Društvo| IT| Ljudska prava| Nauka| Tehnologija

Novi zakon za zaštitu podataka u EU

Dragan Pleskonjic RSS / 01.06.2012. u 12:13

U evropskoj stručnoj javnosti koja se bavi informacionom bezbednošću, zaštitom podataka, problemima privatnosti i pravnim aspektima ovih oblasti, je veoma živo u proteklih nekoliko meseci. U toku je priprema novog zakona o zaštiti podataka, koji treba da bude nadogradnja onog donesenog 1995. godine. Novi evropski zakon za zaštitu podataka bi trebao da važi na teritoriji cele EU (engl. European Data Protection Act) i da objedini neke od sada različitih zakona u pojedinim zemljama U medijima, na konferencijama, po kuloarima, dosta je razgovora na temu predloženih odredaba ovog akta. Ima i dosta glasina, pa i značajnih nejasnoća kako će neki praktični problemi biti rešavani u stvarnom svetu.

Nakon dosta rada na konsultacijama i razradi predloga EU Data Protection Acta, on se pojavio na nekim web sajtovima pred kraj 2011. godine i potvrdio različite spekulacije, koje su prethodno cirkulisale u javnosti.

Već se sada vidi da ovakav konsolidovani European Data Protection Act, može da podeli i polarizuje ljude u nekoliko grupa:

1. Oni koji su zabrinuti za privatnost stanovnika i žele više ograničenja i strožije sankcije.

2. Oni koji su zabrinuti zbog uticaja i cene koštanja za firme i organizacije i koji žele manje ograničenja i niže sankcije.

3. Oni koji treba da prevedu i sprovedu ovaj zakon i ne žele da on postane još jedan zakon o ljudskim pravima. Oni žele jednostavan i koherentan akt koji može lako da se sprovede "bez stalne magle koju proizvode advokati koji mute vodu." (Napomena: ovo je citat izjave jednog kolege). :)

4. Oni stanovnici - građani koji uglavnom nemaju pojma šta se dešava u njihovo ime i njih je preko 500 miliona.

Ipak, iako će mnogima zadati povelike glavobolje, pogotovu onima nesvesnim problematike privatnosti i osetljivosti curenja ličnih podataka, ovaj zakon ide u dobrom smeru.

 

Neke od ključnih odredbi99825808-617x416.jpg

Evo nekoliko značajnih i zanimljivih odredbi ovog zakona:

• Sve firme i organizacije sa preko 250 zaposlenih treba da imaju službenika zaduženog za zaštitu podataka (engl. Data Protection Officer).
• Obavezno obaveštavanje o curenju podataka tj. upadu koji je narušio sigurnost i privatnost i to u roku od 24 sata.
• Kazne koje mogu biti i do 2% od ukupnog godišnjeg obrta (pazite: ne prihoda nego ukupnog globalnog obrta) firme za određene propuste i prekršaje
• Ako se lični podaci tj. Personally Identifiable Information (PII), koji se odnose na stanovnika EU, šalju izvan granica EU, lokalni Data Protection Authority (DPA) mora da bude informisan. U slučaju naše zemlje i da smo u EU, to bi verovatno bio naš blogokolega Šabić tj. institucija Poverenika.

Mnoge odredbe će sigurno biti i dalje predmet analiza i možda sporova, kao što su „pravo da bude zaboravljen (engl. right to be forgotten)" i „svako preduzeće koje ima preko 250 zaposlenih treba da ima službenika zaduženog za zaštitu podataka (engl. Data Protection Officer)".

Lični podaci (Personally Identifiable Information, PII) će najverovatnije uključivati i:

• Lične podatke kao što su datumi rođenja, lični brojevi, podaci o adresama i slično već poznato
• Podatke o bankovnim računima i detalje vezane za njih
• Podatke o kreditnim karticama i vlasnicima
• IP adrese

Firme će morati da se pobrinu da:

• Imaju tj. poštuju i slede „Privacy / Data Protection by Design" što znači da, u vreme projektovanja i izgradnje tj. razvoja, privatnost i zaštita treba da budu na listi obaveznih zahteva i traženih ishoda.

• „Data Protection by default" - što bi značilo da svi sistemi treba da budu u startu postavljeni tako da budu što je moguće bezbedniji i zaštićeniji u svojoj osnovnoj konfiguraciji, a parametri sistema da to obezbede.

• Sve firme moraju da sprovedu „Privacy / Data Protection Impact Assessment", što znači da imaju dokumentovan proces za procenu rizika i uticaja na lične podatke (PII) i da budu sposobne da pokažu da su najmanje jednom godišnje uradile procenu i korake da umanje rizik.

data-breach-laws.jpgRazvija se prilična debata u stručnim krugovima o problemu Privacy by Design. Ovo će verovatno biti jasnije precizirano, sa pravne strane, jednom kada finalni predlog zakona dođe na usvajanje. Međutim, jasno je da organizacije i firme moraju da razumeju i budu odgovorne u obrazloženju i primeni:

• Zašto im trebaju određeni podaci
• Šta će da urade sa tim podacima
• Kako nameravaju da ih obrađuju
• Koje mere zaštite se zahtevaju
• Ko upravlja procesom

Firme će morati da se pobrinu i o problemima čuvanja, obrade i prenosa podataka, tj. da veoma razmišljaju o stvarima kao što su:

• Šta se radi sa podacima, kako se čuvaju, obrađuju i prenose
• Kako su obezbeđeni
• Kako se sprečavaju prevare (engl. fraud) i krađa identiteta (engl. identity theft)

Definisani su i neki od propusta koji mogu dovesti do kazne. Primera radi, to mogu biti:

• Propuštanje da se imenuje službenik odgovoran za zaštitu (engl. Data Protection Officer)
• Neautorizovan internacionalni prenos podataka
• Propuštanje da se sprovede Privacy / Data Protection Impact Assessment

Kazne su na sledećoj skali:

• 0.5% globalnog obrta ili €250,000
• 1.0% globalnog obrta ili €500,000
• 2% of globalnog obrta ili €1 million

Minimalna cifra trenutno nije poznata.

Novi EU Data Protection Act je obavezan za sve organizacije. U dodatku se kaže: "The new EU Data Protection Act will be compulsory for all organisations except for Law Enforcement, who will operate under a European Commission "directive". The Directive is designed to allow for faster and easier transfer of data and joined up policing across the member states." - Ovaj deo ne bih prevodio jer nisam baš siguran da ću biti precizan.

 

Nekoliko dilema

Već se pojavio priličan broj dilema u pogledu odredbi i sprovođenja ovog evropskog zakona. U stručnim krugovima ima dosta rasprava. Nabrojaću neke od njih i dati malo detalja.

Rok od 24 sata za obaveštavanje. Predlog zakona zahteva da službenici za zaštitu podataka u firmama i organizacijama moraju da obaveste DPA (Data Protection Authority) u roku od 24 sata u slučaju curenja ili provale u podatke. Međutim, to ponekad može biti teško sprovodivo u praksi. Naime, nekad podaci mogu da budu ugroženi, provaljeni i cure mesecima, pa čak i godinama, pre nego se to otkrije. Kada se otkrije i uradi forenzička analiza, pa se sazna kada je curenje nastupilo, onda sledi dokazivanje da li je organizacija bila svesna toga i prikrivala ili ne.

Pravo da neko bude „zaboravljen". Pod određenim uslovima neko može tražiti da bude zaboravljen, tj. da njegovi podaci budu uklonjeni iz baze i sa svih sistema odrešene firme ili organizacije. Međutim, ponekad to pravo može biti upitno. Primera radi:
• Ima li neko sa lošom kreditnom istorijom pravo da „poništi" tu prošlost?
• Ako neko izazove štetu koja je naplaćena od njegovog osiguranja, ima li pravo da to „obriše" i traži bonus kao da se ništa nije desilo
• U slučaju zaposlenih u firmi, šta od njihovih podataka iz prošlosti mora biti sačuvano, a za šta mogu tražiti da se briše
• Itd.

Uticaj na Data Protection Authority (DPA). U različitim zemljama ova funkcija se različito zove. U Velikoj Britaniji to je Information Commissioner i njegova kancelarija je imala 30.000 različitih žalbi prošle godine. Ove izmene bi broj žalbi i problema mogle višestruko uvećati. To znači da će biti puno više posla i potrebno mnogo više službenika.

Sigurno je i kod nas takav slučaj, a gospodin Šabić i njegova institucija su veoma zaposleni brojnim slučajevima kod nas. Tekstovi koje on piše na ovom blogu su dragoceni sa više aspekata, kao i posao koji on radi.

Problem velikih internacionalnih firmi i organizacija. Postoje firme koje rade u mnogim jurisdikcijama i čiji je to prirodni način poslovanja. Primera radi, da li firma locirana u EU, koja ima svoj centar za pomoć kosrinicima na Filipinima ili u Indiji može da funkcioniše, kada ljudi zaposleni na u tom centru gledaju stalno podatke njenih klijenata kojima pomažu kroz različite vrste CRM softvera. Slično važi i za softverske firme koje imaju svoju podršku u Srbiji. Broj ovakvih varijanti je veliki.

Prihodi i troškovi. U pratećim materijalima i analizama efekata ovog zakona, zagovornici se ne libe da pomenu da će kazne pripomoći punjenju budžeta. U isto vreme se smatra da će firme imati koristi jer, poslujući na isti način u svim zemljama EU po istom propisu, mnoge stvari će biti lakše i efikasnije u pogledu utroška vremena i sredstava. Međutim, firmama koje rade u jednoj ili svega par zemalja ovo je dodatni teret, utrošak vremena i novca.

Nova radna mesta. Pominje se da će sprovođenje ovog zakona doneti nova radna mesta u EU. Frimama i organizacijama će trebati ljudi koji razumeju ovu oblast.

I moglo bi se nabrajati još...

 

Kada će zakon početi da važi?

Kako sada stvari stoje, velika je verovatnoća da će European wide Data Protection Act biti usvojen i proglašen zakonom tokom 2012. godine. Zahtev da firme usklade svoje poslovanje sa ovim zakonom bi, u tom slučaju važio od 2014. Kako god, firme i organizacije treba da budu ovoga svesne i da počnu razvoj planova i procedura za privatnost i zaštitu podataka što pre tj. odmah.

 

Koristan link:

Proposal for a
REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
on the protection of individuals with regard to the processing of personal data and on
the free movement of such data (General Data Protection Regulation) 

 

Beleška na margini_58094665_jex_1300619_de27-1.jpg

Komesar EU za pravosuđe Vivijen Reding (Viviane Reding), je ovim povodom izjavila:

"17 years ago less than 1% of Europeans used the internet. Today, vast amounts of personal data are transferred and exchanged, across continents and around the globe in fractions of seconds,"

"The protection of personal data is a fundamental right for all Europeans, but citizens do not always feel in full control of their personal data. My proposals will help build trust in online services because people will be better informed about their rights and in more control of their information. The reform will accomplish this while making life easier and less costly for businesses. A strong, clear and uniform legal framework at EU level will help to unleash the potential of the Digital Single Market and foster economic growth, innovation and job creation."

Ostavljam njenu izjavu u originalu, da se nešto ne bi izgubilo u prevodu. Vivijen Reding je takođe izjavila da veruje da će ovaj novi zakon uštedeti evropskim firmama 2.3 biliona eura, dok će u isto vreme zaštititi privatnost stanovnika EU.

AtačmentiKomentari (18)

Komentare je moguće postavljati samo u prvih 7 dana, nakon čega se blog automatski zaključava

uros_vozdovac uros_vozdovac 13:08 01.06.2012

Ako dođe do nas

biće zabavno. U gužvi sam neviđenoj pišem opširnije večeras.
antioksidant antioksidant 13:15 01.06.2012

Re: Ako dođe do nas

17 years ago less than 1% of Europeans used the internet

da primetim da je pre 50 godina broj evropljana koji koriste internet bio jos manji
Freedom of Information Freedom of Information 13:09 01.06.2012

Bolja zaštita podataka

Veoma je dobro što bolja zaštita podataka o ličnosti postaje sve aktuelnija.I to ne samo u okviru EU nego i u širim relacijama.Ovog leta će gotovo sigurno biti utvrđen i odgovarajući predlog za inoviranje Konvencije 108 SE o zaštiti lica u odnosu na automatsku obradu ličnih podataka,fundamentalnog dokumenta u ovoj oblatsti.

A veoma je loše što u Srbiji,gde inače ozbiljno zaostajemo i iza starih standarda, taj trend,i pored stalnih upozorenja poverenika za zaštitu podataka o ličnosti, ne "registruje" i ne razume.

A za post kao i obično - preporuka.Pozdrav,
Dragan Pleskonjic Dragan Pleskonjic 14:00 01.06.2012

Re: Bolja zaštita podataka

Freedom of Information
A za post kao i obično - preporuka.Pozdrav,

Hvala. Preporuka puno znači, pogotovu kad dolazi od Vas.
nesha92 nesha92 14:23 01.06.2012

pitanje autoru

S obzirom na duzinu clanka postavljenog ( stvarno ne mogu da citam sve i najlepse hvala na skracenoj verziji :) ) na linku pitam se:
1) Da li ce ISO27000 standard postati obaveza firmi pri radu sa personalim podacima
2) Ukoliko ne da li ISO27000 sertifikat "pokriva" sve sto je predvidjeno ovim izmenama

Unapred hvala
Dragan Pleskonjic Dragan Pleskonjic 14:44 01.06.2012

Re: pitanje autoru

nesha92
S obzirom na duzinu clanka postavljenog ( stvarno ne mogu da citam sve i najlepse hvala na skracenoj verziji :) ) na linku pitam se:
1) Da li ce ISO27000 standard postati obaveza firmi pri radu sa personalim podacima


Verovatno formalno neće, ako to nije ušlo u regulativu. Ali, u praksi, to će mnogi sve češće i sve više zahtevati. U nekim zemljama je to već postala praksa i tamo ne možete raditi sa državnim organima i institucijama kao ni sa nekim PLC, pa i drugim firmama, ako niste ISO 27001 sertifikovani.

Sledi dodatno objašnjenje u odgovoru na pitanje:

2) Ukoliko ne da li ISO27000 sertifikat "pokriva" sve sto je predvidjeno ovim izmenama


U ISO/IEC 27001:2005 standardu se kaže:

4.2 Establishing and managing the ISMS
4.2.1 Establish the ISMS
The organization shall do the following.

b) Define an ISMS policy in terms of the characteristics of the business, the organization, its location, assets and technology that:

2) takes into account business and legal or regulatory requirements, and contractual security obligations;


Kada EU Data Protection Act bude usvojen, onda on postaje "legal or regulatory requirement" za sve one na koje se odnosi, pa se neće moći proći audit za standard, ako sistem nije usaglašen sa DPA.

ISO 27001 je baziran na proceni rizika, a auditor treba da proceni i odluči da li je ovaj postupak sproveden ispravno i iscrpno.

Po meni i baš zato, kada DPA postane EU zakon, onda bez DPA primene nemožete dobiti ISO 27001 sertifikat (ako ste u EU).

P.S. To je moje mišljenje, ali možda ima kolega koji se neće složiti i koji će davati "prolaz" i bez toga. :)

Unapred hvala


Nema na čemu, dobrodošli.
Goran Vučković Goran Vučković 14:34 01.06.2012

IP adresa

IP adresa kao lični podatak? Ne zvuči baš najlogičnije (ako nije isporučeno uz neki "pravi" lični podatak) - posebno kod mobilnih uređaja...
Dragan Pleskonjic Dragan Pleskonjic 14:46 01.06.2012

Re: IP adresa

Goran Vučković
IP adresa kao lični podatak? Ne zvuči baš najlogičnije (ako nije isporučeno uz neki "pravi" lični podatak) - posebno kod mobilnih uređaja...


Ovako kažu tamo u predlogu akta:

When using online services, individuals are associated with online identifiers provided by their devices, applications, tools and protocols, such as Internet Protocol addresses or cookie identifiers. Since this leave traces which, combined with unique identifiers and other information received by the servers, can be used to create profiles of the individuals and identify them, this Regulation should be applicable to processing involving such data.
nesha92 nesha92 15:15 01.06.2012

Re: IP adresa

When using online services, individuals are associated with online identifiers provided by their devices, applications, tools and protocols, such as Internet Protocol addresses or cookie identifiers.

Ovo je jako tesko tehnicki primenti s obzirom da je izuzetno lako-dostupno sakriti "identifiers".
S druge strane, "open identifiers" predstavljaju "security hole" .
Nema bas puno smisla ukoliko EU ne garantuje bezbednost interneta bar unutar clanica EU sto je samo po sebi smesno jer bi to znacilo kontrolu Interneta medju clanicama.
Posebno je interesantno kako ce se cloud tehnologija ukolopiti u ovo....
Zamislite google koji ima namenske servere samo za teritoriju EU?
Ili npr B92 sajt koji bi morao da se "bori" sa tuzbama korinika unutar EU jer su im podaci ( email adrese) uskladisteni u Poljskoj a B92 ne potpada pod DPA...
Goran Vučković Goran Vučković 15:20 01.06.2012

Re: IP adresa

Zamislite google koji ima namenske servere samo za teritoriju EU?

To mi ne izgleda teško za zamišljanje
Dragan Pleskonjic Dragan Pleskonjic 15:20 01.06.2012

Re: IP adresa

nesha92
Ovo je jako tesko tehnicki primenti s obzirom da je izuzetno lako-dostupno sakriti "identifiers".


Slažem se. Zato se i digla "velika graja" u EU i šire povodom ovog najavljenog zakona. Postoji dosta nejasnoća u pogledu mogućih tehničkih rešenja, kao i pravnog pristupa. Naveo sam u tekstu samo neke (da ne odužim tekst baš previše), a ima ih na desetine, a možda i stotine. Na mnogo mesta se diskutuje i mnogi pišu različite analize i prigovore. Videćemo kako će se stvari razvijati dalje.
noboole noboole 16:48 01.06.2012

Ovo je naslov

Nemam vremena pa sam samo projurio kroz tekst.
Pitam sa na koji nacin moze da se ostvari pravo da budes zaboravljen,
ako nema prepreke da se podaci izmeste van EU.
Dragan Pleskonjic Dragan Pleskonjic 21:48 01.06.2012

Re: Ovo je naslov

noboole
Nemam vremena pa sam samo projurio kroz tekst.
Pitam sa na koji nacin moze da se ostvari pravo da budes zaboravljen,
ako nema prepreke da se podaci izmeste van EU.


I sa i bez izmeštanja, ovo je u praksi teško ostvariti. Obrisati podatke koji se nalaze na mnogo mesta (razne arhive, backup-i, mediji, oblaci i slično) je gotovo nemoguće da se neosporno sprovede u mnogim praktičnim situacijama. Jedino što se može postići jeste da se pokuša pravnim metodama sprečiti da se takvi podaci dalje koriste i da se pokušaj upotrebe sankcioniše.

Ako neko deklariše da želi da bude zaboravljen, to verovatno ima značaj u smislu da njegovi podaci ne mogu biti više zvanično upotrebaljavani. Da li su i stvarno fizički obrisani svuda i na svakom mestu, može se samo proveriti istragom i forenzikom, ali se ne može definitivno i nepozivo dokazati da su obrisani sa svakog mogućeg mesta.
farenhajt farenhajt 23:58 01.06.2012

Dopuna

Tema je dobra i potrebno je o njoj pisati, ali ovaj tekst ima ozbiljne nedostatke.

Prvo, 1995. nije donet zakon. Doneta je direktiva (Directive 95/46/EC). Razlika je veoma značajna. Ovoga puta biće donet, ne slučajno, umesto direktive - zakon.
Uzgred, npr. u Britaniji je zakon po pomenutoj direktivi donet tek 1998, a u Francuskoj 2004.

Pominje se "dosta glasina" i "značajnih nejasnoća" bez navođenja istih.

Ključna odredba svakako nije da "Sve firme i organizacije sa preko 250 zaposlenih treba da imaju službenika zaduženog za zaštitu podataka (engl. Data Protection Officer)."
Ovo je, naravno, jedna od najmanje važnih odredbi.

Neke od ključnih odredbi su: gde god je potreban pristanak za korišćenje podataka, sada se jasno zahteva da pristanak bude dat eksplicitno a ne da se podrazumeva; umesto sadašnje obaveze organizacija da prijavljuju sve aktivnosti u vezi sa zaštitom podataka, sada se to više ne zahteva; traži se veća odgovornost organizacija; građanima se omogućava lakši pristup i prenos podataka između provajdera usluga, itd.

Obaveštavanje o bezbednosnim incidentima se propisuje kao as soon as possible, odnosno do 24h. Ovo svakako nije čudan zahtev, te nije jasno, kakav oko toga problem uopšte i može da postoji?! Bitna novina je i da je organizacija kojoj se desio incident dužna da obavesti sve čiji su podaci ukradeni.
Inače, rok od 24 h nema nikakve veze sa time što negde "podaci cure godinama"!

U vezi sa tim, nezamisliv je razlog i samog postojanja organizacije kojoj "godinama cure podaci"?! Oni koji to dozvole, svakako treba da odgovaraju za svoj nemar (ako se tako nešto uopšte može smatrati samo nemarom).

Odužih, ali i ovo je samo deo pitanja koje ovaj tekst otvara.

Iz dosadašnjeg iskustva na blogu, shvatio sam da je kritikovati prilično nepopularno. Ipak, i dalje smatram da je bolje ukazivati na nedostatke nego hvaliti.

Praktičan primer iz Srbije u vezi teme: Pre nekoliko dana u jednoj većoj banci, prilikom otvaranja računa, tražili su mi različite privatne podatke. Odbio sam da ih dam i tražio da mi pismeno obrazlože da sam ja dužan da im dam te podatke. Na kraju su mi otvorili račun bez tih podataka, i dali ugovor da potpišem u kojem stoji da sam saglasan da me je banka, u skladu sa Zakonom o zaštiti podataka o ličnosti, prethodno upoznala o obradi mojih podataka... Kada sam ovo pročitao, pitao sam službenicu da li se "seća" da ona niti jednom rečju nije pomenula isti zakon (već sam ga samo ja pominjao), a kamoli da me je upoznala sa obradom mojih podataka! Samo je ćutala.

Dakle, tema je veoma važna, naročito ovde gde su situacije kao u primeru - pravilo.
Dragan Pleskonjic Dragan Pleskonjic 10:13 02.06.2012

Re: Dopuna

farenhajt
Tema je dobra i potrebno je o njoj pisati, ali ovaj tekst ima ozbiljne nedostatke.


Svemu što se napiše, mogu se naći nedostaci.

Pominje se "dosta glasina" i "značajnih nejasnoća" bez navođenja istih.


Pisanje o glasinama i nejasnoćama bi ovaj tekst učinilo predugačkim za blog formu. Zato sam pomenuo, ali nisam ulazio u detalje.

Ključna odredba svakako nije da "Sve firme i organizacije sa preko 250 zaposlenih treba da imaju službenika zaduženog za zaštitu podataka (engl. Data Protection Officer)."
Ovo je, naravno, jedna od najmanje važnih odredbi.


Ne slažem se sa Vama. Ovo jeste jedna od značajnih i ključnih odredbi. Ona je i izazvala dosta polemika. Naravno, postoje i druge značajne stvari, ali ja sam odabrao neke od njih (lista nije iscrpna, to stoji opet zbog forme bloga). Šta je za koga značajno, nije opšta stvar, različiti ljudi različite stvari smatraju (za sebe) značajnim.

Za praksu je veoma važna, jer se imenovanjem Data Protection Officera i personalizacijom odgovornosti pokušava forsirati sprovođenje odredbi u praksi. Upravo su mnoge stvari išle loše zato što se nije znalo ko odgovara za šta.

Data Protection Officer, kada ga firma imenuje, dobija "u krilo" veliku odgovornost. Ako želi da obavlja svoj posao kako treba, onda mora da vodi računa o velikom broju stvari koje zakon propisuje. Ako to ne učini, dovodi svoju firmu u problem i suočava je sa mogućno velikom kaznom. I sebe lično dovodi u profesionalni problem.

On dalje mora da bude ključni nosilac praktičnog sprovođenja zakona u svojoj firmi / organizaciji, pa da se susreće sa revizorima, auditorima (proverivačima i ocenjivačima). Sa druge strane, da bi zaštitu podataka sproveo na pravi način, mora da misli o svim tačkama navedenim u zakonu. On će dobro razmisliti šta firma od PII skuplja, kako podatke čuva, kako ih obrađuje i prenosi. I služiće kao "savest" organizacije u tom pogledu.

Kao posledicu, slično kao što se desilo sa PCI DSS standardom, trudiće se da opseg (scope) podataka svede na najnužniju meru. Višak skupljenih podataka i preširok opseg će praviti problem, jer će morati da obezbedi zaštitu u čuvanju, prenosu, obradi itd. To ima svoju cenu u procedurama rada, hardveru, softveru, dokumentaciji, radnim satima i svemu što služi za zaštitu. Da pomenem samo nekoliko stvari od mnogobrojnih: šifrovanje, digitalno potpisivanje, tamper proof logging, time stamping, arhiviranje, segmentaciju mreže, administraciju itd.

Ako ste nekada radili na realizaciji ovih rešenja u praksi, sigurno razumete o čemu govorim i koliko ta "zabava" košta u resursima i vremenu.

Dodatni efekat ovoga je da će veliki broj firmi početi da traži pogodne osobe za ovu dužnost u svojim redovima. Ako ih nemaju, moraće da ih iškoluju ili da ih potraže izvan i prime na posao. To će povećati potražnju za stručnjacima iz oblasti informacione bezbednosti i zaštite podataka.

Neke od ključnih odredbi su: gde god je potreban pristanak za korišćenje podataka, sada se jasno zahteva da pristanak bude dat eksplicitno a ne da se podrazumeva; umesto sadašnje obaveze organizacija da prijavljuju sve aktivnosti u vezi sa zaštitom podataka, sada se to više ne zahteva; traži se veća odgovornost organizacija; građanima se omogućava lakši pristup i prenos podataka između provajdera usluga, itd.


Slažem se da su ovo takođe neke od ključnih odredbi. One su vrlo deklarativne, a organizacije i firme ih često izvrdavaju na razne načine da bi smanjile teret i troškove. Primera radi, eksplicitno traženje saglasnosti se najčešće svodi na potpis ili klik na checkbox, a da većina ne pročita šta tamo piše. Opet, ako korisnik ne prihvati uslove često, ne može da ide dalje i koristi uslugu.

Zato je značajna novina ono što sam naveo u tekstu sa „Privacy / Data Protection Impact Assessment", provera tog procesa sa strane i kazne ako se to ne uradi. Ne može se očekivati od običnog čoveka - korisnika da to zna, ali kontrola tj. stručna revizija to proverava, pa ako se ne uradi, eto problema i kazne za firmu.

Obaveštavanje o bezbednosnim incidentima se propisuje kao as soon as possible, odnosno do 24h. Ovo svakako nije čudan zahtev, te nije jasno, kakav oko toga problem uopšte i može da postoji?! Bitna novina je i da je organizacija kojoj se desio incident dužna da obavesti sve čiji su podaci ukradeni.
Inače, rok od 24 h nema nikakve veze sa time što negde "podaci cure godinama"!

U vezi sa tim, nezamisliv je razlog i samog postojanja organizacije kojoj "godinama cure podaci"?! Oni koji to dozvole, svakako treba da odgovaraju za svoj nemar (ako se tako nešto uopšte može smatrati samo nemarom).


To u teoriji lepo zvuči. U praksi: kako uopšte možete da dokažete da niste pod napadom ili da podaci koje imate u svom sistemu ne cure? Dokazati da nešto ne postoji ili da se ne dešava je vrlo teško.

Izveštavanje o tome da se incident desio može da ima mnoge scenarije, koji mu mogu prethoditi. Npr:
- incident se nije desio, ali postoji sumnja tj. lažni alarm (false positive)
- incident se desio, ali nije otkriven (false negative)
- incident se možda desio, tj. postoji sumnja, ali ispitivanje traje i po nekoliko dana dok se ne utvrde detalji i činjenice
- incident se desio, otkriven je u trenutku T1, ali organizacija je odložila izveštavanje zbog svojih razloga. Tu može da se kasnije pojavi problem kako dokazati da su znali, a da nisu na vreme obavestili
- itd, postoji bezbroj opcija.

I mala vežba: kako možete biti sigurni da sa Vašeg kućnog ili poslovnog računara upravo neko ne uzima podatke ili to ne čini već dugo vremena?

Iz dosadašnjeg iskustva na blogu, shvatio sam da je kritikovati prilično nepopularno. Ipak, i dalje smatram da je bolje ukazivati na nedostatke nego hvaliti.


Kritika služi da se stvari poboljšaju. Ako je konstruktivna, ne treba da bude nepopularna.

Praktičan primer iz Srbije u vezi teme: Pre nekoliko dana u jednoj većoj banci, prilikom otvaranja računa, tražili su mi različite privatne podatke. Odbio sam da ih dam i tražio da mi pismeno obrazlože da sam ja dužan da im dam te podatke. Na kraju su mi otvorili račun bez tih podataka, i dali ugovor da potpišem u kojem stoji da sam saglasan da me je banka, u skladu sa Zakonom o zaštiti podataka o ličnosti, prethodno upoznala o obradi mojih podataka... Kada sam ovo pročitao, pitao sam službenicu da li se "seća" da ona niti jednom rečju nije pomenula isti zakon (već sam ga samo ja pominjao), a kamoli da me je upoznala sa obradom mojih podataka! Samo je ćutala.

Dakle, tema je veoma važna, naročito ovde gde su situacije kao u primeru - pravilo.


Službenica na šalteru radi kako joj je neko "odozgo" rekao tj. napisao. Jasno je zašto se teško snalazi, kada naiđe na malo drugačijeg korisnika, koji je svestan svojih prava, kao i opasnosti. Ako bi imala iznad nekoga ko se malo bolje razume u problematiku, da mu se obrati, taj bi onda razmislio dvaput šta propisuje kao proceduru za skupljanje podataka, pre nego što je obznani i sprovede. Time bi stvari radile malo bolje. U tom smislu je postojanje DPO dobra stvar.

Inače, iz tekstova koje Poverenik piše na blogu, kao i iz komentara i neposrednog uvida, vidimo da je situacija po pitanju zaštite privatnosti u Srbiji jako loša, a i da je svest kako kod onih koji podatke skupljaju, tako i kod onih koji svoje podatke olako daju, prilično niska u tom pogledu.

Odužih, ali i ovo je samo deo pitanja koje ovaj tekst otvara.


I ja baš odužih, a moglo bi se još puno pisati o temi, jer mnoga pitanja su otvorena i to ne (samo) ovim tekstom, već sveukupnom problematikom koju ovaj zakon namerava da reguliše.

Evo na kraju i jedan link na vrlo relevatnu analizu:

Information Commissioner’s Office: initial analysis of the European Commission’s proposals for a revised data protection legislative framework
farenhajt farenhajt 15:12 02.06.2012

Re: Dopuna

Svemu što se napiše, mogu se naći nedostaci.

Na žalost. Ipak, razliku između direktive i zakona, i nacionalnih implementacija koje su i prilično kasnile, bilo je važno napomenuti.

Za praksu je veoma važna, jer se imenovanjem Data Protection Officera i personalizacijom odgovornosti pokušava forsirati sprovođenje odredbi u praksi. Upravo su mnoge stvari išle loše zato što se nije znalo ko odgovara za šta.

On će dobro razmisliti šta firma od PII skuplja, kako podatke čuva, kako ih obrađuje i prenosi. I služiće kao "savest" organizacije u tom pogledu.

Ovo nije tačno, jer bi, po Vašem, firme koje imaju manje od 250 zaposlenih, bile oslobođene odgovornosti.

Dodatni efekat ovoga je da će veliki broj firmi početi da traži pogodne osobe za ovu dužnost u svojim redovima. Ako ih nemaju, moraće da ih iškoluju ili da ih potraže izvan i prime na posao. To će povećati potražnju za stručnjacima iz oblasti informacione bezbednosti i zaštite podataka.

I do sada su postojali nacionalni zakoni koje su organizacije morale da poštuju te su imale zaposlene zadužene za ovo.
Višak skupljenih podataka i preširok opseg će praviti problem, jer će morati da obezbedi zaštitu u čuvanju, prenosu, obradi itd. To ima svoju cenu
...
Ako ste nekada radili na realizaciji ovih rešenja u praksi, sigurno razumete o čemu govorim i koliko ta "zabava" košta u resursima i vremenu.

Pre će biti da organizacije tuđe lične podatke smatraju samo sopstvenom svojinom kao instrumentom ostvarivanja profita, a bez obzira na eventualnu štetu koju mogu proizvesti drugima. Zakoni se obično, pa i ovaj, donose kada štetne posledice nedovoljnog regulisanja prevrše meru.
Firme jesu, naravno, osetljive na bilo kakvo povećanje troškova (osim, jel, povećanja plata i bonusa glavnim menadžerima), ali kada bi bilo po njihovom, ne bi bilo nikakvih zakona, zar ne?
I sami to navodite:
One su vrlo deklarativne, a organizacije i firme ih često izvrdavaju na razne načine da bi smanjile teret i troškove.

Kao što rekoh, firme smanjuju taj teret i troškove na tuđu štetu. Ne treba zaboraviti da sve te troškove ipak ne snosi firma već njeni kupci.
To u teoriji lepo zvuči. U praksi: kako uopšte možete da dokažete da niste pod napadom ili da podaci koje imate u svom sistemu ne cure? Dokazati da nešto ne postoji ili da se ne dešava je vrlo teško.

Odakle Vam da se traži dokazivanje da niste pod napadom?
ali organizacija je odložila izveštavanje zbog svojih razloga.

Evo glavnog problema - "svojih razloga"!
Razlozi su, najčešće, loša reklama i izbegavanje sankcija!
Organizacija ne može imati svoje razloge da hitno ne obavesti onoga ko će biti oštećen krađom podataka iz organizacije!
I mala vežba: kako možete biti sigurni da sa Vašeg kućnog ili poslovnog računara upravo neko ne uzima podatke ili to ne čini već dugo vremena?

Fajervolovima, skenerima, kontrolisanjem protoka, portova, logova, biranjem kanala prenosa i enkripcijom kada je potrebno, fizičkim i hijerarhijskim obezbeđenjem pristupa računarima i aplikacijama, ispitivanjem ponašanja aplikacija pa i pokretanjem sumnjivih na izolovanim računarima, brisanjem osetljivih fajlova popunjavanjem sadržaja fajla i brisanjem naziva fajla popunjavanjem starog naziva, secure erase-ovanjem hdd-ova koji se zamenjuju novom generacijom, periodičnim reinstaliranjem sistema uz reparticionisanje hdd-ova, itd.
Recimo, ustanovio sam davnih godina da Word u .doc fajlovima "ponese" i informacije koje su obrisane sa hard-diska čime, naravno, dolazi do curenja podataka (pomenuto popunjavanje fajlova pri brisanju nije zbog Word-a, ovo sam rešavao drugačije), a i da npr., program koji sigurno poznajete - FX Client za elektronsko bankarstvo, ima smešnu enkripciju baze podataka, itd.
Naravno, jasno je da apsolutna bezbednost ne postoji ni u čemu, pa ni u ovoj oblasti.
Prođoh li test?
Službenica na šalteru radi kako joj je neko "odozgo" rekao tj. napisao. Jasno je zašto se teško

Nisam hteo da dužim pa nisam napisao sve pojedinosti, a nije ni ovo sve:
Razgovarao sam i sa šefom filijale, pa su slali upit u centralu, pa sam otišao da ne bih trošio vreme, pa su me zvali da ponovo dođem, pa nisu još dobili odgovor centrale, pa su napravili službenu belešku, pa se sve to odužilo do zatvaranja banke te sam izašao posle radnog vremena na njihov službeni izlaz (za zaposlene).

Ako bi imala iznad nekoga ko se malo bolje razume u problematiku, da mu se obrati, taj bi onda

Ovo je pogrešno.
Nije problem nerazumevanje problematike (kao što to pogrešno i poverenik često tvrdi), već nepoštovanje zakona. Ne radi se ni o nepoznavanju zakona već o jednostavnoj realnosti da ih niko ne kontroliše niti kažnjava! Svaki biznis se brzo prilagođava ovakvoj situaciji.
Vidite, to bi bilo kao kada bi ste rekli da neko ne razume da je trebao da veže pojas u automobilu, jer će inače biti kažnjen.
Kada bi tako bilo, i ja bih trebalo da mogu da se branim i odbranim time da nisam znao kakve obaveze preuzimam potpisivanjem ugovora, zar ne?!
Dakle, službenike ne može da oslobodi obaveze poštovanja zakona niko, pa ni njihov nadređeni. Odvajkada se zna da nepoznavanje zakona škodi.


Inače, iz tekstova koje Poverenik piše na blogu, kao i iz komentara i neposrednog uvida, vidimo da je situacija po pitanju zaštite privatnosti u Srbiji jako loša, a i da je svest kako kod onih koji podatke skupljaju, tako i kod onih koji svoje podatke olako daju, prilično niska u tom pogledu.

Imam iskustva i od pre, kao i posle ustanovljavanja institucije poverenika i donošenja zakona koji regulišu zaštitu privatnosti kao i pristup informacijama. Situacija u Srbiji je gotovo kao da pomenuti zakoni ne postoje. Naveo sam primer iz banke u vezi sa obradom podataka o ličnosti, a evo par svežih primera u vezi sa pristupom informacijama: u Prekršajnom sudu na oglasnoj tabli piše da se zahtevi za slobodan pristup informacijama od javnog značaja podnose pismeno, dok me je u upravi grada lice zaduženo za postupanje po zahtevima, htelo da vrati da podnesem pismeni zahtev, pa je posle mog objašnjavanja zapisalo i usmeni, da bih na kraju dobio samo veoma mali deo traženih informacija, i time bio primoran da ponovim zahtev i podnesem prekršajnu prijavu.
Osam godina od stupanja na snagu zakona, ovo se ne može nazvati nerazumevanjem, zar ne? (Na kraju krajeva, mada im za razumevanje onako kratkog teksta zakona nije ni potrebno, svi pomenuti službenici bili su na savetovanjima koje organizuje poverenik, itd.)

Hvala za link, pročitah, međutim, treba imati u vidu da je ovo samo jedno viđenje, viđenje Britanaca na koje svakako utiču razlike odnosno napor koji će biti potrebno uložiti da bi se sadašnja situacija u Britaniji regulisana njihovim važećim zakonom prilagodila novom zakonu.

Dragan Pleskonjic Dragan Pleskonjic 21:31 02.06.2012

Re: Dopuna

farenhajt
Na žalost. Ipak, razliku između direktive i zakona, i nacionalnih implementacija koje su i prilično kasnile, bilo je važno napomenuti.


Bilo Vam je važno i pomenuli ste. Meni možda nije ili sam previdom propustio da pomenem tu važni stvar. OK?

Ovo nije tačno, jer bi, po Vašem, firme koje imaju manje od 250 zaposlenih, bile oslobođene odgovornosti.


Nigde nisam rekao da bi firme koje imaju manje od 250 zaposlenih, bile oslobođene odgovornosti. To ste Vi izveli kao zaključak.

Predlagači su stavili granicu na 250, ali nigde nisu oslobodili odgovornosti firme manje od 250 zaposlenih. Možda su mogli staviti granicu na 100, 50, 10, pa možda i na firme sa 2 zaposlena. Broj zaposlenih je jedna odrednica, ima i nekih drugih, kao i odgovornosti za manje firme.

Možda mislite da sam [samo] ja pisao taj predlog EU DPA zakona?

I do sada su postojali nacionalni zakoni koje su organizacije morale da poštuju te su imale zaposlene zadužene za ovo.


Nacionalni zakoni su postojali i postoje, a jedan od deklarisanih ciljeva donošenja ovog akta je objedinjavanje i unifikacija i sve što to nosi kao pozitivno (ali nešto i negativno). Neki postojeći nacionalni zakoni imaju ovu odredbu, ali nisam siguran da imaju baš svih 27.

Itd...

Ne bih sada da seciramo sve, ponekad vadimo pojedinačne stvari iz konteksta itd. Jasno je da ima priličan broj detalja i stvari u kojima se potpuno ili delimično slažemo, a i onih u kojima se ne slažemo. Ako nastavimo ovako, ko zna dokle ćemo stići, pošto način i format razgovora nisu baš pogodni za ovakvu vrstu diskusije.

Zato možemo na pivo (vino, sok, ili ko šta pije) sa ostalim blogerima zainteresovanim za ovu temu, pa da ćaskamo neposredno. Naravno, u tom slučaju treba da otkrijete svoj identitet.
Može?


P.S. Svakako zahvaljujem na konstruktivnom doprinosu diskusiji.
Dragan Pleskonjic Dragan Pleskonjic 15:13 04.06.2012

FTC

FTC Issues Final Commission Report on Protecting Consumer Privacy, Agency Calls on Companies to Adopt Best Privacy Practices - link na vest.

I link na izveštaj.

Arhiva

   

Kategorije aktivne u poslednjih 7 dana