Иако регулативите од областа на заштитата на лични податоци (ЗЛП) сосема правилно воспоставуваат ограничувања во однос на надворешните проверувачи (на пр. Tелото кое врши надворешна контрола на системот за заштита на личните податоци не смее да биде обработувачот, третото лице, корисникот, проектантот, производителот, снабдувачот, или одржувачот на софтверските програми за обработка на личните податоци, кои се проверуваат од тоа тело, ниту пак овластениот претставник на која било од страните или пак физичкото или правното лице што ги пушта софтверските програми на пазарот – согласно Упатството за начинот на вршење на надворешна контрола, донесено од страна на Дирекцијата за заштита на лични податоци) ограничувања според истата аналогија не се предвидени во рамки на самата организација. Па така, доколку голем дел од збирките на лични податоци се обработуваат во ИТ, се поставува прашањето: Дали ИТ менаџерот или членови од неговиот тим може да бидат истовремено и офицери за заштита на личните податоци?
Стандардот ИСО 27000, на кој се потпираат регулативите од ЗЛП и многу други домашни и меѓународни регулативи, предвидува воспоставување на функцијата Офицер за информативна сигурност (Information Security Officer). Во рамките на организацијата, тој има контролна и превентивна улога врз работата на ИТ, физичкото обезбедување, правни, кадровски и др. процеси поврзани со информативната сигурност и стриктно наброени во контролите од стандардот (ISO27001 – Annex A). Добар дел од овие контроли се преземени и во регулативите за ЗЛП.
Во банките функцијата Одговорен за информативната сигурност (ОСИС) е стриктно разделена од ИТ, токму поради тоа што таа функција има контролна улога врз работата на ИТ. Во Македонија оваа пракса стриктно се спроведува под надзор на Дирекцијата за супервизија на НБРМ веќе од крајот на 2005-та година и доведе до одлични резултати: Сте чуле ли за пробив на информативната сигурност или злоупотреба на банкарски или лични податоци од некоја банка во Македонија во последниве години?
Доколку ИТ менаџерот е истовремено Офицер за заштита на лични податоци, се доаѓа до неодржлива ситуација: тој самиот треба да ја контролира својата работа и работата на неговата единица при чувањето и обработката на збирките на лични податоци. Иако ова согласно тековните регулативи во РМ е возможно, тоа е крајно несоодветно.
Затоа секаде каде што :
1. збирките на лични податоци резидираат и се обработуваат во ИТ системите и
2. постои технолошка можност (доволен број на вработени во организацијата),
функциите раководител на ИТ и Офицер за заштита на лични податоци треба да се стриктно разделени. Уште повеќе, Офицерот за заштита на лични податоци треба да има соодветни квалификации или независна експертска помош (внатрешна или надворешна) кои ќе му овозможат во ефективна контрола на работата на ИТ во однос на заштитата на личните податоци.
Воспоставувањето на независна контролна и превентивна функција на Офицерот за заштита на личните податоци ќе обезбеди развој на организациска култура и посветеност кон заштитата на личните податоци. Најдобро е оваа функција да се поврзе со одделот за ревизија, стандарди, усогласеност, или сл. во рамки на организацијата, ако постојат такви единици. Во секој случај, за да биде ефективна, таа треба да биде одделена од ИТ – организациски и персонално.
Информација за авторот
Георги Милев
Георги Милев е консултант со долгогодишно искуство во воведувањето на стандардите ISO 9001, ISO 14000, ISO 27000 и ISO20000. Од 2003-та е и сертифициран менаџмент консултант (CMC), а од 2009-та и водечки меѓународен аудитор за стандардите ISO 20000 и ISO 27000 за групацијата CIS – Certification & Information Security GmbH со седиште во Виена.
Во својата кариера Георги има работено како консултант и аудитор во повеќето поголеми фирми во Македонија, но и за глобални корпорации во регионот и во светот.