Osobne podatke danas prikupljamo gotovo rutinski, od prijava za posao i evidencija zaposlenika do internetskih obrazaca, videonadzora i kolačića na mrežnim stranicama. Problem nastaje kada se količina podataka neprestano povećava, a rijetko se postavlja pitanje jesu li svi ti podaci doista potrebni i tko im može pristupiti. 

Upravo se u takvim svakodnevnim praksama kriju najveći rizici za organizacije, poručeno je na masterclassu o upravljanju rizicima u obradi osobnih podataka održanom u sklopu 25. Revicon međunarodnog simpozija.

"Za svaki slučaj"

Upozoreno je kako najčešći rizici proizlaze iz navika koje su se uvriježile u poslovanju, prikupljanja podataka "za svaki slučaj", široko postavljenih ovlasti pristupa i nedovoljno kontroliranog dijeljenja informacija. Upravo takve prakse novi Zakon o zaštiti osobnih podataka Bosne i Hercegovine nastoji ograničiti kroz jasnija pravila o prikupljanju, obradi i čuvanju podataka.

"Prikupljamo više nego što je potrebno. Što više podataka prikupljate, to imate veću potrebu za prostorom za pohranu, upravljanjem pristupima i zaštitom tih podataka", rekao je prof. dr. Saša Mrdović s Elektrotehničkog fakulteta Sveučilišta u Sarajevu.

Prema njegovim riječima, organizacije često polaze od pretpostavke kako je bolje imati što više informacija, iako svaka dodatna baza podataka donosi nove troškove i obveze. Podaci se arhiviraju i čuvaju godinama, a rijetko se preispituje postoji li stvarna potreba da ostanu u sustavu.

RAČUNOVOĐE, REVIZORI...
Ne mijenjaju se samo propisi i standardi, mijenja se ono što znači biti profesionalac

Problem predstavlja i širenje pristupa podacima unutar organizacija. Kako zaposlenici preuzimaju nove zadatke, ovlasti se uglavnom dodjeljuju, ali se rijetko ukidaju.

"Imamo naviku stalno povećavati prava pristupa. Malo tko razmišlja kako sa svakom novom mogućnošću pristupa raste i rizik da podaci budu izgubljeni, neovlašteno korišteni ili otuđeni", upozorio je Mrdović.

Zbog toga je, smatra, potrebno jasno definirati koja radna mjesta trebaju koje podatke te voditi evidenciju o tome tko je i kada pristupao informacijama. Bez takvih tragova teško je utvrditi odgovornost u slučaju incidenta.

E-pošta poput razglednice 

Govoreći o digitalnim alatima, Mrdović je upozorio kako organizacije trebaju voditi računa i o vanjskim pružateljima usluga kojima povjeravaju podatke, ali i o svakodnevnim komunikacijskim kanalima.

"E-pošta je poput razglednice. Ne možemo biti sigurni tko ju je doista poslao niti tko sve može doći u kontakt sa sadržajem tijekom prijenosa", kazao je, dodajući kako su za razmjenu osjetljivih podataka sigurnije namjenske platforme i korisnički portali.

Povjerenje i kazne

Kako zaštita osobnih podataka nije samo posao jednog odjela ili službenika za zaštitu podataka, podsjetila je Arnela Muhotić-Bjelica, konzultantica Revicona.

"Svi mi u svom radu obrađujemo osobne podatke - podatke zaposlenika, kandidata za posao, klijenata, korisnika usluga i poslovnih partnera", istaknula je.

Naglasila je kako usklađenost s propisima ne završava donošenjem pravilnika i procedura, nego njihovom primjenom u svakodnevnom radu.

Organizacije, dodala je, često previše pozornosti posvećuju kaznama, a premalo povjerenju koje mogu izgubiti kod građana, klijenata i zaposlenika.

"Ako korisnik ne može razumjeti dokument u kojem ga upoznajete s načinom upravljanja osobnim podacima u vašoj organizaciji, onda problem nije u korisniku. Transparentnost ne znači samo pružiti informaciju, nego je pružiti na način koji ispitanici mogu doista razumjeti", zaključila je.

Manager.ba