su glavne pretnje i ranjivosti među svim tokovima obrade informacija koji
takođe uključuju lične podatke?
Koji od njih će se najverovatnije materijalizovati u obliku realnih rizika?
Koji od ovih rizika će najverovatnije biti podvrgnut povredi podataka koji
dovodi do oštećenja ili gubitka?
Koji od njih zahteva redovno praćenje kako bi se ublažili do prihvatljivog
nivoa?
Koja sredstva i mere za prevenciju i ublažavanje mogu biti predložena imajući
u vidu ograničena sredstva koja mogu biti posvećena bezbednosti?
Kako treba da se organizuju ove mere u smislu opterećenja odgovornosti
raznim interesnim grupama.
Važna napomena: ranjivosti i rizici neće biti posmatrani kao povezani i koji rezultiraju
samo od IKT, oni se takođe pojavljuju u toku ručne obrade. I najslabiji faktor je uvek
ljudsko biće - naročito korisnik IKT sredstava. Ovo je posebno važno sa stanovišta
zaštite ličnih podataka, kada ljudske greške mogu lako da dovedu do ozbiljnih
nezakonitih otkrivanja ličnih podataka (povreda podataka). Iz tog razloga analiza i
procena treba da se izvrše redom koji je opisan u nastavku.
2.1 Provera pravne usaglašenosti Prva aktivnost je uvek lista pravnih akata koji se odnose na obradu ličnih podataka,
kojima je konkretna obrada izložena. Ovo obično rezultira listom poput ove:
Pravni akti koji regulišu opšta pravila obrade ličnih podataka (opšti zakon o
zaštiti podataka), uključujući podzakonske akte koji pokrivaju specifične
oblasti - naročito bezbednosna pitanja.
Zakoni specifični za sektor koji takođe regulišu i zaštitu ličnih podataka, čak i
ako se ne pozivaju na lične podatke i njihovu zaštitu direktno.
Državna agencija za zaštitu ličnih podataka
Strana 6 / 29
Ovo je veoma važno, jer nadležnost za poverljivosti specifične za sektor i povezane
bezbednosne režime je apsolutno presudna da pravilno tumačimo opšta pravila
zakona o zaštiti ličnih podataka u određenim okolnostima. Ovi zakoni specifični za
sektor koji se tiču sektora ličnih podatka koriste se za regulisanje aspekata kao npr:
Zakonski obavezujuća pravila o distribuciji podataka
Periodi zadržavanje podataka
Stepen prihvatljive saglasnosti, dodatni uslovi da se ona učini pravno
obavezujućom, naročito u elektronskom.
Dodatne tehničke i organizacione mere bezbednosti
Prenos podataka, obavezno obelodanjivanje drugim privatnim i javnim
organima (npr. razmena podataka između javnih institucija)
Dodatni zahtevi PUP (Procena uticaja privatnosti), npr. oni koji su rezultat
angažovanja u različitim oblicima elektronske obrade, obimu i obliku
outsourcinga itd.
Zapamtite- Iako se čini da nisu u direktnoj vezi sa bezbednošću podataka, oni uvek rezultiraju
u nekim obavezama u vezi bezbednosti - svaka zakonska obaveza je prevedena u odgovarajući
zahtevani režim bezbednosti kako bi se dostavila tražena pravna usaglašenost pomoću nekih
tehničkih sredstava i mera. U jednom naprednom obliku, rezultira u konkretnim uputstvima
koja proizilaze iz PUP.
2.2 Usaglašenost bezbednosti povezane sa IKT
Sledeći korak je opšta procena o tome kako se IKT obrada upravlja u smislu
generisanja rizika za zaštitu ličnih podataka.
Uopšte, proceniće se dva aspekta:
IKT obrada korišćenjem sopstvenih resursa, kada nadležnost IKT obrade ostaje
na mestu,
Delegirana IKT obrada. Ona se odnosi na situacije poput onih u kojima se
oslanjamo na spoljne profesionalne treće strane za obavljanje obrade podataka,
kada te treće strane dostavljaju svoj hardver, softver i/ili podršku (ovde se
mogu organizovati različiti oblici i obim takvog delegiranja, i nisu svi
podvrgnuti zakonu o zaštiti podataka - odlučujuća je sposobnost treće strane
za pristup ličnim podacima).
Državna agencija za zaštitu ličnih podataka
Strana 7 / 29
3 Zajedničke obaveze bezbednosti podataka za svakog pravnog
Obrađivača ili Kontrolora koji obrađuju lične podatke
Osnovni skup obaveza bezbednosti podataka je definisan u Zakonu br. 03/L-172 o
zaštiti ličnih podataka. Ove obaveze se navode u nastavku (po redosledu pojavljivanja
u Zakonu) i uz objašnjenja - ograničena na ova bezbednosna pitanja
Zaštita osetljivih ličnih podataka (član 7)
1. Osetljivi lični podaci treba da se zaštite i klasifikuju na poseban način, u cilju
sprečavanja bilo kojeg neovlašćenog pristupa i korišćenja, izuzetno od slučajeva iz
podstava 1.5, stava 1, člana 6. ovog Zakona.
2. Kada se osetljivi lični podaci prenose preko telekomunikacionih mreža isti će se
smatrati zaštićenim na adekvatan način ili ako su isti enkriptovani radi
obezbeđenja nečitkosti i njihovog nepoznavanja
Ovo postavlja dodatne mere zaštite za osetljive podatke. Što se tiče šifrovanja,
minimum je šifrovanje podataka saobraćaja na mreži. To se može tumačiti kao i
šifrovanje sadržaj za duže vreme od samog stvarnog prenosa.
Bezbednost obrade podataka (član 14)
1. Bezbednost ličnih podataka obuhvata potrebne organizacione, tehničke i logističke
procedure i mere za njihovu zaštitu i za sprečavanje bilo kog neovlašćenog
neočekivanog ili namernog uništenja ili otkrivanja, modifikovanja, pristupa ili
korišćenja podataka ili neočekivanog ili namernog gubitka podataka:
1.1. zaštitom prostorija, opreme i softverskih sistema, uključujući i kontrolu
pristupa duke i mbrojtur programet aplikative (softuerike) që përdoren për
përpunimin e të dhënave;
1.2. zaštitom softverskih aplikacija koje se koriste za obradu ličnih podataka;
1.3. sprečavanjem bilo kog neovlašćenog pristupa ili čitanja ličnih podataka u toku
njihovog skladištenja i prenosa, uključujući prenos preko telekomunikacionih
sredstava i mreža;
1.4. obezbeđivanjem efikasnih metoda za blokiranje, uništenje, brisanje ili
anonimiziranje ličnih podataka; omogućivanjem sledećeg određivanja kada su
ubačeni lični podaci u sistemu dosijea, pristupljeni, modifikovani, otkrivani,
uništeni, korišćeni ili drukčije obrađeni, i ko je to uradio, tokom celog vremena
njihovog skladištenja.
2. Ukoliko su lični podaci obrađeni preko telekomunikacionih mreža, treba da se
obezbedi da se obrada izvrši unutar granica predviđenih zakonom. Takođe,
hardver, softver sistema i softverske aplikacije treba da obezbede adekvatan nivo
Državna agencija za zaštitu ličnih podataka
Strana 8 / 29
zaštite podataka.
3. Procedura i mere za zaštitu ličnih podataka treba da budu adekvatne i da se
ažuriraju uzimajući u obzir prirodu ličnih podataka koje treba zaštiti i rizika koji
se pojavljuje obradom takvih podataka.
4. Zvaničnici, zaposleni ili ostala lica koja obavljaju poslove u vezi obrade podataka
uključujući kontrolora podataka su obavezni, da u toku i nakon obavljanja
ugovorenog posla, štite poverljivost ličnih podataka sa kojima oni postaju
upoznati.
Zapamtite:
Zakon o zaštiti podataka Kosova sprovodi PRISTUP ZASNOVAN NA RIZIKU za
bezbednost podataka.
Pošto je glavni cilj ovog zakona da zaštiti prava nosioca podataka, stoga Procena uticaja
privatnosti (PUP) gledana sa stanovišta nosioca podataka (čiji se podaci obrađuju),
takođe treba da bude uključena u takve analize rizika i procenu.
Iz tog razloga, pre obrade ličnih podataka, kontrolor ili obrađivač će izvršiti procenu
uticaja predviđenih radnji za obradu o zaštiti ličnih podataka u kojoj je verovatno da će
ove radnje obrade podataka predstaviti specifične rizike za prava i slobode nosioca
podataka zbog njihove prirode, njihovog obima ili njihove svrhe.
Takva analiza se vrši pre ulaska u bilo kakve tehničke diskusije o tome kako da se ova
obrada učini bezbednom, jer značajno pomaže u otkrivanju onih delova obrade podataka
kojima je bezbednost najvažnija sa stanovišta zaštite podataka.
Ishod ove analize nije identičan sa procenom rizika od strane Kontrolora i Obrađivača
kao preduzetnika, jer je njihova procena rizika po prirodi koncentrisana na zaštitu
vrednih informacija.
Uloga SZP je da nadziru takvu procenu i da je zapravo urade.
Obaveza za zaštitu ličnih podataka (član 16)
1. Kontrolori podataka i obrađivači podataka treba da u svako vreme vode računa
da se lični podaci zaštite na način koji je predviđen članom 14. ovog Zakona.
2. Kontrolori podataka i obrađivači podataka treba da u svojim internim aktima
opisuju postupke i mere utvrđene za bezbednost ličnih podataka i da u
pismenoj formi imenjuju nadležna lica koja su odgovorna za sistem dosijea i
lica koja, zbog prirode njihovog posla, treba da obrade lične podatke.
Državna agencija za zaštitu ličnih podataka
Strana 9 / 29
Komentar objašnjenja
Ova dva člana obavezuju i Kontrolora i Obrađivača da preduzmu odgovarajuće organizacione
i tehničke mere u cilju zaštite ličnih podataka od nezakonitog ili slučajnog uništavanja,
slučajnog gubitka, od pristupa ili otkrivanja neovlašćenim licima, posebno kada se obrada
podataka odvija u mreži, kao i od svakog drugog oblika nezakonite obrade.
Oni određuju minimalni obavezni skup bezbednosnih mera koje treba uvesti na dokumentovan
način. One obavezuju na jasnu podelu odgovornosti za održavanje bezbednosti informacija -
bez navođenja koje organizacione i tehničke mere bezbednosti treba da budu preduzete.
Naglašava se uloga odgovarajućeg ovlašćenja kao preduslova da se dozvoli obrada ličnih
podataka, i obavezuju privatni i javni organi obrade podataka za dokumentovanje svih promena
u podacima koje obrađuju. Granularnost takvog dokumentovanja nije propisana; ona će biti u
skladu sa opštim zahtevima adekvatnosti.
Postoji takođe i obaveza poverljivosti postavljena i za Kontrolora i Obrađivača, i njihove
Operatore čak i nakon prestanka njihovih funkcija. Bilo koji Operator neće obrađivati lične
podatke na kojima on/ona ima pristup, bez prethodnog odobrenja, niti za bilo koje druge svrhe
i na način nego kako je izričito naloženo.
Ova pravila su sveobuhvatna i razumljiva sama po sebi, i treba da budu primenjena i od strane
privatnih i javnih organa obrade podataka niskog i visokog rizika. Svaka od ovih dva grupa ima
različite konkretne obaveze bezbednosti, kao što je određeno odgovarajućim administrativnim
uputstvima i uredbama DAZLP (kao što je kasnije objašnjeno u ovom Priručniku).
Ugovorena obrada – outsourcing (član 15)
1. Obrađivaču podataka može da se poveri obrada ličnih podataka pismenim
ugovorom ako je on ili ona registrovan-a u Republici Kosovo za vršenje takve
aktivnosti u skladu sa predviđenim procedurama i merama predviđenim
članom 14. ovog Zakona.
2. Obrađivač podataka može da radi samo u okviru datih ovlašćenja od strane
kontrolora podataka i ne sme obraditi lične podatke za nikakvu drugu svrhu.
Uzajamna prava i obaveze treba da se utvrde pismenim ugovorom, koji takođe
treba da sadrži i detaljan opis procedura i mera u skladu sa članom 14. ovog
Zakona.
3. Kontrolor podataka treba da nadgleda sprovođenje procedura i mera u skladu
sa članom 14. ovog Zakona. Takođe, treba da uključi i ad-hoc posete
prostorijama gde se vrši obrada ličnih podataka.
4. U slučaju nesporazuma između kontrolora podataka i obrađivača podataka,
obrađivač podataka treba odmah na zahtev kontrolora podataka da vrati sve
podatke koje on poseduje. Obrađivaču podataka nije dozvoljeno da zadržava
kopije podataka i da ih dalje obrađuje.
Državna agencija za zaštitu ličnih podataka
Strana 10 / 29
5. Prilikom prestanka delatnosti obrađivača podataka, lični podaci treba da se
vraćaju odmah kontroloru podataka.
Posebna pažnja je posvećena ugovaranje kako ona postaje uobičajena praksa u
ekonomskom životu, koja se koristi da se dobije neključna spoljna usluga za jednu
prihvatljivu cenu umesto da se pokušava da se to uradi od strane samog obrađivača
ili kontrolora. Pošto se više ličnih podataka obrađuje preko ugovaranje, realna
opasnost je da je bezbednost koja efiktivno proističe od takvog delegiranja padne do
nivoa koji bi ugrozio prava nosioca podataka. U cilju sprečavanja da se to
materijalizuje na Kosovu, postoje posebne zakonske odredbe koje se tiču bezbednosti
obrade podataka u slučaju ugovaranja predviđene u Uredbi o bezbednosti
podataka.To je detaljnije komentarisano u Poglavlju 12.
Zapamtite: - Bez obzira kako i koliko doseže vaš ugovor i koliko je duga i složena mreža vašeg
ugovora, vi (kao kontrolor ili obrađivač
Ne možete izbegavati vaše bezbednosne obaveze
Rezultirajući nivo bezbednosti ne može da se degradira, u suprotnom, treba ga
poboljšati
Sve uključene stranke su odgovorne za bilo koje kršenje bezbednosti, a njihove posebne
bezbednosne odgovornosti uređuju se detaljno prema jednom ili više pisanih ugovora.
Ugovaranje takođe donosi mogućnost da se kompenzujete za narušavanje
bezbednosti srazmerno realnim štetama nanesenih u stvari, suprotno od nedoličnog
ponašanje sopstvenih zaposlenih (kodeks rada predviđa stroga ograničenja o tome
koliko štete poslodavac može tražiti od svog zaposlenog). Dakle, iako pravna
odgovornost zbog ugovaranja ne može da se degradira, ekonomska odgovornost
može - pod uslovom da:
Ugovor je pravilno oblikovan u komercijalnim uslovima
Ugovorać je dužan da osigura sebe za moguće propuste za dostavljanje
odgovarajućih nivoa bezbednosti u slučaju da sopstveni resursi kapitala nisu
dovoljni da se nadoknadi eventualna šteta.
Povreda odredaba o zaštiti ličnih podataka (Član 81)
1. Pravno lice ili lice koje vrši nezavisnu aktivnost kazniće se za prekršaj
novčanom kaznom od četiri hiljade (4.000) do deset hiljada (10.000) evra ako u
toku obrade ličnih podataka ne uspeva da garantuje potreban nivo bezbednosti
zaštite ličnih podataka prema članovima 14. i 16. ovog Zakona.
2. Odgovorno lice pravnog lica ili lice koje vrši nezavisnu aktivnost kazniće se za
prekršaj novčanom kaznom od petsto (500) do dve hiljade (2.000) evra za
Državna agencija za zaštitu ličnih podataka
Strana 11 / 29
povrede iz stava 1. ovog člana.
3. Odgovorno lice državnog organa kazniće se za prekršaj novčanom kaznom od
petsto (500) do dve hiljade (2.000) evra za povrede iz stava 1. ovog člana.
4. Osoba koja vrši povredu iz stava 1 ovog člana kazniće se novčanom kaznom
od dvesta (200) do osamsto (800) evra.
Državna agencija za zaštitu ličnih podataka
Strana 12 / 29
4 SZP kao osoba koja je zadužena za bezbednost podataka Pozicija SZP je trenutno regulisana saZakon br. 03/L-172 o zaštiti ličnih podataka.
Zakon br. 03/L-172 „o zaštiti ličnih podataka“ postavlja sledeće odredbe o SZP:
Podglavlje O - Službenik za zaštitu podatka
Član 74 - Službenik za zaštitu podatka
1. Svi javni organi koji obrađuju lične podatke, treba da pismeno izaberu i
imenuju jednog unutrašnjeg službenika za zaštitu ličnih podataka.
2. Samo lica koja raspolažu specijalizovanim znanjem i koja pokazuju pouzdanost
potrebnu za izvršenje pomenutog zadatka, mogu biti imenovana za službenika
za zaštitu podataka.
3. Službenik za zaštitu podataka će biti podređeni šefu javnog organa. On ili ona
neće imati nikakvu štetu u toku izvršavanja njegovih ili njenih zadataka.
4. Službenik za zaštitu podataka će biti obavezan, da održi poverljivost ličnih
podataka kojima će on ili ona biti informisano u toku izvršavanja njegovih ili
njenih zadataka.
5. Javni organ će podržati službenika za zaštitu podataka u izvršavanju njegovog
ili njenog zadatka, posebno, u meri potrebnoj da se stavi na raspolaganje
oprema i drugi resursi.
6. Ukoliko službenik za zaštitu podataka i dalje ne ispunjava uslove pomenute u
stavu 2. ovog člana, on ili ona će biti rešen dužnosti.
Član 75 - Zadaci službenika za zaštitu podataka
1. Službenik za zaštitu podataka će pomagati javnom organu u osiguranju da se
odgovarajući propisi za zaštitu podataka poštuju i uredno sprovode. Za ovu
svrhu on ili ona može da se konsultuje sa Agencijom u svako vreme.
2. Službenik za zaštitu podataka će redovno, nadgledati pravilnu upotrebu
programa za obradu podataka kao i mere i postupke uspostavljene radi
osiguranja bezbedne obrade podataka.
3. Službenik za zaštitu podataka će informisati sva lica zaposlena od strane
javnog organa za obradu ličnih podataka, odgovarajućim propisima i
odredbama. On ili ona takođe će redovno informisati sve zaposlene o njihovim
pravima i obavezama na osnovu ovog Zakona i iste će informisati oko
razvijanja u oblasti zaštite podataka.
Državna agencija za zaštitu ličnih podataka
Strana 13 / 29
Član 76 - Kontrola
1. Službenik za zaštitu podataka, može da izvrši kontrole na svoju inicijativu.
2. Službenik za zaštitu podataka, imaće pravo da konsultuje, iznese, opiše ili
kopira lične podatke na koje naiđe u toku kontrole. On ili ona je
obavezan/na da poštuje poverljivost ličnih podataka.
3. Službenik za zaštitu podataka treba, treba pismeno da izveštava šefa javnog
organa o rezultatima kontrole.
Zapamtite: SZP je obavezan za privatne i javne organe obrade podataka u javnom
sektoru, a nije obavezan za one u privatnom sektoru
Dodatni komentari objašnjenja - o glavnim pravcima bezbednosti podataka koji
dolaze iz „Zakona br. 03/L-172 o zaštiti ličnih podataka“
Ovaj Zakon obavezuje sve privatne i javne organe obrade podataka na:
Uvođenje mera bezbednosti zasnovanih na analizi rizika i njihovom
ublažavanju kroz:
o Organizovanje takvog procesa rada za obradu podataka kojim je pristup
podacima operatora ograničen na minimum potreban da pravilno
obavljaju svoje poslovne obaveze,
o Održavanje integriteta i poverljivosti podataka
Obučavanje svog osoblja (vlastitog i spoljnog) angažovanog u obradi podataka
da bi mogli da shvate pitanja bezbednosti i poštuju opšti zakon i uvedene
unutrašnje uredbe.
Održavajte poverljivost podataka i nakon prestanka zadatka koji je
omogućavao pristup. Ova poverljivost treba da se shvatiti vrlo široko, jer
pokriva:
o Same podatke
o Sredstva i usluge za njihovu obradu (ovaj zahtev je takođe ojačan
drugim zakonima, jer je obrada danas sastavni deo konkurentske
prednosti)
o Mere bezbednosti raspoređene za dve gore navedene tačke
Ove vrlo generalne smernice bezbednosti važe za privatne i javne organe obrade
podataka i niskog rizika i visokog rizika. Ove smernice s pravom ističu ulogu
organizacionih sredstava, jer je veoma teško i skupo da se nadoknade njihovi
nedostaci tehničkim sredstvima. Takvi nedostaci zbog pogrešnog organizovanja
obrade i njene bezbednosti su glavni neprijatelji dobre bezbednosti. Organizaciona
sredstva takođe pokrivaju i bezbednost u vezi osoblja, jer ljudi koji su uključeni u
obradu podataka obično generišu najveće slabosti, a time i rizike, i takvi rizici se ne
Državna agencija za zaštitu ličnih podataka
Strana 14 / 29
mogu ublažiti samo tehnologijom. Suprotno popularnom verovanju mnogih ljudi, kao
što su: dodajmo još malo pametnih IKT stvari, i naši problemi se sami rešavaju, što
može zapravo dovesti do toga da se bezbednost pogorša još više (jer ova nova IKT
može da generiše nove rizike koji se ne mogu ublažiti).
Zahtev da odobravanje minimalnog pristupa podacima i njihovih sredstava obrade je
apsolutno presudna, jer je to jedan od glavnih bezbednosnih pomagala u prevenciji i
ublažavanju rizika. Princip pozajmljen iz oblasti prerade tajnih podataka („potreba da
se zna“) treba da se usvaja gde god je moguće: odobriti pristup samo na osnovu
„potrebe da se zna“, i ukinuti takav pristup odmah kada postane zastareo.
Takođe, traži odgovarajuću obuku za bezbednost svih operatora. Ako se ne sprovodi,
kontrolori i obrađivači ne mogu biti u pravnom položaju dovoljno snažno da kazne
svoje zaposlene i izvođače radova u slučaju da su takvi operatori prekršili bezbednost,
čak i ako je to bio samo čin nemara ili gluposti. Ukoliko se slučaj izvede pred sud,
takav operator koji ima zakonsko pravo na odgovarajuću obuku, može dobiti slučaj
ako kontrolor ili obrađivač nije uspeo da ga pravilno obučava? Zato je ključno za
Kontrolora i Obrađivača da dokumentuju sprovođenu obuku. Za obradu podataka
visokog rizika, obaveza na obuku o bezbednosti i dokumentovanju iste je obavezna.
Državna agencija za zaštitu ličnih podataka
Strana 15 / 29
5 UREDBA BR. 03/2015 O MERAMA BEZBEDNOSTI U TOKU OBRADE
LIČNIH PODATAKA
5.1 Bezbednosne obaveze za privatne i javne organe niskog i visokog rizika
predviđenih UREDBOM BR. 03/2015
Glavni razlozi za razlikovanje privatnih i javnih organa za obradu ličnih podataka u
pogledu njihovih bezbednosnih odgovornosti i obaveza su:
Da pravilno uravnoteže između:
o Zaštite prava nosioca podataka,
o Nametanje dodatnog opterećenja za kontrolore i obrađivače, s obzirom
na ishod analize i procenu rizika.
Da bi se pozicionirala zaštita ličnih podataka ne kao poslovna prepreka i
administrativni i finansijski teret slabljenja privrede, već kao dodatna vrednost
obrade podataka samog obrađivača i kontrolora. Informacija sadržana u ličnim
podacima uvek ima vrednost za Obrađivača ili Kontrolora (njena minimalna
vrednost je trošak prikupljanja i obrada koja je potrebna da bi ona bila
dostupna), i treba da se zaštiti ne samo za usaglašenost sa zakonskim
obavezama, ali i zbog zdravih ekonomskih razloga.
Početna procena rizika jasno pomaže u otkrivanju tih privatnih i javnih organa u
kojima se njihova obrada podataka treba zaštititi korišćenjem formalizovanijeg i bolje
opremljenog režima, i time spada u kategoriju visokog rizika.
Uvođenje takve podele rezultira većom transparentnošću i ekonomskim realizmom.
Tražiti od malog Obrađivača ili Kontrolora niskog rizika da uvede potpuni Sistem
upravljanja bezbednošću informacija (koji oni neće razumeti u potpunosti, niti
sprovoditi iz ekonomskih razloga) bio bi veoma loš pristup, suprotno samoj ideji
bezbednosti ličnih podataka. S druge strane, trba da se zatraži od privatnih i javnih
organa visokog rizika da ispune mnogo strože kriterijume, jer je to za njih ekonomski
isplativo, i zapravo korisno da efikasno zaštite svoje vredne informacije i istovremeno
prava nosilaca podataka.
Da bi se pokrivao ceo spektar obrade podataka, i javnih i privatnih, koristi se koncept
Obrađivača ili Kontrolora; pokriva i Kontrolore i Obrađivače svih vrsta, uključujući i
podobrađivače.
Državna agencija za zaštitu ličnih podataka
Strana 16 / 29
Rezultirajuća podela između privatnih i javnih organa obrade podataka niskog i
visokog rizika je izrađena na sledeći način:
Privatni i javni organi visokog rizika su privatni i javni organi obrađivača
ličnih podataka koji ispunjavaju jedan od sledećih uslova:
obrada ličnih podataka koja se odnosi na više od 100 nosilaca podataka u
toku bilo kojih uzastopnih 12. mesečnih perioda;
obrada posebnih kategorija ličnih podataka kao što je navedeno u članu 2.
tačka 1.16 Zakona o zaštiti podataka, podaci o lokaciji ili podaci o deci ili
zaposlenima u sistemima arhiviranja velikih razmera;
profilisanje na koje mere mogu proizvesti pravno dejstvo u vezi pojedinca
ili da na sličan način bitno utiču na pojedinca;
obrada ličnih podataka za pružanje zdravstvene zaštite, epidemiološka
istraživanja ili ankete za mentalne ili zarazne bolesti, gde su podaci
obrađeni za preduzimanje mera ili odluka u velikim razmerama u vezi
određenih pojedinaca;
automatizovano praćenje javno dostupnih mesta u velikoj razmeri;
druge operacije obrađivanja za koje se traže konsultacija službenika za
zaštitu podataka, ili Agencije u skladu sa članovima 56. i 75. Zakona o zaštiti
podataka;
gde bi povreda ličnih podataka verovatno negativno uticala na zaštitu ličnih
podataka, privatnosti, prava ili legitimnih interesa nosioca podataka;
osnovne aktivnosti kontrolora ili obrađivača se sastoje od operacija obrade
koje, na osnovu njihove prirode, svog delokruga i/ili njihove namene,
zahtevaju redovno i sistematsko praćenje subjekata podataka;
kada lični podaci budu dostupni velikom broju osoba koji se ne može
razumno očekivati da bude ograničen.
Privatni i javni organi niskog rizika su svi ostali privatni i javni organi
obrađivača ličnih podataka.Takva podela u osnovi sledi pristup trenutno novo
izrađene Opšte uredbe o zaštiti podataka EU (GDPR). Ona uzima u obzir
evropska iskustva i veličinu Kosova kao države, dok su originalni kriterijumi
neznatno izmenjeni.
Ova grupa kriterijuma je takođe veoma razumna korišćenjem filtera "velikih razmera"
na mnogim mestima, jer omogućava izbegavanje bavljenja teškim rešenjima u
situacijama obrade kada stvarni rizici na privatnost nisu visoki. Ona pretpostavlja da
što je veća razmera obrade povećava se i rizik; jer je tako velika razmera obično
praćena mnogo komplikovanijom obradom tokova. U diskreciji DAZLP je izdavanje
smernica kako se "velike" razmere zapravo razumeju za različite sektore i aranžmane
obrade.
Državna agencija za zaštitu ličnih podataka
Strana 17 / 29
Svaka takva grupa kriterijuma je sporna za one privatne i javne organe koji su u blizini
granične linije, a to je opšti problem za klasifikaciju svake od 2 - kategorije. Biti svestan
ove sistemske slabosti, slično je za sve zemlje EU, dok usvajaju novo izrađeni EU
GDPR. U slučaju da je verzija kriterijuma konačno usvojena u GDPR drugačije kako
sada izgleda verovatnim, gore navedena grupa kriterijuma u zakonodavstvu Kosova
će biti na odgovarajući način prilagođena u budućnosti. Zakonodavna diskusija koja
se odvija o GDPR je kako pravilno oblikovati ovu podelu, uspostaviti ravnotežu
između prava nosioca podataka, sigurnosti privrede i troškova i administrativnog
opterećenja nametnutog na privatne i javne organe obrade podataka zbog
bezbednosnih obaveza.
5.2 Glavne obaveze nametnute privatnim i javnim organima obrade podataka niskog
rizika
Privatni i javni organi obrade podataka niskog rizika su podvrgnuti ograničenoj i
sveobuhvatnoj grupi pravila koja treba slediti. Odredbe koje se odnose bezbednosti
IKT sistema su obavezujuće samo za one privatne i javne organe koji obrađuju lične
podatke elektronskim putem. Privatni i javni organi koji obrađuju podatke
elektronskim putem smatraju se onima koji obrađuju bilo kakve podatke elektronskim
putem.
Za privatne i javne organe koji ručno obrađuju lične podatke, primenjuju se samo
odredbe koje se tiču takve obrade.
Uredba definiše minimalne standarde za bezbednost ličnih podataka koji obuhvataju:
1. Pojednostavljenu analizu i procenu rizika - sprovođene periodično kako bi se
utvrdile glavne slabosti i rizici u sistemima koji su izloženi njima, i njihovo
dokumentovanje na način koji je razumljiv običnoj poslovnoj praksi ovih
privatnih i javnih organa u određenom sektoru privrede.
2. Fizička bezbednost i bezbednost sredine
3. Logična bezbednost IKT opreme koja se koristi u obradi ličnih podataka
4. Organizaciona bezbednost, uključujući i bezbednost osoblja (ljudske faktore).
Odredbe ove Uredbe za privatne i javne organe niskog rizika su oblikovane tako da
se njene glavne odredbe mogu lako pretvoriti u 2 liste:
1. Bezbednosni zadaci i aktivnosti koje treba izvoditi
2. Jednostavna lista za proveru usaglašenosti samoprocene (vidi odgovarajući
dodatak).
Državna agencija za zaštitu ličnih podataka
Strana 18 / 29
Suprotno odredbama Uredbe za privatne i javne organe visokog rizika, potpuni
Sistem upravljanja bezbednošću informacija (ISMS) je neobavezujući za njih. Shodno
tome, savetuje se da se oblikuju sve bezbednosne procedure kod Obrađivača i
Kontrolora niskog rizika koristeći običan jezik, npr. koji se odnosi na posebne uslove
poslovanja koji se koriste u sektoru obrađivača ili kontrolora. Takav pristup je veoma
koristan kako bi se olakšao razvoj takvih bezbednosnih procedura, razumeli i
prihvatili ih kao korisna pomoć a ne teret, i izvršavali ih bez ozbiljnih prepreka, i
značajnih dodatnih troškova. Dobar nagoveštaj za osobe koje su zadužene za razvoj i
održavanje takvih procedura je da ih proverimo tokom obuke da li su zaista bili
razumljivi za obične operatore i druga lica zadužena za bezbednost podataka.
Postoji i posebna grupa fizičkih i ekoloških mera bezbednosti definisana za privatne i
državne organe koji ručno obrađuju lične podatke. One sprovode odgovarajuću
kontrolu fizičkog pristupa, i naglašavaju blagovremeno uništavanje ili anonimizaciju
kada istekne period zadržavanje podataka. Svi rezervni papirni dokumenti koji su
nosioci takvih podataka treba da budu uništeni.
Sva sredstva i putevi za prenos podataka ili dokumenti koji sadrže lične podatke treba
da se šifruju. Takođe i svi prenosivi elektronski mediji koji se koriste kao nosači
informacija (USB memorije, i ostale fleš medije), trebalo bi da budu šifrovane pre
napuštanja prostorija Obrađivača ili Kontrolora obrade podataka..
Državna agencija za zaštitu ličnih podataka
Strana 19 / 29
5.3 Glavne obaveze za privatne i javne organe visokog rizika Za razliku od privatnih i javnih organa niskog rizika, one visokog rizika su dužne da
se striktno pridržavaju pravila koja proizlaze iz tehničkih standarda bezbednosti
informacija ISO-27000, iako Uredba ne čini njihovu usaglašenost obaveznom. Uredba
takođe određuje pravila saradnje između privatnih i javnih organa visokog rizika i
DAZLP za potrebe inspekcija i prilikom izveštavanja narušavanja bezbednosti.
Uredba uvodi Politiku bezbednosti informacija (u daljem tekstu “PBI”) kao glavni
dokument u kome Obrađivač ili Kontrolor obrade podataka saopštava svojim
zaposlenima i izvođačima kako je ISMS izgrađen, sprovođen ili kako funkcioniše.
PBI treba da se razvija i održava u skladu sa pravilima o bezbednosti informacija, kao
što je predviđeno domaćim zakonodavstvom i potvrđenim međunarodnim
zakonodavstvom, preporučeno utvrđenim bezbednosnim standardima, kao i
preporukama izdatim od strane DAZLP. Analiza i procena rizika je integralna
komponenta PBI. PBI dokument treba jasno da odredi ciljeve bezbednosti i definiše
tehničke i organizacione mere neophodne za ublažavanje rizika koji utiču na sisteme
arhiviranja zbog identifikovanih pretnji i ranjivosti..
Državna agencija za zaštitu ličnih podataka
Strana 20 / 29
6 VELIKE BEZBEDNOSNE OBAVEZE PRI UGOVARANJA OBRADE LIČNIH
PODATAKA Većina ovih obaveza je legalna i ne-tehnička. Ovo je očigledno posebno u takvim
situacijama, kada glavna svrha outsourcinga nije smanjenje troškova, ali je obrada
urađena na profesionalniji i/ili bezbedniji način – profesionalnije u smislu:
Hardver i softver treba da budu raspoređeni
Ostale usluge obrade (kao prenos nosača fizičkih podataka, arhiviranje,
uništavanje medija itd)
Kvalitet zapravo pružene sigurnosti – obrađivač je tada još profesionalniji u
ovim uslovima nego kontrolor, čime je obrađivač stvarni izvor stvarne
stručnosti, dok stvari moraju biti organizovane u detaljima.
Zapamtite - U slučaju ugovaranja, SZP interveniše u ugovornom odnosu sa obrađivačima
(ili više njih). Prema tome, ugovor o ugovaranje bi trebalo da predvidi ovakav angažman kako
bi bio moguć i da rezultira do određenih ugovornih odredbi, na primer, do takvih koje se odnose
na praktične sposobnosti SZP da proceni sigurnosti obrade podataka od strane Obrađivača na
terenu, uključujući i uslovni pristup svojim objektima, informaciono-komunikacione mreže,
osoblje itd. U slučaju da treba revidirati obradu podataka Obrađivača (ili više njih), ugovor c ́e
vrlo tačno odrediti obe zasluge i komunikaciono-tehnološke uslove revizije, kao i prateće
finansijske rashode. Ukoliko se ovo ne radi ispravno može dovesti do pravnog i finansijskog
zastoja na taj način blokirajući takvu reviziju.
Dodatna teškoća u praktičnom smislu dolazi iz odredbi Zakona za zaštitu podataka dopuštajući
ovo i ovakav pristup na ad-hoc način, pošto je ovo ugovorni izazov u situaciji kada svaki takav
pristup može potencijalno dovesti do neželjenih poremećaja kod obrađivača. Takođe, treba
pojasniti šta ad-hoc zapravo tehnički znači, jer to takođe snažno utiče na finansijske aspekte
ugovora o ugovaranje.
SZP osigurava da se inventar (katalozi) sistema za arhiviranje ličnih podataka koje
obrađuje Obrađivač ili Kontrolor za obradu ličnih podataka pravilno održava. Ovo
predstavlja obavezu da se svaka dokumentacija ažurira. Pošto je takav zadatak
prilično naporan kod svakog većeg Obrađivača ili Kontrolora; treba se proceniti u
smislu pridruženog opterećenja. Pošto SZP funkcioniše više kao revizor nego li kao
izvršna osoba (njegova glavna dužnost je nadzor što isključuje da sve to on/ona radi),
on/ona nije u obavezi da izradi/zadrži svu takvu dokumentaciju, naročito kada
značajne komponente takve dokumentacije već postoje na različitim mestima kod
Obrađivača ili Kontrolora (npr. kompletan inventara IKT alata u upotrebi – kod IKT
odeljenja, jer to je imperativ zbog nabavke). Kod Obrađivača ili Kontrolora visokog
rizika, većina takve dokumentacije je već na snazi, čuva se i održava u nekim drugim
organizacionim jedinicama (npr. bezbednost, usklađenost, IKT, ili neka poslovna
Državna agencija za zaštitu ličnih podataka
Strana 21 / 29
odeljenja), tako da nema razloga da se dupliraju. Onda pravilna pravila saradnje,
prava pristupa, i linkovi c ́e biti uspostavljeni umesto da se kopiraju ogromna sredstva
koja su stalno pod promenom. Promena pravila upravljanja će biti primenjena; mogu
biti pozajmljena iz metodologije za upravljanje projektima što je najpogodnije za
Obrađivača ili Kontrolora.
U slučaju delegacije obrade ličnih podataka, potrebno je:
Uspostavljanje pravila u pogledu komunikacije između kontrolora i
obrađivača - posebno za vanredne situacije, kao što su povreda podataka,
obrada kvarova, servisiranje inspekcija DAZLP i drugih povezanih zahteva
bezbednosti, a takođe obaveštava DAZLP za druge razloge, kada je ugrožena
bezbednost podataka: ime kontrolora, ili u bliskoj saradnji sa Kontrolorom.
Usvojiti standardni ugovorni okvir koje stranke treba da koriste za takvu
delegaciju prerade (master ugovori, master klauzule itd).
Zapamtite - Preporučuje se da se razradi obrazac glavnog ugovora za ugovaranje obradu
ličnih podataka za treću kompaniju, a posebno u slučaju:
Postojanja više obrađivača,
Postojanje čestih promena obrađivača.
Da bi se obezbedila dobra selekcija obrađivača, kontrolor treba da uzme u obzir
sledeća bezbednosna pitanja:
Da izabere kompaniju koja ima dobru profesionalnu reputaciju na tom polju i
koja nudi pouzdane garancije u vezi bezbednosti obrade profesionalnih
podataka;
Ugovor sa obrađivačem treba uvek biti u pismenoj formi i treba sadržati
određene provizije upravljanja bezbednošću ličnih podataka;
o Odgovornost obrađivača je uvek ograničena time šta piše u ugovoru, a ne
šta kontrolor misli da je očigledno, prirodno itd.
o Sve (u smislu dužnosti i moguće odgovornosti) što nije navedeno u
ugovoru, ostaje isključivo kontroloru, uključujući i stvari na koje ne može
direktno da se utiče zbog raspodele.
U slučaju da je obrađivač strana kompanija, kontrolor obezbeđuje da, zemlja u
kojoj obrađivač radi, je ona koja nudi odgovarajuću zaštitu ličnih informacija
po zakonu Kosova. Kontrolor bi trebalo da se uputi sa listom zemalja koje nude
odgovarajuću zaštitu (u skladu sa članom 53. i 54. Zakona o zaštiti podataka).
Kontrolor obezbeđuje da obrađivač vrši odgovarajuće bezbednosne mere za
podatke koje treba obraditi. Strogo je preporučeno da se izaberu obrađivač
Državna agencija za zaštitu ličnih podataka
Strana 22 / 29
Ova uredba DAZLP o bezbednosti podataka takođe uzima u obzir savremenu obradu
podataka sa realnim povećanjem tendencije podobrade:
Inače, što je veći i profesionalnije obrađivač, više teži ugovaranje, npr. njegove
sporedne aktivnosti obrade poslovnih podataka (npr. poštanska aktivnost,
unos podataka itd)
Bilo bi nerealno i ekonomski škodljivo da se jednostavno zabrane ovakve
aktivnosti.
Zapamtite:
U slučaju ugovora o ugovaranje ne treba biti kompromisa o nivou bezbednosti – spuštanjem
niže od toga što je dogovoreno između kontrolora i ugovorene kompanije.
Državna agencija za zaštitu ličnih podataka
Strana 23 / 29
7 Dobri saveti kako voditi dokumentaciju vezanu za obradu i
sigurnost podataka
Održavanje dokumenata u vezi bezbednosti je jedan od najvećih izazova za SZP, čak
i u slučajevima kada on/ona da delegira ovaj posao između stranaka koje sarađuju i
ograniči njegovu/njenu pravu ulogu samo na nadgledanje. Ovo je posebno tačno
ako su oni koji su imenovani kao SZP obično preopterećeni
7.1 Vođenje evidencije svih sistema arhiviranja i IT sistema Ažuriranje dokumentacije svih protoka obrade u instituciji (danas to prolazi kroz
stalne promene) je vrlo često tretirano kao zadatak sekundarnog prioriteta, u nekim
slučajevima čak i zapostavljen. Da bi SZP uspešno funkcionisao u takvom okruženju,
stroga je metodološka disciplina pristupa neophodna što je navedeno u nastavku. To
izgleda prosto i treba biti prikazano kao takvo da se ne bi otuđile potencijalne stranke
koje sarađuju. To zahteva postavljanje PUPD Demingovog kruga (Planiraj – Učini –
Proveri – Deluj) na sledećim koracima:
Prepoznati “poslovne procese” uključujući obradu ličnih podataka
Prepoznati kategorije ličnih podataka koje su trenutno u procesu
Uspostaviti posebne procedure za osetljive podatke (predprovera, veze itd)
Pronaći sve forme ručne obrade (na bazi papira)
Documentovanje svih vaših nalaza stvaranjem stvarnih datoteka (kataloga):
o Sistema arhiviranja
o Sistema IT obrade
o Procesa obrade koji su samo ručni
o Tokova obrade
Praćenje procedura – preciziranje vaših nalaza, uspostavljanje procedura
ažuriranja.
7.2 Prepoznavanja “poslovnih obrada” koje uključuju obradu ličnih podataka Termin “poslovna obrada” se uopšteno koristi u funkcionalnoj analizi informativnog
procesa. Sama svrha ove obrade je da struktuira sve obrade obavljene od strane
Obrađivaca ili Kontrolora u okviru dosledne saradnje tokova obrade – svaki od ovih
tokova je sam po sebi obrada. U slučaju veće institucije, celokupna struktura obrade
može biti prilično složena. U cilju održavanja nastalih opisa razumljivim, set
hijerarhijske strukture drveća je predložen. To bi trebalo da bude razumljivo, posebno
kada je preduslov delegiranje dela za održavanje zaliha koji su odgovorni u
“prirodnom” smislu – npr. u skladu sa podelom rada u okviru Obrađivača ili
Kontrolora. Ne postoje pravne obaveze kako tačno ovi repozitorijumi treba da
izgledaju, izuzev obaveznih (minimalnih) struktura sistema arhiviranja koji se naziva
Državna agencija za zaštitu ličnih podataka
Strana 24 / 29
katalog. Presudni kriterijum koliko datoteka PDF treba imati da se nadzorni zadatak
SZP učini što lakšim, čime se izbegavaju neželjeni viškovi i dupriranje.
U nastavku su prosta pravila za prepoznavanje “poslovne obrade”:
Prostudiraj sve dostupne seektore specifičnih zakona interne dokumentacija
Obrađivača ili Kontrolora propisane zakonom: to opisuje kako zakonom
propisani zadaci treba da budu obavljeni. Iz ovoga možete izvući informacije
sredstava potrebnih za postizanje ovih zadataka.
Odnosite se prema ovim zakonom propisanim zadacima kao dobar pokretač
početne liste „poslovne obrade”.
Prepoznajte “vlasnike” (ovlašćena lica, glavne aktere itd) koji odlučuju o ovim
obradama za svaki zadatak propisan zakonom: zatražite pomoć kadrovske
službe i IKT.
Probnađite takođe i one koji su odgovorni za alate obrade – posebno je važno
u slučaju da nisu isti kao i “vlasnici” ovih zadataka. To se dešava kada se ne
nalaze u sektoru IKT, nažalost.
Uzimajući u obzir ove pronalaske prebacite listu zadataka i alata IKT u listu
obrada koje se ne preklapaju. Ako ste vi advokat koji nije upoznat sa
rasporedom IKT, zatražite pomoć od IKT.
Usavršite listu obrade podelom na sledeće celine, u skladu sa sledećim kriterijumima:
Svaki od njih treba da ima karakterističnu svrhu (ili doslednu grupu svrha)
njihovih obrada.
Dometi obrade podataka i IT alati se mogu preklapati, iako obim preklapanja
treba biti sveden na minimum.
Ponavljajte ove aktivnosti dok ne završite sa maksimalno 3-10 tipičnih obrada.
Delatno ograničenje obrada je savetovano iz cisto upravnih razloga – svaki opis
održavanja obrade je u vezi sa nekom količinom posla, i ova količina posla
može biti prilična. Takođe je vredno ograničavanje brojeva obrada da se učini
da ovaj opis bude dosledan sa mogućnošću nadolazeće analize
kritičnihpobrada dok se priprema nastavni plan posla.
Državna agencija za zaštitu ličnih podataka
Strana 25 / 29
7.3 Prepoznavanje kategorije da je lični podatak u obradi, davajući poseban tretman
osetljivim podacima
Ovaj je zadatak ključan za kompletiranje inventara koji u toku određuje svu svoju
buduću primenu kao pouzdan alat za predstojeću proveru usklađenosti. Nakon
identifikovanja ukupnog obima podataka u obradi, preispitajte vaše nalaze da bi
pronašli obrade u kojima se obrađuju „osetljivi” podaci. Ako su deo šireg toka obrade,
možete razmotriti preuzimanje iz takvog potoka i odvojiti ih. Glavni razlog da se ovo
učini je da su „osetljivi” podaci predmet mnogih ograničenja obrade i dodatnih
bezbednosnih mera. Dakle, moglo bi biti korisno (čisto sa tačke gledišta upravljanja)
imati ih kao pojedinačne izdvojenje tokove obrade, i mozda takođe – posebne sisteme
arhiviranja. To takođe uprošćuje dolazeće revizije, inspekcije i takođe je u službi
DAZLP i pretrage nosioca podataka. Srećom, Zakon o zaštiti podataka Kosova izričito
traži odgovarajuće “etiketiranje” takvih podataka kako bi se lako razlikovali od
"običnih" ličnih podataka. Uredba o bezbednosti podataka izričito predviđa različite
skupove dodatnih bezbednosnih odredbi takvih podataka, kako za automatsku tako
i za ručnu obradu. Jedna od najvažnijih smernica je zabrana obrade osetljivih
podataka na prenosnim medijima, osim u vanrednim situacijama (koji u toku treba
posebno servisirati i dokumentovati).
7.4 Praćenje svih oblika ručne obrade (pismena forma)
Glavne forme ručne obrade su:
Upravljanje arhivama informacijama koje su samo na papirima (kada je sav
unos i izlaz obrade podataka izvršen ručno)
Upravljanje arhivama koje su zasnovane na papirima, uključujući i one
odštampane koji se dodatno ručno obrađuju (potpisane itd)
Unosi podataka sa dokumenata na papiru u IKT sistem
Konvencionalna pošta.
Ima još nekih forma obrade korišćenjem podataka na papiru koje bi mogle biti
smatrane automatskim, i dobar su primer štampanih primeraka koji su kasnije fizički
uništeni nakon što su prethodno iskorišćeni u neelektonskom obliku obrade.
Uredba o bezbednosti podataka predviđa i niz dodatnih bezbednosnih mera visoko
rizičnih javnih i privatnih organa koji su usmereni na sprečavanje curenja podataka
takvih dokumenata i pomažu lakšem pratćenju počinioca. Najznačajniji su zahtevi za
centralno upravljanje svim štampačima i primena vodenih žigova identifikujući
izvore/izdavaoce na svakom primerku odštampanog primerka. Praćenje svih oblika
ručne obrade pomaže otkrivanju takvih neusaglašenosti kao uvođenje lokalnih
štampača, bez informisanja IKT. Ovakvi događaji otkrivaju novu rupu u zakonu: u
Državna agencija za zaštitu ličnih podataka
Strana 26 / 29
upravljanju pravima pristupa: običnom korisniku bilo kog IKT sistema će biti
zabranjeno instaliranje bilo kog novog hardvera.
7.5 Prateća dokumentacija
Dokumentovanje svih svojih nalaza stvaranjem stvarne arhive je sledeći logičan
korak. Ne postoji nikakva obavezna forma za takvu dokumentaciju (osim struktura
kataloga za svaki sistem arhiviranja ličnih podataka). Ipak, veoma je važno da ova
dokumentacija mora da se održava na odgovoran način (tako da zahteva neke
"promene sistem upravljanja" - to označava kontrolu verzija u svom
najjednostavnijem obliku). Takođe bi trebalo da bude u obliku koji se može uspešno
saopštiti onima koji su uključeni u snabdevanje potrebnim informacijama, i koristiti u
razne druge svrhe (revizija, obrada podataka, razvoj aplikacija itd). Dakle, elektronska
forma je praktično jedini izbor.
Po završetku gore navedenih aktivnosti, sada svaki tok obrade može biti opisan
terminom katalog sistema arhiviranja ličnih podataka, kako uspešno identifikovati
svaki od ovih tokova obrade:
Pravna osnova za te obrade (izdvojeno u “osetljive” i “neosetljive” kategorije
ličnih podataka)
Svrha(e) ovih obrada
Opseg obrade ličnih podataka (opseg podataka)
Periodi obrade (periodi zadržavanja podataka)
IKT alat korišćen u ovim obradama
Kome podaci treba i/ili mogu biti prikazani, uključujući i međunarodni
transfer.
Imajući to u vidu, dve arhive (i njihov opis internog povezivanja) mogu sada biti
sačinjene:
Arhiva sistema arhiviranja ličnih podataka (katalozi): lista svih sistema
arhiviranja ličnih podataka, da bude ažurirana
Arhiva (registar) sistema IKT korišćena radi njihove obrade, takođe treba da
bude ažurirana.
To daje neophodne unose za registar operacija obrade – još jedna arhiva SZP treba biti
održavana (obavezno za javna tela).
Državna agencija za zaštitu ličnih podataka
Strana 27 / 29
7.6 Važne smernice za SZP tokom dizajniranja inventara sistema arhiviranja ličnih
podataka (kataloga) Takav inventar jeste lista koja sadrži opisane delove o kojima smo već govorili,
izmenjena svim neophodnim objašnjenjima. Njegova tehnička forma je slobodnog
izbora, u velikim organizacijama to će rezultirati vrstom baze podataka radi lakše
pretrage da se pronađu i povežu procesi, sistemi, operativni procesi, odgovornosti
(“vlasnici poslovne obrade”) itd. Najvažnije, takva lista sistema arhiviranja svih ličnih
podataka treba biti ažurirana – svaka savremena obrada podataka Obrađivača ili
Kontrolora prolazi kroz trajne promene raznih umetnosti i službenici se ohrabruju da
budu kreativni, što nije obavezno u skladu sa strogom disciplinom, i spremnosti da se
zabeleži svaka promena posebno.
Njegova struktura i “granularnost” (koliko sistema arhiviranja ličnih podataka treba
da bude kreirano, kakva im je struktura i odnos jednog sa drugim itd) nije predviđeno
zakonom, što ga čini dovoljno fleksibilnim da odgovara svim specifičnim uslovima
obrade podataka. Može da postoji jedan sistem arhiviranja ličnih podataka kod
Kontrolora obrade podataka, koji pokriva sve njegove obrade ličnih podataka, alit:
To čini inventar sistema arhiviranja ličnih podataka (kataloga) jako prostim
(prednost).
To moze učiniti nadzor manje odgovornom (mana).
To mođe da oteža ili čak praktično onemogići raspodelu nekih obaveza u vezi
njegovog održavanja pravim “vlasnicima poslovne obrade”.
Ako su “osetljivi” podaci takođe obrađeni, to čini još težim režime zaštite
“neosetljivih” i “osetljivih” podataka koji predstavljaju dve različite kategorije
postavljenje u istom sistemu arhiviranja.
Zapamtite- Preporučljivo je da imate više sistema arhiviranja u inventaru, podeljen na
taj način da najprostije i njaodgovornije odrazi organizacione podele, istovremeno
upoštavajući premeštanje bezbednosnih odgovornosti. Trebalo bi da bude
sinhronizovano u opsegu obrade izvršene od strane jednog ili više saradnih sistema
IKT, opsluživanjem karakterističnih obrada (kadrovska služba i uprava isplata,
prodaja, marketinga itd). Takođe je jako dobra ideja da se jasno izdvoji ručna
obrada(e) korišćenjem samo dokumenata, papirologije.
Državna agencija za zaštitu ličnih podataka
Strana 28 / 29
7.7 Prateće procedure – usavršavanje nalaza, uspostavljanje procedura ažuriranja za
sve prateće dokumentacije Veliki izazov SZP je održavanje svih ovih arhiva ažuriranih. Ukoliko su neki delovi
zadatka održavanja podeljeni (npr. da IT sektor ima ažuriranu listu sistema IKT
korišćenu za obradu ličnih podataka), svi ostali odgovorni bi trebali da nastave na isti,
prethodno dogovoreni, način.
Najpreporučenija aktivnost je, da se informišu na vreme i precizno, da se pobrinu za
dobru saradnju sa svim kritičnim zainteresovanim strankama:
“Vlasnici poslovne obrade”
Kadrovska služba
IKT
Interni revizor, inspekcija ili saglasnost (ukoliko postoji).
U nastavku mođete pronaći korisne preporuke kako učiniti ove stvari lakšim i
razumljivijim za upravljanje.
Preporučena forma za održavanje svih arhiva: elektronski.
Za internu upotrebu možete koristiti prihvaćenu verziju registacionog oblika
sistema arhiviranja DAZLP. Nema potrebe da sve bude na papiru! Uvek
možete držati neke kopije na papiru (npr. štampane primerke elektronskog
registra) ako mislite da će to pozitivno dopineti zadatku ili je obavezno iz nekog
drugog razloga.
U slučaju da interna procedura zahteva pisanu formu takve dokumentacije
(npr. za kadrovsku službu prateći dokumenti u formi na papiru):
Skenirajte poslednji potpisani dokumenat
Sačuvajte skenirano u elektronskoj arhivi
Obeležite ga u arhivi da bi ste bili u stanju da lakše pronađete manifest i u
pisanoj i u elektronskoj formi)
Ostavite dokument na papiru na fizički bezbednom mestu – samo za
skladištenje i moguće pravnu upotrebu uslova koji zahtevaju pismenu formu,
ne za svakodnevnu upotrebu.
Dizajnirajte, primenite i koristite podsetnik za vas:
Očekivani datum isteka zadržanog podatka
Zahtevani/dogovoreni datumi ažuriranja
Državna agencija za zaštitu ličnih podataka
Strana 29 / 29
Zahtevani/dogovoreni datumi pregleda
Čak iako se opšta procedura inernog revizora ne odnosi na vas direktno:
Vršite svoje interne preglede i zavedite ih
Pitajte upravu Obrađivača ili Kontrolora da unese saglasost zaštite ličnih
podataka u zvanični potpuni plan revizije.