Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

21-04-05 17:31
Strategija zaštite podataka je zakonska obveza

piše ALEKSANDRA ŠTINGL



Razvojem informatičke tehnologije, pojavom interneta i elektroničkog poslovanja stvorene su neograničene mogućnosti zadiranja u privatnost i zloporabe osobnih podataka. Država mora nešto poduzeti kako bi zaštitila građane. Sustavna zaštita osobnih podataka sve je nužnija, a s time i uspostavljanje jedinstvenog standarda zaštite. U nas je to područje bilo prilično zanemareno, tek je 2003. godine donesen Zakon o zaštiti osobnih podataka. Praksa zaštite osobnih podataka do donošenja ovog zakona bila je suprotna tradiciji i pravnim stečevinama Europske unije. Članice EU još su prije tridesetak godina počele donositi zakone koji daju temelj, opći pristup zaštiti svih osobnih podataka bez obzira o kojem aspektu privatnosti je riječ. U Hrvatskoj su propisi kojima se štiti privatnost rasuti u nizu različitih zakona. Građani ne znaju ni prepoznati kad im se ta prava krše, nisu svjesni ni koliku zaštitu privatnosti uživaju u pojedinim slučajevima, kome i kada trebaju uskratiti svoje podatke. Ovaj zakon postavlja temelje praksi koja bi trebala zaživjeti. O tome koji su mu nedostaci, što još treba poboljšati, koliko se primjenjuje i kakve novosti taj zakon donosi u informatičke struke, razgovarali smo s doktorom Draženom Dragičevićem, predstojnikom katedre za pravnu informatiku na zagrebačkom Pravnom fakultetu.

 

U kojoj se mjeri za Hrvatsku može reći da ima učinkovitu zaštitu osobnih podataka?

Razvijene zemlje zakonski štite osobne podatke još od sedamdesetih godina. Hrvatske zakonodavce godinama su upozoravali kako zakone s tog područja treba uskladiti sa stečevinama Europske Unije. S obzirom da su nam bila poznata strana iskustva, postojeći zakon trebao je biti detaljniji, imati posebne odredbe za javni, a posebne za privatni sektor. Uz to, tehničke mjere zaštite trebalo je jasnije odrediti, bez obzira o kakvim se osobnim podacima radi. Sve češće pojedinci na web stranicama prikupljaju tuđe osobne podatke i zatim ih koriste na različite načine, čak ih i preprodaju. Uredbom Vlade propisane su posebne mjere tehničke zaštite posebnih kategorija osobnih podataka, kao što su rasno ili etničko podrijetlo, vjerska ili druga uvjerenja, politička stajališta, zdravlje ili spolni život te osobni podaci o kaznenom ili prekršajnom postupku. Međutim, ne spominje se zaštita i ostalih vrsta osobnih podataka, na primjer adresara, koji sadrže podatke koji se također mogu zloupotrebljavati.

 

Kakve bi se mjere trebale donijeti u privatnom sektoru i kakva su iskustva stranih zemalja?

Obveza primjene sigurnosnih mjera preduvjet je postizanja zadovoljavajućeg stupnja sigurnosti informacijskih sustava. Usvajanje sigurnosne strategije mora biti obveza svih koji prikupljaju i koriste podatke koji su od javnog interesa, ili su od interesa za njihov rad. U praksi se, međutim, obvezuje ponajprije javni sektor, dok se privatnom sektoru i fizičkim osobama rijetko nameće. Njima se prepušta da sami odluče trebaju li imati strategiju zaštite podataka ili ne. Iznimke su slučajevi u kojima se može povrijediti interes trećih osoba ili javni interes. Neka zakonodavstva propisuju obvezu provođenja takvih mjera radi zaštite privatnosti ili neke druge vrijednosti od šireg društvenog interesa.

Obveza primjene sigurnosnih mjera postoji ponajprije za one koji obrađuju osobne podatke građana, poput financijskih i osiguravajućih tvrtki, kreditnih agencija i telekomunikacijskih službi.

 

Koliko se uopće primjenjuje Zakon o zaštiti osobnih podataka?

Do početka ove godine u Središnjem registru Agencije za zaštitu osobnih podataka trebale su već biti registrirane sve zbirke podataka koje o nama vode fizičke ili pravne osobe, no tomu nije tako. Građane je trebalo bolje upoznati s pravima, posebno o tome koje podatke moraju dati (a koje ne moraju), kome, u kojem opsegu, za koje svrhe i koliko se dugo ti podaci smiju držati. Na primjer, ako ste određeno vrijeme bili član neke vjerske denominacije, ali ste iz nje istupili, oni vas mogu još godinama držati u evidenciji i predstavljati kao svoga člana. Kad istekne svrha neke evidencije, podaci se moraju brisati.

 

Znaju li voditelji zbirki osobnih podataka svoje zakonske obveze?

Voditelje je trebalo pravovremeno upozoriti na obvezu da Agenciji dostave evidencije o zbirkama podataka koje vode. Mnogi, nažalost, ne prate zakonske promjene, što ne isključuje njihovu odgovornost. Međutim, i Agencija je zatajila na području informiranja, na primjer još nemaju vlastite internet stranice. U ovome trenutku bilo bi pogrešno prekršajno goniti pravne osobe, jer bi se time samo još više opteretilo i onako zatrpane sudove. Voditelje zbirki i najširu javnost treba bolje informirati i educirati o pravima i obvezama koje proizlaze iz Zakona.

 

Koji su najveći nedostaci toga zakona?

Prerano je govoriti o nedostacima, treba vidjeti kako će Zakon zaživjeti. Sudska praksa na tom je području siromašna, ali danas već postoje brojne zloporabe privatnosti. Kada je riječ o elektroničkoj komunikaciji, prikupljanju podataka i neovlaštenom pristupu podacima, zloporabe se tehnički teško otkrivaju. S obzirom na nizak stupanj informacijske sigurnosti i obrazovanosti korisnika, podacima se neovlašteno pristupa češće nego što se zna.

 

Je li danas u doba interneta moguće zaštititi osobne podatke?

Internet je među svim medijima sigurno najdemokratskiji. Omogućuje da pojedinac bude anoniman i da bez straha za svoj integritet slobodno izrazi stavove i uvjerenja. No, istovremeno ga neki zlorabe kako bi ostvarili nemoralne i nezakonite ciljeve. Tijekom godina razvijene su brojne tehnologije i metode identifikacije, nadzora i kontrole kako osobnih podataka tako i internetske komunikacije. Njima se ne nadziru samo kriminalci, pedofili i teroristi, kako tvrde oni koji tehnike nadzora koriste, nego i politički neistomišljenici, sindikalne vođe, novinari, vlastiti uposlenici, pa i drugi građani. Brojne sigurnosne slabosti komunikacijskih protokola i kompjutorskih programa, kao i nepažnja korisnika, tome uveliko pridonose, pa se stječe dojam kako je na Internetu teško očuvati privatnost.

 

Što je s računalnim kriminalom?

To je teško procijeniti. Uz trgovinu drogom i oružjem, kompjutorski kriminal ima najveću stopu rasta, ali i najveću "tamnu brojku", tj. broj neotkrivenih djela. I kada se takva zlodjela otkriju, prema podacima Europskog parlamenta, samo ih se trećina prijavi. U Hrvatskoj smo prošle godine u novinama mogli čitati o provali u sustav Financijske agencije. U MUP-u nisu čak ni zaprimili prijavu, pa ništa nisu mogli ni poduzeti! Takvih slučajeva ima više nego što mnogi misle.

Programi i upute o tome kako činiti razne zloporabe dostupni su gotovo milijardi korisnika Interneta. Interpol procjenjuje da su oko pet posto tog broja potencijalni počinitelji, što je golem kriminalni potencijal. Zbog toga je u Konvenciji Vijeća Europe o kibernetičkom kriminalu, koju je Sabor ratificirao 2002. godine, propisana obveza sankcioniranja zloporabe naprava.

 

Što je "zloporaba naprave"?

Izmjenama i dopunama Kaznenog zakona iz 2004., između ostaloga, kažnjava se izrada, nabava, uvoz, izvoz, distribucija, prodaja ili posjedovanje bilo kakvih uređaja i programa - čak i podataka - čija je namjena da posluže izvršenju neke od inkriminacija o povredi tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa ili sustava. To su ona sredstva, programi ili podaci stvoreni ili prilagođeni da bi korisniku poslužili za neovlašteni pristup tuđem računalnom sustavu, ometanju rada sustava i neovlaštenom presretanju nejavne komunikacije. Za zloporabu naprava predviđena je novčana kazna ili kazna zatvora do tri godine.

Prijetnja kaznom onima koji bi izradili ili nabavili takva sredstva sigurno smanjuje kibernetički kriminal. No, to bi za posljedicu moglo imati i suprotan učinak; naime, zabranimo li stručnjacima za informacijsku sigurnost da posjeduju i koriste takve programe kako bi se upoznali s njihovim radom, pitanje je hoće li moći napraviti efikasne mjere zaštite. Etičke hakere, koji podižu stupanj informacijske sigurnosti, zakonske odredbe progone i onemogućavaju im rad! Postizanje ravnoteže između zabrana i sigurnosne koristi najveći je problem u razvoju zakonodavstva. Boljom formulacijom moglo bi se i trebalo osloboditi odgovornosti za posjedovanje, izradu ili korištenje takvih sredstava određene kategorije osoba, odnosno zanimanja koje takva sredstva koriste isključivo u znanstveno-istraživačke ili informacijsko-sigurnosne svrhe. Zakonodavac mora naći načina da razlikuje činjenje koristi od činjenja štete.

 

Kolike su uopće kazne za neovlaštenu zloporabu tuđih osobnih podataka?

Zakon propisuje kazne za sve one koji neovlašteno prikupljaju ili koriste tuđe osobne podatke, a to mogu biti uposlenici, sistem administratori i svi ostali koji imaju pristup takvim podacima. Njihova odgovornost ne proizlazi samo iz Zakona o zaštiti osobnih podataka nego i iz Kaznenog zakona. U njemu je propisano kazneno djelo nedozvoljene uporabe osobnih podataka za koje je predviđena novčana kazna ili kazna zatvora do šest mjeseci. Unutar tvrtke može se očekivati da krivac još i izgubi posao.

   

Što je danas najveća prijetnja zaštiti osobnih podataka?

Pored kompjutorskih zloporaba poput krađe identiteta, phishinga, skimminga i sl., ozbiljna je prijetnja privatnosti sve šire korištenje biometrijskih metoda i mogućnost stvaranja tzv. genetičkih baza podataka. Drugim riječima, tjelesnim pregledom pojedine osobe analizira se njen temeljni genetski materijal, a na taj način moguće je ustanoviti ne samo sadašnje ili prošlo stanje, nego i predispozicije ili eventualno buduće zdravlje osobe. Potencijalni poslodavci uvidom u te podatke mogu vidjeti koliko je netko sklon obolijevanju i tako odlučiti koga će zaposliti. Zbog toga se u nekim zemljama već donosi zakon o genetičkoj privatnosti.

 

 





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr