Интервју со м-р Лилјана Пецова – Илиeска, програмски директор за приватност и интернет во ИМПЕТУС – Центар за интернет, развој и добро управување
Пред неколку месеци имавте предавање на тема „Новата ЕУ регулатива за заштита на личните податоци“. Знаe ли македонската јавност воопшто за каква регулатива станува збор?
Да, пред три месеци, во соработка со SТАРТАП Македонија заедницата одлучивме дека ќе е добар момент и корисен чекор да одржиме едно предавање за млади иноватори и оние кои сакаат да започнат свој бизнис. Ова го направивме затоа што резултатите од една анкета што ја спроведовме преку ИМПЕТУС ни покажаа дека многу малку имаат познавање од областа, и дека најлесно ќе им биде да ангажираат адвокатски услуги кои ќе им ги решат дилемите околу правната регулатива.
Но, овде сме за да напоменеме дека новата Регулатива за заштита на личните податоци (која и не е така нова веќе) e многу повеќе од регулатива и законски одредби кои треба да се внесат во нашето законодавство. Напротив, оваа толку позната регулатива како GDPR – General Dara Protection Regulation е всушност опис и попис на сите технички, организациски и безбедносни мерки кои треба да се преземат во однос на заштитата на податоците кои секоја компанија, правно лице, организација, институција, или каков било ентитет ги собира и обработува. Откако на овој начин ќе се разбере оваа регулатива тогаш е многу полесно да се објаснат работите. Тогаш може да кажеме дека се работи за воспоставување на култура на заштита на личните податоци, односно начин на работење или воспоставување на правила со кои Вие ќе може да бидете сигурни, како основач или како раководно лице, дека сте ги презеле сите неопходни мерки за заштита. Но, во исто време да биде сигурен и Вашиот клиент или трето лице со кое соработувате, дека Вие сте одговорни како организација и дека неговите/нивните податоци се сигурни и безбедни.
Неспорно е дека новото „злато“ во новата ера се податоците и информациите кои се добиваат со обработка на тие податоци. Без разлика дали се работи за личен податок, како што е дадено по дефиниција во закон, ами за податоци и информации кои (може да) содржат во себе дел од Вашата приватност. Оттука произлегуваат и принципите на отчетност и транспарентност кои се воведоа во GDPR. Затоа што на овој начин веќе јасно и „гласно“ се покажа и докажа дека треба да постои и отчетност, не само одговорност, кон субјектот на личните податоци, односно кон оној чии лични податоци ги собирате. На ваков начин уште повеќе се издигна правото на заштита како основно фундаментално право и навистина сметам дека на овој начин си го доби заслуженото место во областа на човековите права. Но, прашањето е кој губи најмногу ако не го заштитиме тоа „злато“, дали само оној кој ги собира или и оние чии податоци не се заштитени?
Со оглед на дигиталниот контекст во кој што живееме и бројните скандали кои се актуелни со протекување на лишни податоци на голем број на луѓе, на кој начин сметате дека може да ја заштитиме приватноста?
Правото на приватност е основно човеково право, утврдено уште во Универзалната декларација за човекови права од 10 декември 1948 година. И многу нешта се рефлектираат оттогаш наваму во повеќе конвенции, протоколи, регулативи, директиви, а најважно во пресудите на Европскиот суд за човекови права. Судската пракса е стожер темелник и паметник за зачувување на правото на приватност. За жал, кај нас многу погрешно се толкува правото на приватност. Не може да зборувате за приватност без да навлезете подлабоко во областа на сајбер безбедноста и технологијата. Не може да зборувате за приватност ако не ги разбирате ефектите и последиците од сé она што го споделувате на интернет, на социјалните мрежи, итн. Не може како општество да зборуваме воопшто за заштита на податоци ако истите тие луѓе кои треба да го промовираат правото ја користеа апликацијата „како ќе изгледаш за 30 години отсега“. Како општество (зборувам во национални рамки) не сме договорени што точно значи приватноста и каде е границата. Ние поправо понекогаш немаме ни граница кога зборуваме за правото на приватност. Ако не знаеме самите како да ги заштитиме своите податоци и податоците кои кажуваат многу за нас, тогаш ги продаваме информациите многу лесно и евтино.
Правото на приватност не значи само ставање во рамка и изолација на она што сакаме да го заштитиме, ами континуиран процес на заштита на сетови на податоци кои може да придонесат до нарушување на приватноста преку нивна понатамошна обработка.
За жал, кај нас премногу се користат социјалните мрежи и се објавува сé и сешто, без притоа да внимаваме не само на сопствената, ами и на туѓата приватност, преку: тагнувањето некого дека е на некоја локација со група пријатели, фотографирање и објавување без согласност, објавување на фотографии на деца-малолетници, фотографии од настани, итн. Никако да го направиме тој тест на јавен интерес првин интерно, да избалансираме, да видиме што би била последицата и по кого, па потоа да објавиме, доколку има интерес да се објави.
Но се надеваме дека преку нашата работа и ангажман за заштита, не само на приватноста, ами и заштита на правото, ИМПЕТУС ќе ја постигне својата цел и мисија во оваа година. За таа цел, ја креиравме веб страницата www.gdpr.mk каде што ќе објавуваме содржина за едукација и подигнување на јавната свест за воспоставување на протоколи, безбедносни процеси и алатки кои ќе овозможат поголема отчетност, одговорност и транспарентност на нивното работење. Засега само приватните компании се заинтересирани за да се имплементира GDPR во нивното работење. Апсурден е ваквиот показател бидејќи институциите од јавниот сектор се сепак најголемите обработувачи и собирачи на личните податоци. Како невладин сектор, не сме задоволни од ваквата нетранспарентност на работењето и на самата институција надлежна за надзор по ова прашање, бидејќи нема објавено никакви информации од извршените надзори, како и одлуките од судот по однос на решенијата издадени од инспекторите. Со ваквата нетранспарентност системски не се поддржува процесот на градење транспарентност, општество без корупција, отчетност и имплементација на стандарди за заштита на личните податоци. Уште повеќе создава сомнеж за непостапување од нивна страна.
Но да заокружиме и да Ви одговориме на прашањето: Приватноста може да ја заштитиме само ако внимаваме што објавуваме ние лично, но и каде даваме согласност за да се објави нешто за нас. Околу согласноста има доста дискусии и дилеми, особено што GDPR бара изричита писмена согласност за многу сензитивни прашања, но и далеку помалку сензитивни податоци. Со тоа само се обременува работата на оној што собира и врши обработка на личните податоци, но затоа се тука и Tech – техничките компании кои може да понудат разни технички решенија.
Какво е Вашето искуство со оние кои ги обучувате? Што прашуваат најмногу околу заштитата на личните податоци?
Најмногу прашуваат околу казните и пријавувањето на инцидентот. Новата регулатива донесе енормно високи казни за оние кои ќе направат прекршување на законските одредби, но донесе и уште една нова процедура која ги обврзува оние контролори кои собираат лични податоци да ја информираат надлежната институција доколку има инцидент. Рокот за доставување на информација е 72 часа. Проблемот е што јавноста многу малку знае за оваа обврска и начинот на кој треба да се информира институцијата, како и лицето чии лични податоци можеби се инкриминирани, односно е загрозена приватноста во одреден степен. Има тука ситни и интересни детали за оваа процедура за која ИМПЕТУС зборува на своите предавања.
Неодамна учествувавте и на светскиот настан на Обединети Нации за управување на интернетот во Берлин како панелист? Кажете ни повеќе околку тоа.
Во ноември во Берлин се одржа годишниот настан на IGF – настан каде што со колеги од свестки рамки дискутиравме на теми за интернет, вештачка интелигенција, медиуми и демократија, приватност, лични податоци и предизвиците околу тоа. Наш став беше дека мора да се воведе еден глобален стандард за заштита на личните податоци, бидејќи новата регулатива не може да ги исполни тие очекувања, од причини што нееднакво се имплементира од различни земји, дури и во европски рамки. Иако може долго да зборуваме за екстериторијалноста која беше промовирана со оваа регулатива и со сите нови принципи и заштити кои ги воведе за своите европски државјани, сепак за големите пребарувачи и интернет гиганти како Google и Facebook сé уште е проблематична. А да не зборуваме пак за нашиот регион и фактот дека не сме членки на ЕУ. Она што го истакнав на панелот во Берлин е дека ние долго немаме нов закон кој ќе ја рефлектира регулативата, нити пак имаме систем за заштита имплементиран доволно добро кој ќе обезбеди сигурност на податоци во јавен сектор за да речеме дека и без регулатива се може. За поздравување е фактот што во декември веќе го потпишавме Протоколот на модернизираната Конвенција 108+, бидејќи како членка на Совет на Европа, а кандидат за ЕУ членство, сепак ни обезбеди колку толку некаков стандард на кој може да се повикуваме.
Воедно, како држава немаме Adequacy Decision – Одлука за адекватност која се издава од страна на ЕК со која се утврдува дека земја која не е членка на ЕУ обезбедува соодветно ниво на заштита на личните податоци заради нејзиното домашно право или меѓународните обврски што ги презема. Оттука е тешко за компаниите и приватниот сектор да бидат конкурентни на пазарот ако седиштето му е во оваа држава. Тоа значи дека има голем степен на ризик заради непостоење и на домашна регулатива која може да се носи со светските и ЕУ стандарди за заштита на личните податоци. А знаеме дека нам држави од ЕУ ни се потенцијален пазар, така, нели?!
За имплементација на соодветен систем за заштита на личните податоци и овозможување безбедност на податоците со кои располагате потребни ви се соодветни луѓе, технологија и процеси. Не е веќе доволно само да донесете политика за приватност и да ја објавите како процедура на вашата веб-страна. Не е доволно ниту само да кажете дека вашата веб-страна користи колачиња за следење на вашето пребарување или посети на веб-страната. Заштитата на приватноста на клиентот е многу повеќе од тоа. И не беше задача и поттик на GDPR да воведе колачиња. Напротив. Ова е континуиран процес кој треба постојано да биде во тек со сите новости и нови технологии. Ова го зборував и на панелот за заштита на личните податоци каде што бев единствен претставник од Македонија за оваа тема заедно со претставници од други држави: Јужна Кореа, Буркина Фасо, Панама, Кенија, итн.
Но, и покрај непостоење на Регулатива, сепак на панелот за заштита на личните податоци во Унгарија, на меѓународната конференција за телекомуникации што ITU Telecom World 2019, во септември, сите учесници се договоривме дека едукацијата е пред сé најважна за поефикасна имплементација на сите механизми за заштита.
На што работите во моментов?
ИМПЕТУС – Центар за интернет, развој и добро управување во моментов работи на креирање на содржини за подигнување на јавната свест за правото на заштита на личните податоци, особено околу безбедноста на податоците. Секој заинтересиран може да ни се обрати на мејл contact@impetus.mk доколку му се потребни совети за тоа како да постапи или да креира стратегија за внатрешна заштита. Се подготвуваме исто така за еден настан на кој ќе дебатираме на овие теми и ќе ги поттикнеме и младите да размислуваат за тоа какви политики креираме во едно дигитално општество за побезбеден развој во секоја област.
Воедно, во 2019 станав дел од уредувачкиот тим на SEEDIG – платформа за дијалог за управување со интернетот на Југоисточна Европа каде што објавувам информации и вести за она што се случува кај нас. Па така и сајтот www.inovativnost.mk го следам често, како и други официјални места каде што можам да добијам информации. Доколку читателите сакаат да бидат дел нека ни пишат на мејл адресата на ИМПЕТУС.
Имавте и интересно видео за тоа каква е иднината на интернетот?
Да, тоа беше интересно истражување направено од една американска организација. Краткото видео може да го погледнете тука. Но ќе споделам и со вашите читатели. Иднината ни носи повеќе прашања отколку одговори. Оти сега знаеме дека не знаеме ништо, или барем не повеќе од она што веќе би требало да го знаеме. Неспорно е дека човечкиот потенцијал е оној кој го креира интернетот. На тој настан таму беше и основачот на www, Тим Бернерс –Ли, и кога го имате тој човек таму на лице место веќе ви е јасно дека прашањата се и поголеми од одговорите. Иднината со управувањето со интернетот треба да остане прашања на ниво на политики и стандарди, но никако строга регулација која потенцијално може да ги наруши правото да се знае и правото да се информираме. Но, да видиме што ќе се случува. Следете нé на нашата ФБ страница на ИМПЕТУС каде што секогаш објавуваме новости на глобално ниво за теми како што се: нови технологии, нови медиуми, интернет, дигитализација, инфраструктура, правила и стандарди.
