"Zaštita podataka" i "sigurnost obrade i podataka" pojmovi su koji se najčešće miješaju u praksi. Zaštita podataka podrazumijeva prije svega skup pravila i procedura koji se provode u svrhu osiguravanja zakonitosti obrade i prava ispitanika dok sigurnost obrade i podataka promatramo više s tehničkog aspekta. Naravno, Opća uredba posvećuje određenu pozornost i sigurnosti obrade i podataka no, njezin fokus je prije svega na zakonitosti obrade i pravima ispitanika.
Što to pojednostavljeno znači?
Uzmimo da prikupljamo podatke putem web stranice vezano za učlanjenje u neki klub pogodnosti.
Predmet zaštite podataka biti će primjerice pitanje da li se prikupljaju podaci koji su nužni za učlanjenje da ne dolazi do prekomjerne obrade. Da li su provedene potrebne procedure, da li se osobi čiji se podaci prikupljaju (ispitaniku) pružaju sve potrebne informacije o prikupljaju i obradi osobnih podataka, da li joj se omogućuje na primjeren način ostvarivanja svih prava i drugo.
Predmet sigurnosti podataka u ovom slučaju biti će pitanje sigurnosti dostave takvih podatka, način na koji se pohranjuju i tko im može pristupiti, da li postoji rizik od neovlaštenog pristupa, da li postoji drugi rizik od neovlaštene obrade a koji bi doveo do rizika za slobode i prava pojedinca čiji podaci se obrađuju i drugo.
U svakoj obradi podataka uvijek postoje određeni rizici međutim, te rizike treba svesti na najmanju moguću mjeru u skladu s okolnostima i mogućnostima poslovnog subjekta. Takve mogućnosti će za istu obradu biti različite od subjekta do subjekta tj.voditelja obrade i nije moguće univerzalno reći da je određeni način „idealan i siguran“ način obrade.
Onda kada postoje situacije neprihvatljivo visokog rizika u kojima se osobe čiji se podaci obrađuju (ispitanici) mogu suočiti sa znatnim ili čak nepopravljivim posljedicama, koje možda neće moći ukloniti npr.: neovlašteni pristup podacima kojim se može ugroziti život ispitanika, ako kompromitiranje takvih podataka može dovesti do otpuštanja na radnom mjestu, ako predstavlja financijski rizik i/ili ako je očito da će doći do pojave rizika npr.: ako se ne može smanjiti broj osoba koje pristupaju podacima zbog razmjene podataka, njihove upotrebe ili načina distribucije ili ako dobro poznata slabost nije uklonjena, treba zatražiti mišljenje nadzorno tijela prije takve obrade.
Često ističem da zaštita podataka nije „skrivanje podataka“ jer to što su određeni podaci možda dostupni neovlaštenim korisnicima to ne znači da oni imaju valjanu osnovu za njihovu obradu i da ako dođu do njih da će ih moći upotrijebiti u bilo koje svoje poslovne svrhe. Naravno, uvijek postoji mogućnost zloupotrebe bilo kojeg podatka ali isto ne bi trebalo biti osnovno polazište.
Primjerice, ako postoji rizik od krađe e-mail adresa korisnika iz gore navedenog primjera i strana koja je neovlašteno došla u posjet takvih podataka, iskoristila je te adrese za slanje svojih promotivnih materijala. Svaki vlasnik kompromitirane e-mail adrese moći će podnijeti prigovor na nezakonitu obradu te ovisno o utvrđenim činjenicama, ostvariti postupak naknade štete. Stoga u ovom slučaju osoba koja je neovlašteno došla do podatak taj podatak ne znači mnogo ako nema valjanu zakonitu osnovu za njegovu daljnju upotrebu.
Ovdje vidimo da to što podatak nije lišen svih rizika neovlaštenog korištenja (sigurnost podatka) ne znači da će doći i do bitnih posljedica za samog ispitanika. Strana koja je došla u posjet takvih podataka ne može te podatke zakonito koristiti za bilo koje svoje poslovne svrhe (zaštita podataka).
Bitno je imati u vidu da nikad nije moguće postići 100% sigurnu obradu ali treba poduzeti sve mjere u skladu s mogućnostima kako bi se osigurala što veća pouzdanost i sigurnost svake obrade koja se provodi.
Ines Bolkovac, dpo
