Priručnik “O smernicama za sprovođenje zakonodavstva za ... fileDržavna agencija za zaštitu ličnih podataka Strana 3 / 29 1 BEZBEDNOST LIČNIH PODATAKA - OSNOVNI KONCEPTI, ZAKONSKE

Državna agencija za zaštitu ličnih podataka

Strana 1 / 29

Priručnik

“O smernicama za sprovođenje zakonodavstva za zaštitu ličnih podataka”

April, 2016


Strana 2 / 29

Sadržaj

1 BEZBEDNOST LIČNIH PODATAKA - OSNOVNI KONCEPTI, ZAKONSKE OBAVEZE, PREPORUKE ........ 3

2 Bavljenje velikim rizicima obrade ličnih podataka .......................................................................... 5

2.1 Provera pravne usaglašenosti ................................................................................................. 5

2.2 Usaglašenost bezbednosti povezane sa IKT ............................................................................ 6

3 Zajedničke obaveze bezbednosti podataka za svakog pravnog Obrađivača ili Kontrolora koji

obrađuju lične podatke ........................................................................................................................... 7

4 SZP kao osoba koja je zadužena za bezbednost podataka ........................................................... 12

5 UREDBA BR. 03/2015 O MERAMA BEZBEDNOSTI U TOKU OBRADE LIČNIH PODATAKA .............. 15

5.1 Bezbednosne obaveze za privatne i javne organe niskog i visokog rizika predviđenih

UREDBOM BR. 03/2015 .................................................................................................................... 15

5.2 Glavne obaveze nametnute privatnim i javnim organima obrade podataka niskog rizika .. 17

5.3 Glavne obaveze za privatne i javne organe visokog rizika .................................................... 19

6 VELIKE BEZBEDNOSNE OBAVEZE PRI UGOVARANJA OBRADE LIČNIH PODATAKA ....................... 20

7 Dobri saveti kako voditi dokumentaciju vezanu za obradu i sigurnost podataka ........................ 23

7.1 Vođenje evidencije svih sistema arhiviranja i IT sistema ...................................................... 23

7.2 Prepoznavanja “poslovnih obrada” koje uključuju obradu ličnih podataka ......................... 23

7.3 Prepoznavanje kategorije da je lični podatak u obradi, davajući poseban tretman osetljivim

podacima........................................................................................................................................... 25

7.4 Praćenje svih oblika ručne obrade (pismena forma) ............................................................ 25

7.5 Prateća dokumentacija ......................................................................................................... 26

7.6 Važne smernice za SZP tokom dizajniranja inventara sistema arhiviranja ličnih podataka

(kataloga) .......................................................................................................................................... 27

7.7 Prateće procedure – usavršavanje nalaza, uspostavljanje procedura ažuriranja za sve

prateće dokumentacije ..................................................................................................................... 28


Strana 3 / 29

1 BEZBEDNOST LIČNIH PODATAKA - OSNOVNI KONCEPTI, ZAKONSKE

OBAVEZE, PREPORUKE

Jedna od osnovnih obaveza svakog kontrolora i obrađivača (kasnije spomenut kao

Obrađivač ili Kontrolor obrade podataka) je da osigura bezbednost podataka,

odnosno da sprovode odgovarajuće tehničke i organizacione mere za zaštitu ličnih

podataka od slučajnog ili nezakonitog uništavanja ili slučajnog gubitka, menjanja,

neovlašćenog otkrivanja ili pristupa. Takođe, pokriva obradu koja uključuje prenos

podataka preko lokalnih i javnih mreža. Bezbednost u pravnom smislu takođe

obuhvata zaštitu protiv svih ostalih nezakonitih formi obrađivanja. Primenjene mere

bezbednosti moraju biti adekvatno identifikovane slabostima i rizicima i kategorijama

podataka - posebnim merama bezbednosti koji će biti primenjene u obradi "osetljivih

podataka". Zahtev adekvatnosti traži sredstva za ublažavanje rizika koji su u stanju

da daju nivo sigurnosti propisan zakonom, i ovaj zakon ne sprovodi obavezu za

usvajanje "kosmičkih" bezbednosnih mera koje bi bile uništavajuće za Obrađivača ili

Kontrolora obrade podataka (kontrolor ili obrađivač).

Osiguravanje bezbednosti podataka nije jednokratni zadatak, to je stalna obaveza koja

je "poslovni proces" sam po sebi, tako da zahteva da se garantuju odgovarajući ljudski

i kapitalni resursi na trajnoj osnovi.

Obaveza za obezbeđivanje podataka je nametnut svakom Obrađivaču ili Kontroloru

obrade podataka, bez obzira na njihov značaj, oblik svojine, i/ili veličine. Ona takođe

pokriva sve vrste ručne obrade.

Mere bezbednosti koje se primenjuju treba da odražavaju stvarne pretnje i ranjivosti

određene sredine u kojoj se podaci obrađuju.

Za privatne i javne organe obrade podataka niskog rizika, opisna terminologija treba

da bude odgovarajuće pojednostavljena, da bude što je više moguće bliže jeziku koji

se koristi za obične poslovne prakse takvih privatnih i javnih organa u određenom

sektoru ekonomije

Ovi termini imaju sledeće značenje:

Poverljivost - osigurava da informacije nisu dostupne ili otkrivene

neovlašćenim licima, privatnim i javnim organima ili procesima.

Integritet - osigurava da podaci nisu menjani ili uništeni na neovlašćen način,

čime čuvaju tačnost i potpunost podataka i metode obrade.

Dostupnost - osigurava da su dostupni i moguće ih je koristiti na zahtev, u

određenom vremenu i mestu, na raspolaganju ovlašćenim licima i sistemima

za preradu kada se to zahteva.

Odgovornost IKT sistema koji se primenjuju na obradu podataka, kao i osoblja


Strana 4 / 29

koje radi sa njima, čime se garantuje da je svaka njihova aktivnost koja se

primenjuje nad podacima je pratljiva i proverljiva.

Neporecivost - nemogućnost da se poriče da je neko (od osoblja ili sistema za

obradu podataka) uključen u obradu podataka, u celini ili delimično.

Privatni i javni organi za obradu su odgovorni za bezbednost ličnih podataka štiteći

ih protiv slučajnog ili nezakonitog oštećenja ili uništenja, slučajnog gubitka, menjanja,

neovlašćenog pristupa i stavljanja na raspolaganje, kao i protiv bilo kojeg drugog

oblika neovlašćene obrade. Za tu svrhu oni treba da rasporede tehničke i

organizacione mere adekvatne za pretnje i ranjivosti na koje je ova obrada izložena.

Oni treba da uzmu u obzir sve slabosti i pretnje koje se mogu materijalizovati u rizike,

tretirajući ih na neki logičan (adekvatnom) prioritetan način.

Glavne kategorije lica zaduženih obavezom da učine obradu ličnih podataka

sigurnim:

Administratori sistema informacione i komunikacione tehnologije (u daljem

tekstu IKT) i njihove bezbednosti, koji su zaduženi ovom obavezom kada

obrađivač ili kontrolor koji obrađuje lične podatke ima uspostavljen interni i/ili

eksterni IKT sistem za tu svrhu.

Operatori ličnih podataka (zaposleni, ugovarači, itd) koji obrađuju lične

podatke koristeći IKT sredstva u cilju ispunjavanja svojih zadataka dok rade za

Obrađivača ili Kontrolora obrade podataka.

Sva ostala lica koja su određena od strane Obrađivača ili Kontrolora obrade

podataka za ručnu obradu podataka.

Zapamtite:

„Operatori “se ne smeju pomešati sa „obrađivačima“: Operator je fizičko lice za

izvršavanje zadatka za obradu podataka za kontrolora ili obrađivača.U slučaju malog

preduzeća obrađivača od jedne osobe, takav obrađivač može takođe istovremeno da

deluju i kao operator.

U pogledu bezbednosti obrade ličnih podataka, privatni i javni organi su dužni da se

pridržavaju ne samo opštih zakona o zaštiti ličnih podataka izdatih od strane skupštine,

ali i sekundarnih podzakonskih akata izdatih od strane vlade, kao i administrativnih

uputstava DAZLP i konkretnih smernica. Oni su takođe dužni da se pridržavaju svih

sektorskih specifičnh zakona, podzakonskih akata i kodekasa dobre prakse predstavljenih

kao sredstva za samo-regulisanje.


Strana 5 / 29

2 Bavljenje velikim rizicima obrade ličnih podataka

Dobra polazna tačka je razmatranje ranjivosti i pretnji zasnovanih na zdravom

razumu kojim je izložena obrada vaših podataka. Ovakva analiza i procena zahteva

odgovor na sledeća pitanja:

Koje su glavne pretnje i ranjivosti među svim tokovima obrade informacija koji

takođe uključuju lične podatke?

Koji od njih će se najverovatnije materijalizovati u obliku realnih rizika?

Koji od ovih rizika će najverovatnije biti podvrgnut povredi podataka koji

dovodi do oštećenja ili gubitka?

Koji od njih zahteva redovno praćenje kako bi se ublažili do prihvatljivog

nivoa?

Koja sredstva i mere za prevenciju i ublažavanje mogu biti predložena imajući

u vidu ograničena sredstva koja mogu biti posvećena bezbednosti?

Kako treba da se organizuju ove mere u smislu opterećenja odgovornosti

raznim interesnim grupama.

Važna napomena: ranjivosti i rizici neće biti posmatrani kao povezani i koji rezultiraju

samo od IKT, oni se takođe pojavljuju u toku ručne obrade. I najslabiji faktor je uvek

ljudsko biće - naročito korisnik IKT sredstava. Ovo je posebno važno sa stanovišta

zaštite ličnih podataka, kada ljudske greške mogu lako da dovedu do ozbiljnih

nezakonitih otkrivanja ličnih podataka (povreda podataka). Iz tog razloga analiza i

procena treba da se izvrše redom koji je opisan u nastavku.

2.1 Provera pravne usaglašenosti Prva aktivnost je uvek lista pravnih akata koji se odnose na obradu ličnih podataka,

kojima je konkretna obrada izložena. Ovo obično rezultira listom poput ove:

Pravni akti koji regulišu opšta pravila obrade ličnih podataka (opšti zakon o

zaštiti podataka), uključujući podzakonske akte koji pokrivaju specifične

oblasti - naročito bezbednosna pitanja.

Zakoni specifični za sektor koji takođe regulišu i zaštitu ličnih podataka, čak i

ako se ne pozivaju na lične podatke i njihovu zaštitu direktno.


Strana 6 / 29

Ovo je veoma važno, jer nadležnost za poverljivosti specifične za sektor i povezane

bezbednosne režime je apsolutno presudna da pravilno tumačimo opšta pravila

zakona o zaštiti ličnih podataka u određenim okolnostima. Ovi zakoni specifični za

sektor koji se tiču sektora ličnih podatka koriste se za regulisanje aspekata kao npr:

Zakonski obavezujuća pravila o distribuciji podataka

Periodi zadržavanje podataka

Stepen prihvatljive saglasnosti, dodatni uslovi da se ona učini pravno

obavezujućom, naročito u elektronskom.

Dodatne tehničke i organizacione mere bezbednosti

Prenos podataka, obavezno obelodanjivanje drugim privatnim i javnim

organima (npr. razmena podataka između javnih institucija)

Dodatni zahtevi PUP (Procena uticaja privatnosti), npr. oni koji su rezultat

angažovanja u različitim oblicima elektronske obrade, obimu i obliku

outsourcinga itd.

Zapamtite- Iako se čini da nisu u direktnoj vezi sa bezbednošću podataka, oni uvek rezultiraju

u nekim obavezama u vezi bezbednosti - svaka zakonska obaveza je prevedena u odgovarajući

zahtevani režim bezbednosti kako bi se dostavila tražena pravna usaglašenost pomoću nekih

tehničkih sredstava i mera. U jednom naprednom obliku, rezultira u konkretnim uputstvima

koja proizilaze iz PUP.

2.2 Usaglašenost bezbednosti povezane sa IKT

Sledeći korak je opšta procena o tome kako se IKT obrada upravlja u smislu

generisanja rizika za zaštitu ličnih podataka.

Uopšte, proceniće se dva aspekta:

IKT obrada korišćenjem sopstvenih resursa, kada nadležnost IKT obrade ostaje

na mestu,

Delegirana IKT obrada. Ona se odnosi na situacije poput onih u kojima se

oslanjamo na spoljne profesionalne treće strane za obavljanje obrade podataka,

kada te treće strane dostavljaju svoj hardver, softver i/ili podršku (ovde se

mogu organizovati različiti oblici i obim takvog delegiranja, i nisu svi

podvrgnuti zakonu o zaštiti podataka - odlučujuća je sposobnost treće strane

za pristup ličnim podacima).


Strana 7 / 29

3 Zajedničke obaveze bezbednosti podataka za svakog pravnog

Obrađivača ili Kontrolora koji obrađuju lične podatke

Osnovni skup obaveza bezbednosti podataka je definisan u Zakonu br. 03/L-172 o

zaštiti ličnih podataka. Ove obaveze se navode u nastavku (po redosledu pojavljivanja

u Zakonu) i uz objašnjenja - ograničena na ova bezbednosna pitanja

Zaštita osetljivih ličnih podataka (član 7)

1. Osetljivi lični podaci treba da se zaštite i klasifikuju na poseban način, u cilju

sprečavanja bilo kojeg neovlašćenog pristupa i korišćenja, izuzetno od slučajeva iz

podstava 1.5, stava 1, člana 6. ovog Zakona.

2. Kada se osetljivi lični podaci prenose preko telekomunikacionih mreža isti će se

smatrati zaštićenim na adekvatan način ili ako su isti enkriptovani radi

obezbeđenja nečitkosti i njihovog nepoznavanja

Ovo postavlja dodatne mere zaštite za osetljive podatke. Što se tiče šifrovanja,

minimum je šifrovanje podataka saobraćaja na mreži. To se može tumačiti kao i

šifrovanje sadržaj za duže vreme od samog stvarnog prenosa.

Bezbednost obrade podataka (član 14)

1. Bezbednost ličnih podataka obuhvata potrebne organizacione, tehničke i logističke

procedure i mere za njihovu zaštitu i za sprečavanje bilo kog neovlašćenog

neočekivanog ili namernog uništenja ili otkrivanja, modifikovanja, pristupa ili

korišćenja podataka ili neočekivanog ili namernog gubitka podataka:

1.1. zaštitom prostorija, opreme i softverskih sistema, uključujući i kontrolu

pristupa duke i mbrojtur programet aplikative (softuerike) që përdoren për

përpunimin e të dhënave;

1.2. zaštitom softverskih aplikacija koje se koriste za obradu ličnih podataka;

1.3. sprečavanjem bilo kog neovlašćenog pristupa ili čitanja ličnih podataka u toku

njihovog skladištenja i prenosa, uključujući prenos preko telekomunikacionih

sredstava i mreža;

1.4. obezbeđivanjem efikasnih metoda za blokiranje, uništenje, brisanje ili

anonimiziranje ličnih podataka; omogućivanjem sledećeg određivanja kada su

ubačeni lični podaci u sistemu dosijea, pristupljeni, modifikovani, otkrivani,

uništeni, korišćeni ili drukčije obrađeni, i ko je to uradio, tokom celog vremena

njihovog skladištenja.

2. Ukoliko su lični podaci obrađeni preko telekomunikacionih mreža, treba da se

obezbedi da se obrada izvrši unutar granica predviđenih zakonom. Takođe,

hardver, softver sistema i softverske aplikacije treba da obezbede adekvatan nivo


Strana 8 / 29

zaštite podataka.

3. Procedura i mere za zaštitu ličnih podataka treba da budu adekvatne i da se

ažuriraju uzimajući u obzir prirodu ličnih podataka koje treba zaštiti i rizika koji

se pojavljuje obradom takvih podataka.

4. Zvaničnici, zaposleni ili ostala lica koja obavljaju poslove u vezi obrade podataka

uključujući kontrolora podataka su obavezni, da u toku i nakon obavljanja

ugovorenog posla, štite poverljivost ličnih podataka sa kojima oni postaju

upoznati.

Zapamtite:

Zakon o zaštiti podataka Kosova sprovodi PRISTUP ZASNOVAN NA RIZIKU za

bezbednost podataka.

Pošto je glavni cilj ovog zakona da zaštiti prava nosioca podataka, stoga Procena uticaja

privatnosti (PUP) gledana sa stanovišta nosioca podataka (čiji se podaci obrađuju),

takođe treba da bude uključena u takve analize rizika i procenu.

Iz tog razloga, pre obrade ličnih podataka, kontrolor ili obrađivač će izvršiti procenu

uticaja predviđenih radnji za obradu o zaštiti ličnih podataka u kojoj je verovatno da će

ove radnje obrade podataka predstaviti specifične rizike za prava i slobode nosioca

podataka zbog njihove prirode, njihovog obima ili njihove svrhe.

Takva analiza se vrši pre ulaska u bilo kakve tehničke diskusije o tome kako da se ova

obrada učini bezbednom, jer značajno pomaže u otkrivanju onih delova obrade podataka

kojima je bezbednost najvažnija sa stanovišta zaštite podataka.

Ishod ove analize nije identičan sa procenom rizika od strane Kontrolora i Obrađivača

kao preduzetnika, jer je njihova procena rizika po prirodi koncentrisana na zaštitu

vrednih informacija.

Uloga SZP je da nadziru takvu procenu i da je zapravo urade.

Obaveza za zaštitu ličnih podataka (član 16)

1. Kontrolori podataka i obrađivači podataka treba da u svako vreme vode računa

da se lični podaci zaštite na način koji je predviđen članom 14. ovog Zakona.

2. Kontrolori podataka i obrađivači podataka treba da u svojim internim aktima

opisuju postupke i mere utvrđene za bezbednost ličnih podataka i da u

pismenoj formi imenjuju nadležna lica koja su odgovorna za sistem dosijea i

lica koja, zbog prirode njihovog posla, treba da obrade lične podatke.


Strana 9 / 29

Komentar objašnjenja

Ova dva člana obavezuju i Kontrolora i Obrađivača da preduzmu odgovarajuće organizacione

i tehničke mere u cilju zaštite ličnih podataka od nezakonitog ili slučajnog uništavanja,

slučajnog gubitka, od pristupa ili otkrivanja neovlašćenim licima, posebno kada se obrada

podataka odvija u mreži, kao i od svakog drugog oblika nezakonite obrade.

Oni određuju minimalni obavezni skup bezbednosnih mera koje treba uvesti na dokumentovan

način. One obavezuju na jasnu podelu odgovornosti za održavanje bezbednosti informacija -

bez navođenja koje organizacione i tehničke mere bezbednosti treba da budu preduzete.

Naglašava se uloga odgovarajućeg ovlašćenja kao preduslova da se dozvoli obrada ličnih

podataka, i obavezuju privatni i javni organi obrade podataka za dokumentovanje svih promena

u podacima koje obrađuju. Granularnost takvog dokumentovanja nije propisana; ona će biti u

skladu sa opštim zahtevima adekvatnosti.

Postoji takođe i obaveza poverljivosti postavljena i za Kontrolora i Obrađivača, i njihove

Operatore čak i nakon prestanka njihovih funkcija. Bilo koji Operator neće obrađivati lične

podatke na kojima on/ona ima pristup, bez prethodnog odobrenja, niti za bilo koje druge svrhe

i na način nego kako je izričito naloženo.

Ova pravila su sveobuhvatna i razumljiva sama po sebi, i treba da budu primenjena i od strane

privatnih i javnih organa obrade podataka niskog i visokog rizika. Svaka od ovih dva grupa ima

različite konkretne obaveze bezbednosti, kao što je određeno odgovarajućim administrativnim

uputstvima i uredbama DAZLP (kao što je kasnije objašnjeno u ovom Priručniku).

Ugovorena obrada – outsourcing (član 15)

1. Obrađivaču podataka može da se poveri obrada ličnih podataka pismenim

ugovorom ako je on ili ona registrovan-a u Republici Kosovo za vršenje takve

aktivnosti u skladu sa predviđenim procedurama i merama predviđenim

članom 14. ovog Zakona.

2. Obrađivač podataka može da radi samo u okviru datih ovlašćenja od strane

kontrolora podataka i ne sme obraditi lične podatke za nikakvu drugu svrhu.

Uzajamna prava i obaveze treba da se utvrde pismenim ugovorom, koji takođe

treba da sadrži i detaljan opis procedura i mera u skladu sa članom 14. ovog

Zakona.

3. Kontrolor podataka treba da nadgleda sprovođenje procedura i mera u skladu

sa članom 14. ovog Zakona. Takođe, treba da uključi i ad-hoc posete

prostorijama gde se vrši obrada ličnih podataka.

4. U slučaju nesporazuma između kontrolora podataka i obrađivača podataka,

obrađivač podataka treba odmah na zahtev kontrolora podataka da vrati sve

podatke koje on poseduje. Obrađivaču podataka nije dozvoljeno da zadržava

kopije podataka i da ih dalje obrađuje.


Strana 10 / 29

5. Prilikom prestanka delatnosti obrađivača podataka, lični podaci treba da se

vraćaju odmah kontroloru podataka.

Posebna pažnja je posvećena ugovaranje kako ona postaje uobičajena praksa u

ekonomskom životu, koja se koristi da se dobije neključna spoljna usluga za jednu

prihvatljivu cenu umesto da se pokušava da se to uradi od strane samog obrađivača

ili kontrolora. Pošto se više ličnih podataka obrađuje preko ugovaranje, realna

opasnost je da je bezbednost koja efiktivno proističe od takvog delegiranja padne do

nivoa koji bi ugrozio prava nosioca podataka. U cilju sprečavanja da se to

materijalizuje na Kosovu, postoje posebne zakonske odredbe koje se tiču bezbednosti

obrade podataka u slučaju ugovaranja predviđene u Uredbi o bezbednosti

podataka.To je detaljnije komentarisano u Poglavlju 12.

Zapamtite: - Bez obzira kako i koliko doseže vaš ugovor i koliko je duga i složena mreža vašeg

ugovora, vi (kao kontrolor ili obrađivač

Ne možete izbegavati vaše bezbednosne obaveze

Rezultirajući nivo bezbednosti ne može da se degradira, u suprotnom, treba ga

poboljšati

Sve uključene stranke su odgovorne za bilo koje kršenje bezbednosti, a njihove posebne

bezbednosne odgovornosti uređuju se detaljno prema jednom ili više pisanih ugovora.

Ugovaranje takođe donosi mogućnost da se kompenzujete za narušavanje

bezbednosti srazmerno realnim štetama nanesenih u stvari, suprotno od nedoličnog

ponašanje sopstvenih zaposlenih (kodeks rada predviđa stroga ograničenja o tome

koliko štete poslodavac može tražiti od svog zaposlenog). Dakle, iako pravna

odgovornost zbog ugovaranja ne može da se degradira, ekonomska odgovornost

može - pod uslovom da:

Ugovor je pravilno oblikovan u komercijalnim uslovima

Ugovorać je dužan da osigura sebe za moguće propuste za dostavljanje

odgovarajućih nivoa bezbednosti u slučaju da sopstveni resursi kapitala nisu

dovoljni da se nadoknadi eventualna šteta.

Povreda odredaba o zaštiti ličnih podataka (Član 81)

1. Pravno lice ili lice koje vrši nezavisnu aktivnost kazniće se za prekršaj

novčanom kaznom od četiri hiljade (4.000) do deset hiljada (10.000) evra ako u

toku obrade ličnih podataka ne uspeva da garantuje potreban nivo bezbednosti

zaštite ličnih podataka prema članovima 14. i 16. ovog Zakona.

2. Odgovorno lice pravnog lica ili lice koje vrši nezavisnu aktivnost kazniće se za

prekršaj novčanom kaznom od petsto (500) do dve hiljade (2.000) evra za


Strana 11 / 29

povrede iz stava 1. ovog člana.

3. Odgovorno lice državnog organa kazniće se za prekršaj novčanom kaznom od

petsto (500) do dve hiljade (2.000) evra za povrede iz stava 1. ovog člana.

4. Osoba koja vrši povredu iz stava 1 ovog člana kazniće se novčanom kaznom

od dvesta (200) do osamsto (800) evra.


Strana 12 / 29

4 SZP kao osoba koja je zadužena za bezbednost podataka Pozicija SZP je trenutno regulisana saZakon br. 03/L-172 o zaštiti ličnih podataka.

Zakon br. 03/L-172 „o zaštiti ličnih podataka“ postavlja sledeće odredbe o SZP:

Podglavlje O - Službenik za zaštitu podatka

Član 74 - Službenik za zaštitu podatka

1. Svi javni organi koji obrađuju lične podatke, treba da pismeno izaberu i

imenuju jednog unutrašnjeg službenika za zaštitu ličnih podataka.

2. Samo lica koja raspolažu specijalizovanim znanjem i koja pokazuju pouzdanost

potrebnu za izvršenje pomenutog zadatka, mogu biti imenovana za službenika

za zaštitu podataka.

3. Službenik za zaštitu podataka će biti podređeni šefu javnog organa. On ili ona

neće imati nikakvu štetu u toku izvršavanja njegovih ili njenih zadataka.

4. Službenik za zaštitu podataka će biti obavezan, da održi poverljivost ličnih

podataka kojima će on ili ona biti informisano u toku izvršavanja njegovih ili

njenih zadataka.

5. Javni organ će podržati službenika za zaštitu podataka u izvršavanju njegovog

ili njenog zadatka, posebno, u meri potrebnoj da se stavi na raspolaganje

oprema i drugi resursi.

6. Ukoliko službenik za zaštitu podataka i dalje ne ispunjava uslove pomenute u

stavu 2. ovog člana, on ili ona će biti rešen dužnosti.

Član 75 - Zadaci službenika za zaštitu podataka

1. Službenik za zaštitu podataka će pomagati javnom organu u osiguranju da se

odgovarajući propisi za zaštitu podataka poštuju i uredno sprovode. Za ovu

svrhu on ili ona može da se konsultuje sa Agencijom u svako vreme.

2. Službenik za zaštitu podataka će redovno, nadgledati pravilnu upotrebu

programa za obradu podataka kao i mere i postupke uspostavljene radi

osiguranja bezbedne obrade podataka.

3. Službenik za zaštitu podataka će informisati sva lica zaposlena od strane

javnog organa za obradu ličnih podataka, odgovarajućim propisima i

odredbama. On ili ona takođe će redovno informisati sve zaposlene o njihovim

pravima i obavezama na osnovu ovog Zakona i iste će informisati oko

razvijanja u oblasti zaštite podataka.


Strana 13 / 29

Član 76 - Kontrola

1. Službenik za zaštitu podataka, može da izvrši kontrole na svoju inicijativu.

2. Službenik za zaštitu podataka, imaće pravo da konsultuje, iznese, opiše ili

kopira lične podatke na koje naiđe u toku kontrole. On ili ona je

obavezan/na da poštuje poverljivost ličnih podataka.

3. Službenik za zaštitu podataka treba, treba pismeno da izveštava šefa javnog

organa o rezultatima kontrole.

Zapamtite: SZP je obavezan za privatne i javne organe obrade podataka u javnom

sektoru, a nije obavezan za one u privatnom sektoru

Dodatni komentari objašnjenja - o glavnim pravcima bezbednosti podataka koji

dolaze iz „Zakona br. 03/L-172 o zaštiti ličnih podataka“

Ovaj Zakon obavezuje sve privatne i javne organe obrade podataka na:

Uvođenje mera bezbednosti zasnovanih na analizi rizika i njihovom

ublažavanju kroz:

o Organizovanje takvog procesa rada za obradu podataka kojim je pristup

podacima operatora ograničen na minimum potreban da pravilno

obavljaju svoje poslovne obaveze,

o Održavanje integriteta i poverljivosti podataka

Obučavanje svog osoblja (vlastitog i spoljnog) angažovanog u obradi podataka

da bi mogli da shvate pitanja bezbednosti i poštuju opšti zakon i uvedene

unutrašnje uredbe.

Održavajte poverljivost podataka i nakon prestanka zadatka koji je

omogućavao pristup. Ova poverljivost treba da se shvatiti vrlo široko, jer

pokriva:

o Same podatke

o Sredstva i usluge za njihovu obradu (ovaj zahtev je takođe ojačan

drugim zakonima, jer je obrada danas sastavni deo konkurentske

prednosti)

o Mere bezbednosti raspoređene za dve gore navedene tačke

Ove vrlo generalne smernice bezbednosti važe za privatne i javne organe obrade

podataka i niskog rizika i visokog rizika. Ove smernice s pravom ističu ulogu

organizacionih sredstava, jer je veoma teško i skupo da se nadoknade njihovi

nedostaci tehničkim sredstvima. Takvi nedostaci zbog pogrešnog organizovanja

obrade i njene bezbednosti su glavni neprijatelji dobre bezbednosti. Organizaciona

sredstva takođe pokrivaju i bezbednost u vezi osoblja, jer ljudi koji su uključeni u

obradu podataka obično generišu najveće slabosti, a time i rizike, i takvi rizici se ne


Strana 14 / 29

mogu ublažiti samo tehnologijom. Suprotno popularnom verovanju mnogih ljudi, kao

što su: dodajmo još malo pametnih IKT stvari, i naši problemi se sami rešavaju, što

može zapravo dovesti do toga da se bezbednost pogorša još više (jer ova nova IKT

može da generiše nove rizike koji se ne mogu ublažiti).

Zahtev da odobravanje minimalnog pristupa podacima i njihovih sredstava obrade je

apsolutno presudna, jer je to jedan od glavnih bezbednosnih pomagala u prevenciji i

ublažavanju rizika. Princip pozajmljen iz oblasti prerade tajnih podataka („potreba da

se zna“) treba da se usvaja gde god je moguće: odobriti pristup samo na osnovu

„potrebe da se zna“, i ukinuti takav pristup odmah kada postane zastareo.

Takođe, traži odgovarajuću obuku za bezbednost svih operatora. Ako se ne sprovodi,

kontrolori i obrađivači ne mogu biti u pravnom položaju dovoljno snažno da kazne

svoje zaposlene i izvođače radova u slučaju da su takvi operatori prekršili bezbednost,

čak i ako je to bio samo čin nemara ili gluposti. Ukoliko se slučaj izvede pred sud,

takav operator koji ima zakonsko pravo na odgovarajuću obuku, može dobiti slučaj

ako kontrolor ili obrađivač nije uspeo da ga pravilno obučava? Zato je ključno za

Kontrolora i Obrađivača da dokumentuju sprovođenu obuku. Za obradu podataka

visokog rizika, obaveza na obuku o bezbednosti i dokumentovanju iste je obavezna.


Strana 15 / 29

5 UREDBA BR. 03/2015 O MERAMA BEZBEDNOSTI U TOKU OBRADE

LIČNIH PODATAKA

5.1 Bezbednosne obaveze za privatne i javne organe niskog i visokog rizika

predviđenih UREDBOM BR. 03/2015

Glavni razlozi za razlikovanje privatnih i javnih organa za obradu ličnih podataka u

pogledu njihovih bezbednosnih odgovornosti i obaveza su:

Da pravilno uravnoteže između:

o Zaštite prava nosioca podataka,

o Nametanje dodatnog opterećenja za kontrolore i obrađivače, s obzirom

na ishod analize i procenu rizika.

Da bi se pozicionirala zaštita ličnih podataka ne kao poslovna prepreka i

administrativni i finansijski teret slabljenja privrede, već kao dodatna vrednost

obrade podataka samog obrađivača i kontrolora. Informacija sadržana u ličnim

podacima uvek ima vrednost za Obrađivača ili Kontrolora (njena minimalna

vrednost je trošak prikupljanja i obrada koja je potrebna da bi ona bila

dostupna), i treba da se zaštiti ne samo za usaglašenost sa zakonskim

obavezama, ali i zbog zdravih ekonomskih razloga.

Početna procena rizika jasno pomaže u otkrivanju tih privatnih i javnih organa u

kojima se njihova obrada podataka treba zaštititi korišćenjem formalizovanijeg i bolje

opremljenog režima, i time spada u kategoriju visokog rizika.

Uvođenje takve podele rezultira većom transparentnošću i ekonomskim realizmom.

Tražiti od malog Obrađivača ili Kontrolora niskog rizika da uvede potpuni Sistem

upravljanja bezbednošću informacija (koji oni neće razumeti u potpunosti, niti

sprovoditi iz ekonomskih razloga) bio bi veoma loš pristup, suprotno samoj ideji

bezbednosti ličnih podataka. S druge strane, trba da se zatraži od privatnih i javnih

organa visokog rizika da ispune mnogo strože kriterijume, jer je to za njih ekonomski

isplativo, i zapravo korisno da efikasno zaštite svoje vredne informacije i istovremeno

prava nosilaca podataka.

Da bi se pokrivao ceo spektar obrade podataka, i javnih i privatnih, koristi se koncept

Obrađivača ili Kontrolora; pokriva i Kontrolore i Obrađivače svih vrsta, uključujući i

podobrađivače.


Strana 16 / 29

Rezultirajuća podela između privatnih i javnih organa obrade podataka niskog i

visokog rizika je izrađena na sledeći način:

Privatni i javni organi visokog rizika su privatni i javni organi obrađivača

ličnih podataka koji ispunjavaju jedan od sledećih uslova:

obrada ličnih podataka koja se odnosi na više od 100 nosilaca podataka u

toku bilo kojih uzastopnih 12. mesečnih perioda;

obrada posebnih kategorija ličnih podataka kao što je navedeno u članu 2.

tačka 1.16 Zakona o zaštiti podataka, podaci o lokaciji ili podaci o deci ili

zaposlenima u sistemima arhiviranja velikih razmera;

profilisanje na koje mere mogu proizvesti pravno dejstvo u vezi pojedinca

ili da na sličan način bitno utiču na pojedinca;

obrada ličnih podataka za pružanje zdravstvene zaštite, epidemiološka

istraživanja ili ankete za mentalne ili zarazne bolesti, gde su podaci

obrađeni za preduzimanje mera ili odluka u velikim razmerama u vezi

određenih pojedinaca;

automatizovano praćenje javno dostupnih mesta u velikoj razmeri;

druge operacije obrađivanja za koje se traže konsultacija službenika za

zaštitu podataka, ili Agencije u skladu sa članovima 56. i 75. Zakona o zaštiti

podataka;

gde bi povreda ličnih podataka verovatno negativno uticala na zaštitu ličnih

podataka, privatnosti, prava ili legitimnih interesa nosioca podataka;

osnovne aktivnosti kontrolora ili obrađivača se sastoje od operacija obrade

koje, na osnovu njihove prirode, svog delokruga i/ili njihove namene,

zahtevaju redovno i sistematsko praćenje subjekata podataka;

kada lični podaci budu dostupni velikom broju osoba koji se ne može

razumno očekivati da bude ograničen.

Privatni i javni organi niskog rizika su svi ostali privatni i javni organi

obrađivača ličnih podataka.Takva podela u osnovi sledi pristup trenutno novo

izrađene Opšte uredbe o zaštiti podataka EU (GDPR). Ona uzima u obzir

evropska iskustva i veličinu Kosova kao države, dok su originalni kriterijumi

neznatno izmenjeni.

Ova grupa kriterijuma je takođe veoma razumna korišćenjem filtera "velikih razmera"

na mnogim mestima, jer omogućava izbegavanje bavljenja teškim rešenjima u

situacijama obrade kada stvarni rizici na privatnost nisu visoki. Ona pretpostavlja da

što je veća razmera obrade povećava se i rizik; jer je tako velika razmera obično

praćena mnogo komplikovanijom obradom tokova. U diskreciji DAZLP je izdavanje

smernica kako se "velike" razmere zapravo razumeju za različite sektore i aranžmane

obrade.


Strana 17 / 29

Svaka takva grupa kriterijuma je sporna za one privatne i javne organe koji su u blizini

granične linije, a to je opšti problem za klasifikaciju svake od 2 - kategorije. Biti svestan

ove sistemske slabosti, slično je za sve zemlje EU, dok usvajaju novo izrađeni EU

GDPR. U slučaju da je verzija kriterijuma konačno usvojena u GDPR drugačije kako

sada izgleda verovatnim, gore navedena grupa kriterijuma u zakonodavstvu Kosova

će biti na odgovarajući način prilagođena u budućnosti. Zakonodavna diskusija koja

se odvija o GDPR je kako pravilno oblikovati ovu podelu, uspostaviti ravnotežu

između prava nosioca podataka, sigurnosti privrede i troškova i administrativnog

opterećenja nametnutog na privatne i javne organe obrade podataka zbog

bezbednosnih obaveza.

5.2 Glavne obaveze nametnute privatnim i javnim organima obrade podataka niskog

rizika

Privatni i javni organi obrade podataka niskog rizika su podvrgnuti ograničenoj i

sveobuhvatnoj grupi pravila koja treba slediti. Odredbe koje se odnose bezbednosti

IKT sistema su obavezujuće samo za one privatne i javne organe koji obrađuju lične

podatke elektronskim putem. Privatni i javni organi koji obrađuju podatke

elektronskim putem smatraju se onima koji obrađuju bilo kakve podatke elektronskim

putem.

Za privatne i javne organe koji ručno obrađuju lične podatke, primenjuju se samo

odredbe koje se tiču takve obrade.

Uredba definiše minimalne standarde za bezbednost ličnih podataka koji obuhvataju:

1. Pojednostavljenu analizu i procenu rizika - sprovođene periodično kako bi se

utvrdile glavne slabosti i rizici u sistemima koji su izloženi njima, i njihovo

dokumentovanje na način koji je razumljiv običnoj poslovnoj praksi ovih

privatnih i javnih organa u određenom sektoru privrede.

2. Fizička bezbednost i bezbednost sredine

3. Logična bezbednost IKT opreme koja se koristi u obradi ličnih podataka

4. Organizaciona bezbednost, uključujući i bezbednost osoblja (ljudske faktore).

Odredbe ove Uredbe za privatne i javne organe niskog rizika su oblikovane tako da

se njene glavne odredbe mogu lako pretvoriti u 2 liste:

1. Bezbednosni zadaci i aktivnosti koje treba izvoditi

2. Jednostavna lista za proveru usaglašenosti samoprocene (vidi odgovarajući

dodatak).


Strana 18 / 29

Suprotno odredbama Uredbe za privatne i javne organe visokog rizika, potpuni

Sistem upravljanja bezbednošću informacija (ISMS) je neobavezujući za njih. Shodno

tome, savetuje se da se oblikuju sve bezbednosne procedure kod Obrađivača i

Kontrolora niskog rizika koristeći običan jezik, npr. koji se odnosi na posebne uslove

poslovanja koji se koriste u sektoru obrađivača ili kontrolora. Takav pristup je veoma

koristan kako bi se olakšao razvoj takvih bezbednosnih procedura, razumeli i

prihvatili ih kao korisna pomoć a ne teret, i izvršavali ih bez ozbiljnih prepreka, i

značajnih dodatnih troškova. Dobar nagoveštaj za osobe koje su zadužene za razvoj i

održavanje takvih procedura je da ih proverimo tokom obuke da li su zaista bili

razumljivi za obične operatore i druga lica zadužena za bezbednost podataka.

Postoji i posebna grupa fizičkih i ekoloških mera bezbednosti definisana za privatne i

državne organe koji ručno obrađuju lične podatke. One sprovode odgovarajuću

kontrolu fizičkog pristupa, i naglašavaju blagovremeno uništavanje ili anonimizaciju

kada istekne period zadržavanje podataka. Svi rezervni papirni dokumenti koji su

nosioci takvih podataka treba da budu uništeni.

Sva sredstva i putevi za prenos podataka ili dokumenti koji sadrže lične podatke treba

da se šifruju. Takođe i svi prenosivi elektronski mediji koji se koriste kao nosači

informacija (USB memorije, i ostale fleš medije), trebalo bi da budu šifrovane pre

napuštanja prostorija Obrađivača ili Kontrolora obrade podataka..


Strana 19 / 29

5.3 Glavne obaveze za privatne i javne organe visokog rizika Za razliku od privatnih i javnih organa niskog rizika, one visokog rizika su dužne da

se striktno pridržavaju pravila koja proizlaze iz tehničkih standarda bezbednosti

informacija ISO-27000, iako Uredba ne čini njihovu usaglašenost obaveznom. Uredba

takođe određuje pravila saradnje između privatnih i javnih organa visokog rizika i

DAZLP za potrebe inspekcija i prilikom izveštavanja narušavanja bezbednosti.

Uredba uvodi Politiku bezbednosti informacija (u daljem tekstu “PBI”) kao glavni

dokument u kome Obrađivač ili Kontrolor obrade podataka saopštava svojim

zaposlenima i izvođačima kako je ISMS izgrađen, sprovođen ili kako funkcioniše.

PBI treba da se razvija i održava u skladu sa pravilima o bezbednosti informacija, kao

što je predviđeno domaćim zakonodavstvom i potvrđenim međunarodnim

zakonodavstvom, preporučeno utvrđenim bezbednosnim standardima, kao i

preporukama izdatim od strane DAZLP. Analiza i procena rizika je integralna

komponenta PBI. PBI dokument treba jasno da odredi ciljeve bezbednosti i definiše

tehničke i organizacione mere neophodne za ublažavanje rizika koji utiču na sisteme

arhiviranja zbog identifikovanih pretnji i ranjivosti..


Strana 20 / 29

6 VELIKE BEZBEDNOSNE OBAVEZE PRI UGOVARANJA OBRADE LIČNIH

PODATAKA Većina ovih obaveza je legalna i ne-tehnička. Ovo je očigledno posebno u takvim

situacijama, kada glavna svrha outsourcinga nije smanjenje troškova, ali je obrada

urađena na profesionalniji i/ili bezbedniji način – profesionalnije u smislu:

Hardver i softver treba da budu raspoređeni

Ostale usluge obrade (kao prenos nosača fizičkih podataka, arhiviranje,

uništavanje medija itd)

Kvalitet zapravo pružene sigurnosti – obrađivač je tada još profesionalniji u

ovim uslovima nego kontrolor, čime je obrađivač stvarni izvor stvarne

stručnosti, dok stvari moraju biti organizovane u detaljima.

Zapamtite - U slučaju ugovaranja, SZP interveniše u ugovornom odnosu sa obrađivačima

(ili više njih). Prema tome, ugovor o ugovaranje bi trebalo da predvidi ovakav angažman kako

bi bio moguć i da rezultira do određenih ugovornih odredbi, na primer, do takvih koje se odnose

na praktične sposobnosti SZP da proceni sigurnosti obrade podataka od strane Obrađivača na

terenu, uključujući i uslovni pristup svojim objektima, informaciono-komunikacione mreže,

osoblje itd. U slučaju da treba revidirati obradu podataka Obrađivača (ili više njih), ugovor c ́e

vrlo tačno odrediti obe zasluge i komunikaciono-tehnološke uslove revizije, kao i prateće

finansijske rashode. Ukoliko se ovo ne radi ispravno može dovesti do pravnog i finansijskog

zastoja na taj način blokirajući takvu reviziju.

Dodatna teškoća u praktičnom smislu dolazi iz odredbi Zakona za zaštitu podataka dopuštajući

ovo i ovakav pristup na ad-hoc način, pošto je ovo ugovorni izazov u situaciji kada svaki takav

pristup može potencijalno dovesti do neželjenih poremećaja kod obrađivača. Takođe, treba

pojasniti šta ad-hoc zapravo tehnički znači, jer to takođe snažno utiče na finansijske aspekte

ugovora o ugovaranje.

SZP osigurava da se inventar (katalozi) sistema za arhiviranje ličnih podataka koje

obrađuje Obrađivač ili Kontrolor za obradu ličnih podataka pravilno održava. Ovo

predstavlja obavezu da se svaka dokumentacija ažurira. Pošto je takav zadatak

prilično naporan kod svakog većeg Obrađivača ili Kontrolora; treba se proceniti u

smislu pridruženog opterećenja. Pošto SZP funkcioniše više kao revizor nego li kao

izvršna osoba (njegova glavna dužnost je nadzor što isključuje da sve to on/ona radi),

on/ona nije u obavezi da izradi/zadrži svu takvu dokumentaciju, naročito kada

značajne komponente takve dokumentacije već postoje na različitim mestima kod

Obrađivača ili Kontrolora (npr. kompletan inventara IKT alata u upotrebi – kod IKT

odeljenja, jer to je imperativ zbog nabavke). Kod Obrađivača ili Kontrolora visokog

rizika, većina takve dokumentacije je već na snazi, čuva se i održava u nekim drugim

organizacionim jedinicama (npr. bezbednost, usklađenost, IKT, ili neka poslovna


Strana 21 / 29

odeljenja), tako da nema razloga da se dupliraju. Onda pravilna pravila saradnje,

prava pristupa, i linkovi c ́e biti uspostavljeni umesto da se kopiraju ogromna sredstva

koja su stalno pod promenom. Promena pravila upravljanja će biti primenjena; mogu

biti pozajmljena iz metodologije za upravljanje projektima što je najpogodnije za

Obrađivača ili Kontrolora.

U slučaju delegacije obrade ličnih podataka, potrebno je:

Uspostavljanje pravila u pogledu komunikacije između kontrolora i

obrađivača - posebno za vanredne situacije, kao što su povreda podataka,

obrada kvarova, servisiranje inspekcija DAZLP i drugih povezanih zahteva

bezbednosti, a takođe obaveštava DAZLP za druge razloge, kada je ugrožena

bezbednost podataka: ime kontrolora, ili u bliskoj saradnji sa Kontrolorom.

Usvojiti standardni ugovorni okvir koje stranke treba da koriste za takvu

delegaciju prerade (master ugovori, master klauzule itd).

Zapamtite - Preporučuje se da se razradi obrazac glavnog ugovora za ugovaranje obradu

ličnih podataka za treću kompaniju, a posebno u slučaju:

Postojanja više obrađivača,

Postojanje čestih promena obrađivača.

Da bi se obezbedila dobra selekcija obrađivača, kontrolor treba da uzme u obzir

sledeća bezbednosna pitanja:

Da izabere kompaniju koja ima dobru profesionalnu reputaciju na tom polju i

koja nudi pouzdane garancije u vezi bezbednosti obrade profesionalnih

podataka;

Ugovor sa obrađivačem treba uvek biti u pismenoj formi i treba sadržati

određene provizije upravljanja bezbednošću ličnih podataka;

o Odgovornost obrađivača je uvek ograničena time šta piše u ugovoru, a ne

šta kontrolor misli da je očigledno, prirodno itd.

o Sve (u smislu dužnosti i moguće odgovornosti) što nije navedeno u

ugovoru, ostaje isključivo kontroloru, uključujući i stvari na koje ne može

direktno da se utiče zbog raspodele.

U slučaju da je obrađivač strana kompanija, kontrolor obezbeđuje da, zemlja u

kojoj obrađivač radi, je ona koja nudi odgovarajuću zaštitu ličnih informacija

po zakonu Kosova. Kontrolor bi trebalo da se uputi sa listom zemalja koje nude

odgovarajuću zaštitu (u skladu sa članom 53. i 54. Zakona o zaštiti podataka).

Kontrolor obezbeđuje da obrađivač vrši odgovarajuće bezbednosne mere za

podatke koje treba obraditi. Strogo je preporučeno da se izaberu obrađivač


Strana 22 / 29

Ova uredba DAZLP o bezbednosti podataka takođe uzima u obzir savremenu obradu

podataka sa realnim povećanjem tendencije podobrade:

Inače, što je veći i profesionalnije obrađivač, više teži ugovaranje, npr. njegove

sporedne aktivnosti obrade poslovnih podataka (npr. poštanska aktivnost,

unos podataka itd)

Bilo bi nerealno i ekonomski škodljivo da se jednostavno zabrane ovakve

aktivnosti.

Zapamtite:

U slučaju ugovora o ugovaranje ne treba biti kompromisa o nivou bezbednosti – spuštanjem

niže od toga što je dogovoreno između kontrolora i ugovorene kompanije.


Strana 23 / 29

7 Dobri saveti kako voditi dokumentaciju vezanu za obradu i

sigurnost podataka

Održavanje dokumenata u vezi bezbednosti je jedan od najvećih izazova za SZP, čak

i u slučajevima kada on/ona da delegira ovaj posao između stranaka koje sarađuju i

ograniči njegovu/njenu pravu ulogu samo na nadgledanje. Ovo je posebno tačno

ako su oni koji su imenovani kao SZP obično preopterećeni

7.1 Vođenje evidencije svih sistema arhiviranja i IT sistema Ažuriranje dokumentacije svih protoka obrade u instituciji (danas to prolazi kroz

stalne promene) je vrlo često tretirano kao zadatak sekundarnog prioriteta, u nekim

slučajevima čak i zapostavljen. Da bi SZP uspešno funkcionisao u takvom okruženju,

stroga je metodološka disciplina pristupa neophodna što je navedeno u nastavku. To

izgleda prosto i treba biti prikazano kao takvo da se ne bi otuđile potencijalne stranke

koje sarađuju. To zahteva postavljanje PUPD Demingovog kruga (Planiraj – Učini –

Proveri – Deluj) na sledećim koracima:

Prepoznati “poslovne procese” uključujući obradu ličnih podataka

Prepoznati kategorije ličnih podataka koje su trenutno u procesu

Uspostaviti posebne procedure za osetljive podatke (predprovera, veze itd)

Pronaći sve forme ručne obrade (na bazi papira)

Documentovanje svih vaših nalaza stvaranjem stvarnih datoteka (kataloga):

o Sistema arhiviranja

o Sistema IT obrade

o Procesa obrade koji su samo ručni

o Tokova obrade

Praćenje procedura – preciziranje vaših nalaza, uspostavljanje procedura

ažuriranja.

7.2 Prepoznavanja “poslovnih obrada” koje uključuju obradu ličnih podataka Termin “poslovna obrada” se uopšteno koristi u funkcionalnoj analizi informativnog

procesa. Sama svrha ove obrade je da struktuira sve obrade obavljene od strane

Obrađivaca ili Kontrolora u okviru dosledne saradnje tokova obrade – svaki od ovih

tokova je sam po sebi obrada. U slučaju veće institucije, celokupna struktura obrade

može biti prilično složena. U cilju održavanja nastalih opisa razumljivim, set

hijerarhijske strukture drveća je predložen. To bi trebalo da bude razumljivo, posebno

kada je preduslov delegiranje dela za održavanje zaliha koji su odgovorni u

“prirodnom” smislu – npr. u skladu sa podelom rada u okviru Obrađivača ili

Kontrolora. Ne postoje pravne obaveze kako tačno ovi repozitorijumi treba da

izgledaju, izuzev obaveznih (minimalnih) struktura sistema arhiviranja koji se naziva


Strana 24 / 29

katalog. Presudni kriterijum koliko datoteka PDF treba imati da se nadzorni zadatak

SZP učini što lakšim, čime se izbegavaju neželjeni viškovi i dupriranje.

U nastavku su prosta pravila za prepoznavanje “poslovne obrade”:

Prostudiraj sve dostupne seektore specifičnih zakona interne dokumentacija

Obrađivača ili Kontrolora propisane zakonom: to opisuje kako zakonom

propisani zadaci treba da budu obavljeni. Iz ovoga možete izvući informacije

sredstava potrebnih za postizanje ovih zadataka.

Odnosite se prema ovim zakonom propisanim zadacima kao dobar pokretač

početne liste „poslovne obrade”.

Prepoznajte “vlasnike” (ovlašćena lica, glavne aktere itd) koji odlučuju o ovim

obradama za svaki zadatak propisan zakonom: zatražite pomoć kadrovske

službe i IKT.

Probnađite takođe i one koji su odgovorni za alate obrade – posebno je važno

u slučaju da nisu isti kao i “vlasnici” ovih zadataka. To se dešava kada se ne

nalaze u sektoru IKT, nažalost.

Uzimajući u obzir ove pronalaske prebacite listu zadataka i alata IKT u listu

obrada koje se ne preklapaju. Ako ste vi advokat koji nije upoznat sa

rasporedom IKT, zatražite pomoć od IKT.

Usavršite listu obrade podelom na sledeće celine, u skladu sa sledećim kriterijumima:

Svaki od njih treba da ima karakterističnu svrhu (ili doslednu grupu svrha)

njihovih obrada.

Dometi obrade podataka i IT alati se mogu preklapati, iako obim preklapanja

treba biti sveden na minimum.

Ponavljajte ove aktivnosti dok ne završite sa maksimalno 3-10 tipičnih obrada.

Delatno ograničenje obrada je savetovano iz cisto upravnih razloga – svaki opis

održavanja obrade je u vezi sa nekom količinom posla, i ova količina posla

može biti prilična. Takođe je vredno ograničavanje brojeva obrada da se učini

da ovaj opis bude dosledan sa mogućnošću nadolazeće analize

kritičnihpobrada dok se priprema nastavni plan posla.


Strana 25 / 29

7.3 Prepoznavanje kategorije da je lični podatak u obradi, davajući poseban tretman

osetljivim podacima

Ovaj je zadatak ključan za kompletiranje inventara koji u toku određuje svu svoju

buduću primenu kao pouzdan alat za predstojeću proveru usklađenosti. Nakon

identifikovanja ukupnog obima podataka u obradi, preispitajte vaše nalaze da bi

pronašli obrade u kojima se obrađuju „osetljivi” podaci. Ako su deo šireg toka obrade,

možete razmotriti preuzimanje iz takvog potoka i odvojiti ih. Glavni razlog da se ovo

učini je da su „osetljivi” podaci predmet mnogih ograničenja obrade i dodatnih

bezbednosnih mera. Dakle, moglo bi biti korisno (čisto sa tačke gledišta upravljanja)

imati ih kao pojedinačne izdvojenje tokove obrade, i mozda takođe – posebne sisteme

arhiviranja. To takođe uprošćuje dolazeće revizije, inspekcije i takođe je u službi

DAZLP i pretrage nosioca podataka. Srećom, Zakon o zaštiti podataka Kosova izričito

traži odgovarajuće “etiketiranje” takvih podataka kako bi se lako razlikovali od

"običnih" ličnih podataka. Uredba o bezbednosti podataka izričito predviđa različite

skupove dodatnih bezbednosnih odredbi takvih podataka, kako za automatsku tako

i za ručnu obradu. Jedna od najvažnijih smernica je zabrana obrade osetljivih

podataka na prenosnim medijima, osim u vanrednim situacijama (koji u toku treba

posebno servisirati i dokumentovati).

7.4 Praćenje svih oblika ručne obrade (pismena forma)

Glavne forme ručne obrade su:

Upravljanje arhivama informacijama koje su samo na papirima (kada je sav

unos i izlaz obrade podataka izvršen ručno)

Upravljanje arhivama koje su zasnovane na papirima, uključujući i one

odštampane koji se dodatno ručno obrađuju (potpisane itd)

Unosi podataka sa dokumenata na papiru u IKT sistem

Konvencionalna pošta.

Ima još nekih forma obrade korišćenjem podataka na papiru koje bi mogle biti

smatrane automatskim, i dobar su primer štampanih primeraka koji su kasnije fizički

uništeni nakon što su prethodno iskorišćeni u neelektonskom obliku obrade.

Uredba o bezbednosti podataka predviđa i niz dodatnih bezbednosnih mera visoko

rizičnih javnih i privatnih organa koji su usmereni na sprečavanje curenja podataka

takvih dokumenata i pomažu lakšem pratćenju počinioca. Najznačajniji su zahtevi za

centralno upravljanje svim štampačima i primena vodenih žigova identifikujući

izvore/izdavaoce na svakom primerku odštampanog primerka. Praćenje svih oblika

ručne obrade pomaže otkrivanju takvih neusaglašenosti kao uvođenje lokalnih

štampača, bez informisanja IKT. Ovakvi događaji otkrivaju novu rupu u zakonu: u


Strana 26 / 29

upravljanju pravima pristupa: običnom korisniku bilo kog IKT sistema će biti

zabranjeno instaliranje bilo kog novog hardvera.

7.5 Prateća dokumentacija

Dokumentovanje svih svojih nalaza stvaranjem stvarne arhive je sledeći logičan

korak. Ne postoji nikakva obavezna forma za takvu dokumentaciju (osim struktura

kataloga za svaki sistem arhiviranja ličnih podataka). Ipak, veoma je važno da ova

dokumentacija mora da se održava na odgovoran način (tako da zahteva neke

"promene sistem upravljanja" - to označava kontrolu verzija u svom

najjednostavnijem obliku). Takođe bi trebalo da bude u obliku koji se može uspešno

saopštiti onima koji su uključeni u snabdevanje potrebnim informacijama, i koristiti u

razne druge svrhe (revizija, obrada podataka, razvoj aplikacija itd). Dakle, elektronska

forma je praktično jedini izbor.

Po završetku gore navedenih aktivnosti, sada svaki tok obrade može biti opisan

terminom katalog sistema arhiviranja ličnih podataka, kako uspešno identifikovati

svaki od ovih tokova obrade:

Pravna osnova za te obrade (izdvojeno u “osetljive” i “neosetljive” kategorije

ličnih podataka)

Svrha(e) ovih obrada

Opseg obrade ličnih podataka (opseg podataka)

Periodi obrade (periodi zadržavanja podataka)

IKT alat korišćen u ovim obradama

Kome podaci treba i/ili mogu biti prikazani, uključujući i međunarodni

transfer.

Imajući to u vidu, dve arhive (i njihov opis internog povezivanja) mogu sada biti

sačinjene:

Arhiva sistema arhiviranja ličnih podataka (katalozi): lista svih sistema

arhiviranja ličnih podataka, da bude ažurirana

Arhiva (registar) sistema IKT korišćena radi njihove obrade, takođe treba da

bude ažurirana.

To daje neophodne unose za registar operacija obrade – još jedna arhiva SZP treba biti

održavana (obavezno za javna tela).


Strana 27 / 29

7.6 Važne smernice za SZP tokom dizajniranja inventara sistema arhiviranja ličnih

podataka (kataloga) Takav inventar jeste lista koja sadrži opisane delove o kojima smo već govorili,

izmenjena svim neophodnim objašnjenjima. Njegova tehnička forma je slobodnog

izbora, u velikim organizacijama to će rezultirati vrstom baze podataka radi lakše

pretrage da se pronađu i povežu procesi, sistemi, operativni procesi, odgovornosti

(“vlasnici poslovne obrade”) itd. Najvažnije, takva lista sistema arhiviranja svih ličnih

podataka treba biti ažurirana – svaka savremena obrada podataka Obrađivača ili

Kontrolora prolazi kroz trajne promene raznih umetnosti i službenici se ohrabruju da

budu kreativni, što nije obavezno u skladu sa strogom disciplinom, i spremnosti da se

zabeleži svaka promena posebno.

Njegova struktura i “granularnost” (koliko sistema arhiviranja ličnih podataka treba

da bude kreirano, kakva im je struktura i odnos jednog sa drugim itd) nije predviđeno

zakonom, što ga čini dovoljno fleksibilnim da odgovara svim specifičnim uslovima

obrade podataka. Može da postoji jedan sistem arhiviranja ličnih podataka kod

Kontrolora obrade podataka, koji pokriva sve njegove obrade ličnih podataka, alit:

To čini inventar sistema arhiviranja ličnih podataka (kataloga) jako prostim

(prednost).

To moze učiniti nadzor manje odgovornom (mana).

To mođe da oteža ili čak praktično onemogići raspodelu nekih obaveza u vezi

njegovog održavanja pravim “vlasnicima poslovne obrade”.

Ako su “osetljivi” podaci takođe obrađeni, to čini još težim režime zaštite

“neosetljivih” i “osetljivih” podataka koji predstavljaju dve različite kategorije

postavljenje u istom sistemu arhiviranja.

Zapamtite- Preporučljivo je da imate više sistema arhiviranja u inventaru, podeljen na

taj način da najprostije i njaodgovornije odrazi organizacione podele, istovremeno

upoštavajući premeštanje bezbednosnih odgovornosti. Trebalo bi da bude

sinhronizovano u opsegu obrade izvršene od strane jednog ili više saradnih sistema

IKT, opsluživanjem karakterističnih obrada (kadrovska služba i uprava isplata,

prodaja, marketinga itd). Takođe je jako dobra ideja da se jasno izdvoji ručna

obrada(e) korišćenjem samo dokumenata, papirologije.


Strana 28 / 29

7.7 Prateće procedure – usavršavanje nalaza, uspostavljanje procedura ažuriranja za

sve prateće dokumentacije Veliki izazov SZP je održavanje svih ovih arhiva ažuriranih. Ukoliko su neki delovi

zadatka održavanja podeljeni (npr. da IT sektor ima ažuriranu listu sistema IKT

korišćenu za obradu ličnih podataka), svi ostali odgovorni bi trebali da nastave na isti,

prethodno dogovoreni, način.

Najpreporučenija aktivnost je, da se informišu na vreme i precizno, da se pobrinu za

dobru saradnju sa svim kritičnim zainteresovanim strankama:

“Vlasnici poslovne obrade”

Kadrovska služba

IKT

Interni revizor, inspekcija ili saglasnost (ukoliko postoji).

U nastavku mođete pronaći korisne preporuke kako učiniti ove stvari lakšim i

razumljivijim za upravljanje.

Preporučena forma za održavanje svih arhiva: elektronski.

Za internu upotrebu možete koristiti prihvaćenu verziju registacionog oblika

sistema arhiviranja DAZLP. Nema potrebe da sve bude na papiru! Uvek

možete držati neke kopije na papiru (npr. štampane primerke elektronskog

registra) ako mislite da će to pozitivno dopineti zadatku ili je obavezno iz nekog

drugog razloga.

U slučaju da interna procedura zahteva pisanu formu takve dokumentacije

(npr. za kadrovsku službu prateći dokumenti u formi na papiru):

Skenirajte poslednji potpisani dokumenat

Sačuvajte skenirano u elektronskoj arhivi

Obeležite ga u arhivi da bi ste bili u stanju da lakše pronađete manifest i u

pisanoj i u elektronskoj formi)

Ostavite dokument na papiru na fizički bezbednom mestu – samo za

skladištenje i moguće pravnu upotrebu uslova koji zahtevaju pismenu formu,

ne za svakodnevnu upotrebu.

Dizajnirajte, primenite i koristite podsetnik za vas:

Očekivani datum isteka zadržanog podatka

Zahtevani/dogovoreni datumi ažuriranja


Strana 29 / 29

Zahtevani/dogovoreni datumi pregleda

Čak iako se opšta procedura inernog revizora ne odnosi na vas direktno:

Vršite svoje interne preglede i zavedite ih

Pitajte upravu Obrađivača ili Kontrolora da unese saglasost zaštite ličnih

podataka u zvanični potpuni plan revizije.

Documents

Priručnik “O smernicama za sprovođenje zakonodavstva za ... fileDržavna agencija za zaštitu ličnih podataka Strana 3 / 29 1 BEZBEDNOST LIČNIH PODATAKA - OSNOVNI KONCEPTI, ZAKONSKE