…ako bez pravovremene i ispravne pripreme testiramo IT sustave na živim podacima.
Parafrazirali smo na nama svojstven način sve ono što je AZOP u svojoj detaljnoj i sveobuhvatnoj objavi pod naslovom „Sigurnosni i pravni aspekti obrade osobnih podataka u testnim okruženjima IKT sustava“ napisao:
temeljene na preporukama Europskog nadzornika za zaštitu podataka (EDPS) sadržane u “Smjernicama o zaštiti osobnih podataka i vođenju i upravljanju IT unutar institucija EU”:
https://www.edps.europa.eu/sites/default/files/publication/it_governance_management_en.pdf
Izdvajamo iz tog teksta:
֍ Jedno od temeljnih načela GDPR-a iz članka 5. je načelo ograničenja svrhe, koje nalaže da osobni podaci trebaju, s jedne strane, biti prikupljeni u „posebne, izričite i zakonite” svrhe te, s druge strane, ne smiju se „obrađivati na način koji nije u skladu” s tim svrhama
֍ Ponovno korištenje prethodno prikupljenih osobnih podataka za svrhe testiranja IT sustava se mora urediti tako da se osigura ravnoteža između, s jedne strane, nužnosti predvidljivosti i pravne sigurnosti u vezi sa svrhama obrade prethodno prikupljenih osobnih podataka i, s druge strane, priznavanja određene fleksibilnosti u korist voditelja obrade u upravljanju tim podacima te oni stoga doprinose ostvarenju cilja koji se sastoji od osiguranja postojane i visoke razine zaštite pojedinaca (Presuda od 20. listopada 2022., Digi Távközlési és Szolgáltató Kft. protiv Nemzeti Adatvédelmi és Információszabadság Hatóság, C-77/21, EU:C:2022:805, t. 37.)
֍ Prema mišljenju Agencije, usklađena daljnja obrada ne mora značiti da je nova svrha obrade „pod-svrha“ inicijalne svrhe obrade. Usklađenost postoji i kada je nova svrha drugačija, ali korelira s inicijalnom svrhom u smislu da se te svrhe provode zajedno, odnosno da su neposredno povezane u vremenskom i kontekstualnom smislu ili da je daljnja obrada logična konsekvenca inicijalne obrade
֍ U situaciji neusklađene daljnje obrade, samo privola ispitanika ili posebne zakonske odredbe sukladno članku 23. stavku 1. Opće uredbe o zaštiti podataka mogu biti zakonite pravne osnove zadiranja u načelo ograničenje svrhe. Pri tome, u stavku 2. navedenog članka je definirano koji su to minimalni zahtjevi koje zakonska odredba iz stavka 1. mora ispunjavati
֍ Voditelj obrade bi trebao anonimizirati podatke ili koristiti sintetičke podatke, odnosno u fazi testiranja bi trebalo izbjegavati korištenje stvarnih osobnih podataka u procesu razvoja programskih rješenja s obzirom na činjenicu da podaci ne smiju biti korišteni u svrhe za koje nisu prikupljeni.
֍ Ako se analizom utvrdi da korištenje anonimiziranih ili sintetičkih podataka nije moguće, odnosno da isti ne bi pružili dostatno jamstvo za valjanost samih testova, potrebno je donijeti dokumentiranu odluku za korištenje stvarnih podataka koji uključuju osobne podatke, u svrhu provođenja testiranja. U tu svrhu nužno je implementirati dodatne tehničke i organizacijske mjere sigurnosti kako bi se osigurala adekvatna zaštita testnog okruženja. S tim u vezi ističemo kako se posebne kategorije osobnih podataka iz članka 9. stavka 1. Opće uredbe o zaštiti podataka mogu koristiti za potrebe testiranja samo ako postoji za to izričita privola ispitanika
֍ U slučaju kada je u postupak testiranja informacijsko-komunikacijskog sustava uključena ugovorna strana, osobitu je pozornost potrebno posvetiti načinu postupanja s podacima koji su joj stavljeni na raspolaganje za potrebe provedbe testiranja
֍ Ugovorna strana smije imati pristup isključivo testnim okruženjima sustava. Ukoliko je, iz opravdanih razloga, nužan pristup produkcijskom okruženju, odnosno stvarnim osobnim podacima, takve radnje smiju provoditi isključivo ovlašteni informatički administratori ugovorne strane, i to prema izričitim uputama voditelja obrade. Prije početka testiranja potrebno je osigurati provedbu odgovarajućih tehničkih i organizacijskih mjera radi zaštite osobnih podataka i sprječavanja neovlaštenog pristupa
֍ Sukladno uvodnoj izjavi 83. Opće uredbe o zaštiti podataka, kako bi se očuvala sigurnost i spriječila obrada kojom se krši ista, voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija
֍ Voditelj obrade u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je primjerice smanjenje količine podataka
֍ Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka na zaštitu osobnih podataka
Jel primjećujemo ovdje i snažnu poveznicu s testiranje AI sustava u kojima se u pravilu obrađuju i nečiji osobni podaci?
#gdprcroatia
