Rizici zaštite ličnih podataka kriju se u svakodnevnim praksama

Problem je i širenje pristupa podacima unutar organizacija. Kako zaposleni preuzimaju nove zadatke, ovlaštenja se uglavnom dodjeljuju, ali se rijetko ukidaju.

Lične podatke danas prikupljamo gotovo rutinski – od prijava za posao i evidencija zaposlenih do online obrazaca, videonadzora i kolačića na web stranicama. Problem nastaje kada se količina podataka neprestano povećava, a rijetko se postavlja pitanje da li su svi oni zaista potrebni i ko im može pristupiti. Upravo u takvim svakodnevnim praksama kriju se najveći rizici za organizacije, poručeno je na masterclassu o upravljanju rizicima u obradi ličnih podataka održanom u okviru 25. Revicon međunarodnog simpozija.

Najčešći rizici, upozoreno je, nastaju zbog navika koje su se uvriježile u poslovanju – prikupljanja podataka „za svaki slučaj“, široko postavljenih ovlaštenja pristupa i nedovoljno kontrolisanog dijeljenja informacija. Upravo takve prakse novi Zakon o zaštiti ličnih podataka Bosne i Hercegovine nastoji ograničiti kroz jasnija pravila o prikupljanju, obradi i čuvanju podataka.

„Skupljamo više nego što je neophodno. Što više podataka prikupljate, imate veću potrebu za prostorom za pohranu, upravljanjem pristupima i zaštitom tih podataka, rekao je prof. dr. Saša Mrdović sa Elektrotehničkog fakulteta Univerziteta u Sarajevu.

Prema njegovim riječima, organizacije često polaze od pretpostavke da je bolje imati što više informacija, iako svaka dodatna baza podataka donosi nove troškove i obaveze. Podaci se arhiviraju i čuvaju godinama, a rijetko se preispituje postoji li stvarna potreba da ostanu u sistemu.

Problem je i širenje pristupa podacima unutar organizacija. Kako zaposleni preuzimaju nove zadatke, ovlaštenja se uglavnom dodjeljuju, ali se rijetko ukidaju.

„Imamo naviku da prava pristupa stalno povećavamo. Malo ko razmišlja da sa svakom novom mogućnošću pristupa raste i rizik da podaci budu izgubljeni, neovlašteno korišteni ili otuđeni“, upozorio je Mrdović.

Zbog toga je, smatra, neophodno jasno definisati koja radna mjesta imaju potrebu za kojim podacima, te voditi evidenciju o tome ko je i kada pristupao informacijama. Bez takvih tragova teško je utvrditi odgovornost u slučaju incidenta.

Govoreći o digitalnim alatima, Mrdović je upozorio da organizacije trebaju voditi računa i o vanjskim pružaocima usluga kojima povjeravaju podatke, ali i o svakodnevnim komunikacijskim kanalima.

„Mail je kao razglednica. Ne možemo biti sigurni ko ga je zaista poslao, niti ko sve može doći u kontakt sa sadržajem tokom prenosa“, kazao je, dodajući da su za razmjenu osjetljivih podataka sigurnije namjenske platforme i korisnički portali.

Da zaštita ličnih podataka nije samo posao jednog odjela ili službenika za zaštitu podataka, podsjetila je Arnela Muhotić- Bjelica, konsultantica Revicona.

„Svi mi u svom radu obrađujemo lične podatke – podatke zaposlenih, kandidata za posao, klijenata, korisnika usluga i poslovnih partnera“, istakla je.

Naglasila je da usklađenost sa propisima ne završava donošenjem pravilnika i procedura, već njihovom primjenom u svakodnevnom radu. Organizacije, dodaje, često previše pažnje posvećuju kaznama, a premalo povjerenju koje mogu izgubiti kod građana, klijenata i zaposlenika.

„Ako korisnik ne može razumjeti dokument u kojem ga upoznajete sa načinom upravljanja ličnim podacima u vašoj organizaciji, onda problem nije u korisniku. Transparentnost ne znači samo pružiti informaciju, već je pružiti na način koji nosioci podataka mogu zaista razumjeti“, zaključila je.