Zaštita podataka o ličnosti – Deo 1: Mapiranje podataka
Blog - srpski

Zaštita podataka o ličnosti – Deo 1: Mapiranje podataka

Iako je novi Zakon o zaštiti podataka o ličnosti ostavio rok od devet meseci od dana stupanja na snagu do dana početka primene, mnogi su taj 22. avgust 2019. godine dočekali nespremni. Što zbog nerazumevanja novina u oblasti zaštite podataka, što zbog često zastupljenog načina usklađivanja poslovanja usvajanjem „templejtiranih“ akata odnosno modela ili pelcera koje je neko jednom pripremio i koji se prepisuju pod parolom „ma samo izmeni ime firme i dovoljno je“, to je teško utvrditi koliko je rukovalaca i obrađivača za ovih 6 meseci primene zakona stvarno uskladilo obradu podataka sa važećim propisima. Jedan od problema sa usaglašavanjem obrade podataka jeste u tome što svaki rukovalac i obrađivač zahteva unikatan pristup regulisanju obrade podataka pa je tako i prostor za primenu modela ili pelcera sveden na minimum. Kao što modeli akata nisu uvek odgovarajući tako ne postoji ni neki univerzalni postupak usklađivanja obrade podataka sa novim Zakonom. Međutim, neki koraci se mogu izvesti kao zajednički i kao dobar put ka sveobuhvatnom sagledavanju i regulisanju postupka obrade podataka kod svakog pojedinačnog rukovaoca ili obrađivača a koji će biti objašnjeni u ovoj seriji članaka o zaštiti podataka o ličnosti.

Prvi korak ka usklađivanju procesa obrade podataka o ličnosti sa Zakonom o zaštiti podataka o ličnosti predstavlja takozvano mapiranje podataka. Mapiranje je postupak kojim se kod konkretnog rukovaoca utvrđuje koji se podaci obrađuju, iz kojeg razloga, na koji način, za koje vreme, koje su mere zaštite, interna hijerarhija pristupa podacima kao i druge informacije koje su potrebne da se stvori kompletna slika o tome šta rukovalac radi sa podacima o ličnosti. Mapa podataka predstavlja polaznu osnovu za svaku dalju radnju i ukoliko ona nije kompletna ili uopšte nije pravljena postoji veliki rizik da svi naknadni akti neće biti adekvatni. Ukoliko se pristupi izradi akata bez mape podataka postoji veliki rizik da se previdi određeni aspekt obrade i jednostavno ispusti iz postupka regulisanja obrade podataka, naročito u situacijama gde se obrada podataka vrši već neko vreme a do sada nisu bili propisani postupci redovnog proveravanja i brisanja nepotrebnih podataka iz baza podataka. Zbog toga je ovaj prvi korak možda i najzahtevniji poduhvat, naročito kod rukovaoca koji imaju dosta razgranatu unutrašnju organizaciju ili koji obrađuju veliku količinu podataka o ličnosti.

Prva prepreka na putu kreiranja mape podataka jeste shvatiti šta sve zapravo predstavlja podatak o ličnosti. Definiciju podatka o ličnosti datu u zakonu ne tumači svako na isti način, te je često za adekvatno određivanje da li određeni podatak predstavlja podatak o ličnosti ili ne potrebno da lice ima određenog iskustva u oblasti zaštite podataka. Još veću nesigurnost unosi i to što jedan isti podatak u određenom kontekstu može da predstavlja podataka o ličnosti a u drugom ne. Možda najbolji primer je različito tumačenje toga da li poslovna e-mail adresa predstavlja podatak o ličnosti o čemu sam često čuo različita mišljenja čak i od ljudi koji se bave zaštitom podataka (inače, da, poslovna e-mail adresa ukoliko u sebi sadrži identifikacioni podatak, kao na primer ime, sama po sebi predstavlja podatak o ličnosti, a u drugim slučajevima u zavisnosti od konkretnih okolnosti). Postoje različiti načini prevazilaženja ovog problema koji se primenjuju i prilagođavaju svakom pojedinačnom rukovaocu i obrađivaču u zavisnosti od procene lica koje radi na regulisanju obrade podataka. Međutim, ono što je ključno je da se kod svih lica koja dolaze u kontakt sa podacima o ličnosti stvori jasna slika i razumevanje onoga što čini podatak o ličnosti kako pravila o obradi podataka, kojih će u krajnjem ta lica da se pridržavaju, ne bi ostala samo mrtvo slovo na papiru.

Mapa podataka je osnova na kojoj se baziraju svi ostali akti koji regulišu obradu podataka jer bez svesti o tome koji podaci o ličnosti se obrađuju ne može se ni regulisati njihova obrada. Preskakanje ovog koraka bilo bi ravno gradnji zgrade bez projekta. Takođe treba imati u vidu da je mapa podataka, kao uostalom i drugi akti iz oblasti zaštite podataka, „živ“ akt koji bi trebalo da se revidira svaki put kada dođe do promene u načinu na koji se podaci obrađuju.