Upravljanje zaštitom ličnih podataka: Analiza CDPSE Domena 1 – Dio A

Autor članka: v.prof.dr. Haris Hamidović[1]

Sažetak: Ovaj rad obrađuje ključne koncepte i prakse upravljanja zaštitom ličnih podataka, kroz analizu sadržaja iz Domena 1 – Dio A CDPSE (Certified Data Privacy Solutions Engineer) programa koji izdaje ISACA. Cilj rada je ponuditi strukturiran uvid u pristup upravljanju privatnošću koji može poslužiti kao referentni okvir za uspostavljanje, evaluaciju i unapređenje programa zaštite podataka u skladu s regulatornim i poslovnim zahtjevima – kako u domaćem, tako i u međunarodnom okruženju.

Ključne riječi: Zaštita ličnih podataka, CDPSE, upravljanje privatnošću, ciljevi inženjeringa privatnosti

UVOD

U digitalnom dobu, upravljanje privatnošću predstavlja ključni aspekt zaštite podataka i usklađenosti sa zakonodavstvom. Sve veća količina ličnih podataka kojom upravljaju organizacije, zajedno s rastućim regulatornim zahtjevima na međunarodnom i lokalnom nivou, zahtijeva sistematičan i stručan pristup zaštiti privatnosti.

Ovaj rad analizira sadržaj iz Domena 1 (Dio A) certifikacijskog programa Certified Data Privacy Solutions Engineer (CDPSE) koji razvija i izdaje međunarodna profesionalna organizacija ISACA. CDPSE je globalno priznati certifikacijski program namijenjen stručnjacima koji dizajniraju i upravljaju rješenjima zaštite privatnosti, povezujući tehničke, pravne i poslovne aspekte. Program daje strukturirano znanje o tome kako upravljati privatnošću kroz organizaciju, osigurati usklađenost sa zakonodavstvom, i izgraditi povjerenje sa korisnicima i partnerima.

Za poslovne subjekte u Bosni i Hercegovini, upoznavanje sa sadržajem CDPSE programa posebno je korisno jer može služiti kao referentni okvir za:

• prilagođavanje postojećih procesa novom Zakonu o zaštiti ličnih podataka, koji se sve više usklađuje sa EU GDPR standardima;
• izradu programa sigurnosti i privatnosti koje sve češće zahtijevaju međunarodni partneri i klijenti kao preduslov za poslovnu saradnju;
• profesionalno usavršavanje kadrova zaduženih za IT sigurnost, usklađenost i upravljanje rizicima.

U nastavku rada predstavljeni su ključni elementi iz Domena 1 – Dio A: Upravljanje privatnošću, koji obuhvataju principe, uloge, strukture i alate potrebne za učinkovito vođenje programa zaštite privatnosti unutar organizacija.

Najnoviji seminari

Seminar – Upravni postupak – Juni 2025

24.06.2025. / 0 komentar

✓ Osnove upravnog postupka

✓ Stranka i njeno zastupanje

✓ Komuniciranje organa i stranaka

✓ Prvostepeni upravni postupak

✓ Pravni lijekovi u upravnom postupku

---

Predavač:

Alen Taletović – Sudija Ustavnog suda FBiH

---

Seminar
26. 06. – Sarajevo

Pročitaj više →

Seminar – Parnični postupak FBiH – Juni 2025

24.06.2025. / 0 komentar

✓ Tužba

✓ Odgovor na tužbu

✓ Dokazivanje pravno relevantnih činjenica

✓ Dokazi i dokazivanje

✓ Presuda zbog propuštanja

✓ Materijalnopravni prigovori

---

Predavači:

Doc. dr. sci. Adis Poljić – sudija Općinskog suda u Živinicama

Doc. dr. sci. Faruk Latifović – sudija Kantonalnog suda u Tuzli

---

Seminar
27. 06. – Sarajevo

Pročitaj više →

Seminar – Radni odnosi FBiH – Juli 2025

24.06.2025. / 0 komentar

✓ Šta nam donosi novi Zakon o radu?

✓ Inspekcija rada – Najčešći problemi u praksi

✓ Pitanja i odgovori

---

Predavači:

Mr. Ernis Imamović – Federalno ministarsvo rada i socijalne politike

Zlatan Kišić, dipl. iur. – kantonalni inspektor rada

Jusuf Brkić – dipl. iur. – REC d.o.o.

---

Seminar
01. 07. – Sarajevo

Pročitaj više →

• 1
• 2

Upravljanje privatnošću

Upravljanje privatnošću (eng. Privacy Governance) predstavlja osnovu svakog efikasnog programa zaštite ličnih podataka u organizaciji. Cilj ovog pristupa je osigurati da svi aspekti obrade ličnih podataka budu u skladu sa zakonskim, regulatornim i organizacijskim zahtjevima, te da se zaštita privatnosti pojedinaca integriše u sve poslovne procese. U okviru CDPSE okvira, upravljanje privatnošću se posmatra kao skup struktura, procesa i mehanizama kontrole koji omogućavaju organizaciji da prati, ocjenjuje i poboljšava učinkovitost programa zaštite podataka.

Efikasno upravljanje privatnošću omogućava:

1. a) usklađenost sa zakonodavstvom;
2. b) upravljanje rizicima vezanim za privatnost;
3. c) povećanje povjerenja klijenata i partnera;
4. d) efikasnije procese i bolju operativnu izvedbu; te
5. e) osiguranje nadzora i kontrole kroz reviziju i izvještavanje.

Jedan od osnovnih alata u ovom procesu je korištenje GRC (eng. governance, risk and compliance) modela, koji obuhvata vođenje organizacije, donošenje odluka temeljenih na upravljanju rizikom i poštivanje propisa.

Upravljanje informacijama i tehnologijom (EGIT) također igra ključnu ulogu u modernim okruženjima gdje digitalna transformacija donosi nove rizike i prilike. CDPSE pristup koristi COBIT 2019 okvir koji identifikuje sedam ključnih komponenti upravljanja: procesi, organizacijske strukture, tokovi informacija, ljudi i kompetencije, principi i politike, kultura i ponašanje, te infrastruktura i aplikacije. Integracijom ovih komponenti, organizacija može osigurati dosljedno i mjerljivo upravljanje privatnošću kroz sve svoje operacije.

Unutar svakog programa privatnosti, važno je identificirati interne i eksterne zahtjeve. Interni zahtjevi obuhvataju, između ostalog, i imenovanje odgovornih lica, edukaciju zaposlenika, procjene i revizije, te upravljanje incidentima. Eksterni zahtjevi uključuju i poštivanje zakona, obaveze prema kupcima i partnerima, te ispunjavanje ugovornih i regulatornih zahtjeva. Uspostavljanje i praćenje ovih zahtjeva omogućava organizacijama da usklade svoje interne politike sa vanjskim očekivanjima i standardima.

Zaključno, upravljanje privatnošću nije statičan proces, već kontinuirani ciklus procjene, unapređenja i izvještavanja. Ključno je uspostaviti odgovarajuće mjere nadzora i metrike učinka koje omogućavaju praćenje efikasnosti programa privatnosti, te transparentno izvještavanje prema rukovodstvu i drugim dionicima. Upravljanje privatnošću tako postaje neizostavan dio ukupnog upravljanja organizacijom, usmjeren ka dugoročnoj održivosti, usklađenosti i zaštiti prava pojedinaca.

Lični podaci

Lični podaci predstavljaju temeljni pojam u savremenim zakonima o privatnosti i zaštiti podataka. Iako terminologija može varirati među jurisdikcijama, u suštini se radi o informacijama koje se odnose na identifikovanu ili identificirajuću fizičku osobu. Ove informacije mogu uključivati ime i prezime, adresu, broj telefona, adresu elektronske pošte, IP adresu, ali i osjetljive podatke poput genetskih, biometrijskih ili zdravstvenih podataka.

U kontekstu upravljanja privatnošću, ključno je da organizacije pravilno identifikuju i klasifikuju lične podatke kojima upravljaju. To uključuje i podatke koji se nalaze kod trećih strana, podizvođača ili u oblaku. Važno je jasno razumjeti razliku između pojmova kao što su: lični podaci (eng. personal data), osjetljivi podaci (eng. sensitive personal data), i podaci koji omogućavaju ličnu identifikaciju (eng. PII – personally identifiable information).

Razumijevanje toka informacija (eng. data flows) je ključna komponenta upravljanja privatnošću. Podaci prolaze kroz različite faze životnog ciklusa: prikupljanje, obrada, pohrana, dijeljenje i brisanje. U svakom od ovih koraka potrebno je osigurati adekvatnu zaštitu i usklađenost sa zakonima. Informacija (kao interpretirani podaci) se koristi za donošenje odluka i mora se tretirati sa dužnom pažnjom, posebno kada uključuje osjetljive kategorije podataka.

Organizacije bi trebale imati dokumentovan registar ličnih podataka (eng. data inventory) i dijagrame toka podataka (eng. data flow diagrams) koji omogućuju vizualizaciju kretanja podataka unutar sistema. Ovi alati pomažu u identifikaciji potencijalnih rizika, određivanju pravnih osnova za obradu i planiranju tehničkih i organizacijskih mjera zaštite.

Pojedine jurisdikcije, poput EU kroz Opštu uredbu o zaštiti podataka (GDPR), zahtijevaju da se posebna pažnja posveti pravima ispitanika (data subjects), uključujući pravo na pristup, ispravku, brisanje, ograničavanje obrade, prenosivost podataka i prigovor. Ova prava predstavljaju temelj moderne regulative privatnosti i postavljaju visoke standarde zaštite ličnih podataka.

Razumijevanje i klasifikacija ličnih podataka stoga su osnova za omogućavanje ostvarivanja ovih prava, kao i za ispunjenje regulatornih zahtjeva koji postaju sve izraženiji i u Bosni i Hercegovini. U kontekstu najavljenih izmjena i usklađivanja domaćeg zakonodavstva s GDPR standardima, poznavanje ovih koncepata postaje ključna obaveza za organizacije koje obrađuju lične podatke.

Pored usklađenosti sa zakonom, ova prava sve češće predstavljaju i ugovorne zahtjeve međunarodnih partnera, naročito u sektorima finansija, zdravstva i IT usluga. Stoga je strateški važno da organizacije u BiH razviju sposobnost klasifikacije podataka, prepoznavanja pravne osnove obrade, i tehničku spremnost da odgovore na zahtjeve ispitanika.

Principi privatnosti

Osnovni principi privatnosti predstavljaju temelj za uspostavljanje i održavanje efikasnog sistema zaštite podataka. Među najznačajnijim principima su:

• Transparentnost – korisnici moraju biti jasno informisani o načinu prikupljanja, korištenja i dijeljenja njihovih podataka.
• Minimalna obrada – prikupljaju se samo podaci koji su neophodni za ostvarenje svrhe.
• Ograničena svrha – podaci se koriste samo u svrhu za koju su prikupljeni.
• Tačnost – podaci moraju biti tačni i ažurirani.
• Ograničeno čuvanje – lični podaci ne smiju se čuvati duže nego što je neophodno.
• Integritet i povjerljivost – moraju se primijeniti odgovarajuće sigurnosne mjere.
• Odgovornost – organizacije moraju biti sposobne demonstrirati usklađenost s principima.

Posebno mjesto zauzima koncept „Privatnost po dizajnu“ (eng. Privacy by Design), koji podrazumijeva ugrađivanje zaštite privatnosti u sve faze razvoja sistema i procesa. Sedam načela Privacy by Design uključuju: proaktivnost, privatnost kao zadanu postavku, integraciju u dizajn, potpunu funkcionalnost, end-to-end sigurnost, vidljivost i transparentnost te poštovanje korisničke privatnosti.

Pored toga, široko su prihvaćeni principi OECD-a, FIPPs-a i ISACA-e koji dodatno konkretizuju smjernice za upravljanje podacima u raznim industrijama.

NIST ciljevi inženjeringa privatnosti

Nacionalni institut za standarde i tehnologiju (NIST) iz SAD predložio je tri ključna cilja inženjeringa privatnosti kao dopunu poznatoj CIA trijadi informacione sigurnosti:

• Predvidljivost (eng. Predictability): Omogućava pojedincima i upravljačima sistema da imaju pouzdana očekivanja o načinu obrade ličnih podataka. Ključna je za izgradnju povjerenja i usklađenosti s načelima transparentnosti.

• Upravljivost (eng. Manageability): Pojedinci i organizacije trebaju imati mogućnost kontrole nad ličnim podacima – uključujući pristup, izmjene, brisanje, kao i upravljanje saglasnostima.

• Odvojivost (eng. Disassociability): Sistemi trebaju biti dizajnirani tako da minimiziraju mogućnost povezivanja podataka sa identitetima, osim kada je to striktno neophodno.

Ovi ciljevi omogućavaju projektovanje sistema koji su usklađeni sa zakonodavstvom i etičkim načelima, te nude održiv pristup zaštiti podataka.

Dokumentacija privatnosti

Efikasno upravljanje privatnošću zahtijeva detaljnu i ažurnu dokumentaciju. Ključni dokumenti uključuju:

• Registar aktivnosti obrade (RoPA) – sadrži pregled svih procesa koji uključuju lične podatke.
• Politike privatnosti – definiraju pravila i obaveze unutar organizacije.
• Tehničke i organizacijske mjere – uključuju sigurnosne procedure i kontrolne mehanizme.
• Ugovori o obradi podataka sa trećim stranama – jasno definiraju odgovornosti i zaštitu podataka.
• Evidencija o saglasnostima i zahtjevima korisnika – omogućava dokazivanje usklađenosti.

Kroz pravilno vođenje ove dokumentacije organizacije mogu demonstrirati odgovornost (eng. accountability) i ispuniti regulatorne zahtjeve, čime se dodatno osigurava zaštita prava ispitanika.

Zaključak

Upravljanje privatnošću predstavlja kompleksan, ali ključan segment savremenog poslovanja, naročito u uslovima ubrzane digitalizacije i sve strožijih regulatornih zahtjeva. CDPSE okvir ne pruža samo teorijsko znanje, već i praktične smjernice za implementaciju sveobuhvatnog programa zaštite privatnosti, koji uključuje identifikaciju podataka, upravljanje rizicima, poštivanje prava ispitanika, dokumentaciju i kontinuirano unapređenje. Za organizacije u Bosni i Hercegovini, poznavanje ovih principa ima dvostruki značaj: prvo, kao priprema za usklađivanje sa novim Zakonom o zaštiti ličnih podataka, koji se sve više približava evropskim standardima poput GDPR-a; drugo, kao osnova za uspostavljanje povjerenja i ispunjenje očekivanja međunarodnih partnera, klijenata i regulatornih tijela. U konačnici, sistematsko upravljanje privatnošću nije samo obaveza, već i prilika za jačanje institucionalne otpornosti, digitalne odgovornosti i dugoročne konkurentnosti na tržištu.

[1] CSO/CISO u MKF / MKD EKI Sarajevo haris.hamidovic@eki.ba

Pogledajte i ostale Novosti.

Vezane novosti:

Seminar – Zaštita ličnih podataka – Juni 2025

CD – Model pravilnika o zaštiti ličnih podataka

Objavljeno novih 60 odgovora na pitanja na portalu RECko radni odnosi FBiH

Definisanje radnog mjesta i opis zadataka zaposlenih radnika

Državni i vjerski praznici – stručni članak – Jusuf Brkić, dipl. iur.