Nova regulacija zaštite podataka Comping d.o.o. · PDF fileGDPR by Comping – 8 koraka do usklađenja 32 Osiguravanje osobnih podataka sukladno GDPR-u 34 Je li vaša organizacija

gdpr | Nova regulacija zaštite podataka 1

Nova regulacija zaštite podataka Comping d.o.o.

gdpr | Nova regulacija zaštite podataka gdpr | Nova regulacija zaštite podataka2 3

utje

caj

nove

reg

ulat

ive

na o

rgan

izac

ije

put

do u

skla

đeno

sti

Nova regulacija zaštite podataka 4

Sadržaj

Što trebamo znati o GDPR-u?

Definicija GDPR 8

Ključne izmjene koje donosi nova regulativa 10

Na koga se odnosi nova regulativa? 12

Ključni pojmovi 14

Utjecaj nove regulative na organizacije

Kako će ovo utjecati na vaše poslovanje? 18

Koji će tipovi organizacija biti najviše pogođeni ovim izmjenama? 22

Što organizacije trebaju napraviti kako bi se pripremile? 24

GDPR iz perspektive Compinga – put do usklađenosti

Kako Comping može pomoći 30

GDPR by Comping – 8 koraka do usklađenja 32

Osiguravanje osobnih podataka sukladno GDPR-u 34

Je li vaša organizacija spremna? 36

GDPR definicije pojmova 38

Statistički podaci korišteni prilikom izrade ove brošure su javno dostupni i preuzeti su s interneta.


Od trenutka stupanja na snagu ove odredbe, način

na koji štitimo, obrađujemo

i upravljamo podacima će

se u potpunosti promijeniti!

25. svibnja 2018. godine počet će se primjenjivati opća uredba europske unije o zaštiti podataka, u javnosti poznatija po svom skraćenom nazivu – gdpr, što dolazi od originalnog punog engleskog naziva general data protection regulation.

Od trenutka stupanja na snagu ove odredbe, način na koji štitimo, obrađujemo i upravljamo podacima će se u potpunosti promijeniti!

Uvodeći ključne promjene u Europska prava privatnosti, novi jedinstveni zakon za zaštitu podataka odnosno Opća uredba o zaštiti podataka ili GDPR, zamijenit će dosadašnju

Direktivu za zaštitu podataka iz 1995. i sve njezine lokalne primjene, predstavljajući time najveću reformu vezanu za privatnost podataka u posljednjih 20 godina.

Približavanjem datuma početka primjene GDPR-a, u javnosti će se pojavljivati sve brojnija pitanja vezana uz samu odredbu, njezin učinak na različite dionike te proces njezine primjene. Zato je od izuzetne važnosti pravovremeno se informirati o svim aspektima ove sveobuhvatne novine koja će utjecati na gotovo sve dijelove društva i na gotovo sve aspekte života.

Nova regulacija zaštite podataka


Što trebamo znati o gdpr-u?


gdpr će unijeti promjene u

živote pojedinaca, pružajući im veću

kontrolu i prava nad njihovim

osobnim podacima.

GDPR odnosno Opća uredba o zaštiti podataka razvijena je s ciljem osnaživanja i usklađivanja prava na privatnost i zaštitu osobnih podataka pojedinaca unutar EU.

Definicija gdpr

Svatko ima pravo na zaštitu osobnih podataka koji se na njega ili nju odnose.— Članak iz temeljnih prava pojedinaca u EU!

Ta nova pravila i zakoni rezultirali su Općom uredbom o zaštiti podataka ili GDPR-om.

Jedan od ključnih ciljeva GDPR-a je dodatno ojačati prava na zaštitu podataka odnosno pružiti pojedincima veću kontrolu nad njihovim osobnim podacima. Drugi ključni cilj je konsolidacija svih različitih regulativa, zakona i smjernica prisutnih unutar raznih zemalja članica EU u jedinstveni zakon. Konsolidacijom će se pojednostaviti i stvoriti jasan pravni okvir koji će potencijalno poboljšati poslovne prilike te smanjiti dvosmislenosti kada je riječ o dijeljenju podataka.

Ono što svakako treba napomenuti jest činjenica da je GDPR regulativa, dok je postojeći zakonski akt za ovo područje – direktiva. Osnovna razlika leži u tome što je regulativa obvezujući zakonski akt koji je zakonski izvršiv, dok direktiva za zaštitu podataka predstavlja niz ciljeva koji se trebaju ostvariti, a na svakoj zemlji članici je da odluči kako će udovoljiti direktivi.


Trenutna Direktiva za zaštitu podataka iz 1995. nije formulirana na način da ide ukorak s naglim razvojem društvenih medija te masovnog dijeljenja podataka s kojim se danas svi svuda susrećemo. Zbog toga je Europska unija 2012., započela proces definiranja novih pravila.


Osim brisanja podataka, pojedinci će također imati pravo na čitljivu kopiju svih podataka koje neka organizacija ima o njima te imaju pravo prigovora na činjenicu da se njihovi osobni podaci obrađuju.

Ključne izmjene koje donosi nova regulativa

organizacija brisanje njihovih osobnih podataka ukoliko nemaju pravnu osnovu za njihovo dalje čuvanje koristeći „pravo na zaborav“ („Right to be Forgotten“) te tražiti ispravak netočnih podataka koristeći „pravo na ispravak“ („Right to Rectification“).

Širi djelokrug primjene - Regulativa će se također odnositi na kompanije koje nisu unutar EU a koje obrađuju osobne podatke EU građana.

Povećavaju se prava vlasnika podataka

pristup podacima ispravak brisanje podataka kompenzacije sudske tužbe

Zahtjevi za implementacijom integrirane zaštite podataka („Privacy by Design”)

Imenovanje DPO-a će biti biti obavezno za određene organizacije i njihova tijela

Uvode se novi načini obavijesti u slučaju neovlaštenog pristupa podacima

Voditelji zbirke podataka moraju prijaviti neovlašteni pristup podacima ne kasnije od 72 sata.

Uvođenje obavezne procjene učinka na zaštitu podataka (DPIA)

Izmjene o pribavljanju odgovarajućih privola uključujući privole za obradu podataka o djeci

Prihvaćam pretplatu

Odjava s pretplate

Roditeljske privole: Obrada podataka djece ispod 13 godina je legalno samo ako roditelj ili skrbnik da privolu

Pored utjecaja na poslovne subjekte, GDPR će također potaknuti promjene u životima pojedinaca, pružajući im veću kontrolu i prava nad njihovim osobnim podacima. Kao rezultat toga, pojedinci će biti u mogućnosti zahtijevati od

online identiteti

Definicija osobnog podatka je dosta šira

genetski identifikatori

mentalni identifikatori

kulturološki identifikatori

ekonomski identifikatori


Na koga se odnosi nova regulativa?

GDPR regulativa dodatno ojačava individualna prava pojedinca. Drugim riječima, ako određena organizacija koristi, obrađuje, dijeli ili pohranjuje osobne podatke EU građana, oni moraju biti usklađeni s ovom regulativom. Opća uredba o zaštiti podataka je obvezna za primjenu u svim poslovnim subjektima koji na bilo koji način koriste evidentirane osobne podatke građana EU, bez obzira gdje se oni nalazili.

Na taj će način svaki građanin imati pravo znati i biti detaljno obaviješten o svrsi za koju se osobni podaci obrađuju – bit će upoznat s periodom na koji će podaci biti pohranjeni, s osobnim podacima primatelja, saznat će što je logika automatske obrade osobnih podataka i što može biti posljedica takve obrade, barem u slučajevima kada se obrada temelji na profiliranju.

Mnoge organizacije koje se susreću s GDPR regulativom su iznenađene da se ona odnosi i na njih. Sama regulativa uvodi jako širok djelokrug primjene kako bi ujedinila sve zakone o zaštiti podataka širom EU. Upravo ta veličina primjene je doprinijela tome da mnoge kompanije krivo pretpostavljaju da se GDPR odnosi samo na organizacije koje obrađuju velike količine osobnih podataka. Međutim uzimajući u obzir određene činjenice zakona, bez obzira na veličinu organizacije ista mora biti usklađena s GDPR. Ukoliko niste sigurni odnosi li se GDPR i na vašu organizaciju, u nastavku je par pitanja koja će vam pomoći trebate li obratiti veću pozornost.

Odnosi li se GDPR na vas?

GDPR se odnosi

na vas

GDPR se odnosi

na vas

GDPR se odnosi

na vas

Obrađuje li vaša organizacija na bilo koji način osobne podatke EU građana?

Prati li na bilo koji način vaša organizacija ponašanje građana EU?

* Pod praćenjem se misli na bilo kakav oblik profiliranja ili prikupljanja korisničkih navika.

Jeste li uključeni u komercijalne aktivnosti?

NE

NE

NE

1

2

3

DA

DA

DA

GDPR se ne odnosi

na vas


„Osobni podaci” su svi podaci koji

se odnose na pojedinca čiji je

identitet utvrđen ili se može utvrditi,

osobito uz pomoć identifikatora

kao što su ime, identifikacijski broj,

podaci o lokaciji, mrežni identifikator ili uz pomoć jednog

ili više čimbenika svojstvenih za

fizički, fiziološki, genetski, mentalni,

ekonomski, kulturni ili socijalni identitet

tog pojedinca.

Kada govorimo o obradi, odnosno procesiranju osobnih podataka, pod obradom podrazumijevamo svaki postupak ili skup postupaka koji se obavljaju nad osobnim podacima ili nad skupovima osobnih podataka, automatiziranim ili neautomatiziranim sredstvima profiliranja, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

Ključni pojmovi

Nakon definiranja osobnih podataka, potrebno je definirati i tri najvažnije uloge unutar organizacija koje su važne za samu obradu osobnih podataka, odnosno za usklađenje s GDPR Uredbom:

{ „Voditelj obrade” („Data controler“) je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka

{ „Izvršitelj obrade” („Data processor“) je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade

{ „Službenik za zaštitu podataka“ (DPO) je osoba koja obavlja informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenike koji obavljaju obradu o njihovim obvezama koje uvodi GDPR. Imenovanje službenika za zaštitu podataka je obavezno u sljedeća tri slučaja:

• za tvrtke s javnim ovlastima

• za tvrtke koje obavljaju sistematski nadzor pojedinaca i osobnih podataka na velikoj skali

• za tvrtke koje obrađuju osjetljive podatke na velikoj skali.

Jedna od novosti koju uvodi nova regulativa je i provođenje obavezne Procjene učinka na zaštitu podataka (DPIA). Kada je potrebno provođenje DPIA? Ako je vjerojatnost da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade, prije obrade, provodi procjenu učinka (DPIA) predviđenih postupaka obrade na zaštitu osobnih podataka.

Još jedna od ključnih izmjena koju donosi nova EU regulativa je Koncept integrirane zaštite privatnosti („Privacy by Design“), a odnosi se na neophodnost integriranja privatnosti i zaštite osobnih podataka u informacijsko komunikacijskoj tehnologiji od početka do kraja njihovog životnog ciklusa: od faze koncepcije (dizajna), do izlaska iz upotrebe. Mehanizmi za zaštitu podataka moraju biti ugrađeni u proizvode i usluge u najranijoj fazi razvoja, a zaštita podataka se iz dobre poslovne prakse pretvara u standard.

Jedan od prvih koraka prema usklađenju s Uredbom, odnosno pokušaju implementacije rješenja ili pristupa za usklađenje jest raspoznavanje jesu li podaci koje neka organizacija posjeduje osobni, i još važnije, radi li se o posebno osjetljivim podacima (podaci o zdravstvenom stanju pojedinaca, podaci o sudskim tužbama i presudama itd.).

Što se smatra osobnim podatkom?

„Osobni podaci” su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.


Utjecaj nove regulative na organizacije


GDPR sada donosi direktnu odgovornost za

usklađenost i za vlasnika zbirke

podatka kao i za izvršitelja obrade

podataka

Uvođenjem GDPR-a, uloga izvršitelja obrade podataka („Data processor“) se ne mijenja. Svatko tko danas obavlja poslove obrade podataka, sukladno trenutno aktualnoj Direktivi za zaštitu podataka, nastavit će to činiti i sukladno GDPR-u. Međutim, tamo gdje je Direktiva zahtijevala izravnu odgovornost za usklađenost samo od vlasnika zbirke podataka („Data controler“), GDPR sada donosi direktnu odgovornost za usklađenost i za vlasnika zbirke podatka kao i za izvršitelja obrade podataka.

Kako će ovo utjecati na vaše poslovanje?

Osim toga, novost je i to da su i vlasnik zbirke podatka kao i izvršitelj obrade podataka izravno podložni značajnim kaznama, ukoliko ne budu usklađeni s novom regulativom.

Gotovo je sigurno da će GDPR imati direktan utjecaj na samo poslovanje organizacija odnosno zahtijevati će promjenu poslovnog modela, a to iziskuje vrijeme, budžet te resurse. Stoga je nužno što prije početi sa prvim koracima ka usklađenju. Organizacije koje već sada nisu osigurale potrebne budžete i resurse kako bi se što bolje pripremile mogu očekivati znatne organizacijske troškove posebice u vremenu nakon svibnja 2018.

Nadzor od strane jednog autoriteta

{ Europski odbor za zaštitu podataka

{ Jedno vodeće supervizorsko tijelo

{ Obavezne obavijesti o neovlaštenom pristupu

{ Visoke kazne u slučaju kršenja

{ Zahtjevi za certifikatima

Organizacijske mjere

{ Službenik za zaštitu osobnih podataka (DPO)

{ Procjena učinka na zaštitu osobnih podataka (DPIA)

{ Repozitorij osobnih podataka

{ Integrirana zaštita podataka

{ Okviri za usklađenost s GDPR

Pravne promjene

{ Proširena juridistikcija

{ Jedinstveni zakon

{ Uvođenje odgovornosti za izvršitelje obrade podataka

Prava građana

{ Stroži uvjeti za privole

{ Pravo na ispravak podataka

{ Pravo na brisanje podataka, pravo na zaborav

{ Pravo na obustavu obrade

{ Pravo na prenosivost

{ Pravo na prigovor na automatsko donošenje odluka

gdpr | Nova regulacija zaštite podataka 18 gdpr | Nova regulacija zaštite podataka 19


65%organizacija je najviše zabrinuto zbog potencijalnih kazni koje sežu do 20 milijuna € ili 4% ukupnog godišnjeg prometa

1/2Samo ½ organizacija je odvojila budžete u svrhu pripreme za novu regulaciju

36%ispitanika smatra da je promjena procesa vezanih za zaštitu podataka i upravljanje jedan od najvećih izazova

31%ih je najviše zabrinuto zbog volumena pohranjenih podataka koje moraju zaštititi

74%organizacija smatra da će usklađenost s GDPR negativno utjecati na njihovu organizaciju

gdpr | Nova regulacija zaštite podataka 20 gdpr | Nova regulacija zaštite podataka 21


Direktne pravne obaveze koje se odnose na

izvršitelje obrade osobnih podataka,

od najveće su važnosti za one

organizacije koje su u ulozi izvršitelja

obrade.

Sukladno GDPR-u, izvršitelji obrade podataka (npr. podugovoreni pružatelji usluga) će gotovo sigurno kao izravnu posljedicu povećanih obaveza za usklađenost biti suočeni sa znatno većim troškovima, a ti troškovi će se potencijalno prebaciti na krajnje korisnike. Dodatno, pregovori oko ugovora za suradnju koja podrazumijeva obradu, postat će složeniji jer će izvršitelji postati oprezniji oko pitanja prava i obaveza unutar ugovora te opsega uputa od strane voditelja obrade.

Koji će tipovi organizacija biti najviše pogođeni ovim izmjenama? Direktne pravne obaveze koje se odnose na izvršitelje obrade osobnih podataka, od najveće su važnosti za one organizacije koje su u ulozi izvršitelja obrade. Međutim te obaveze su važne i za organizacije koje su u ulozi voditelja obrade, a koje za samu provedbu obrade u svoje ime angažiraju druge izvršitelje obrade.

Svijest o najavljenim promjenama koje donosi GDPR

43%

50%organizacija je svjesno najavljenih promjena

58%

Manje svjesne Više svjesne

Visokotehnološke organizacije su najmanje svjesne, dok je financijski sektor najviše svjestan


organizacija koja nastupa kao izvršitelj obrade treba:

{ Identificirati sve aktivnosti uključene u obradu osobnih podataka za koje vrši obradu

{ Osigurati razumijevanje odgovornosti izvršitelja obrade podataka prema GDPR-u

{ Osigurati postojanje odgovarajućih procesa i predložaka za prepoznavanje potencijalnih upada u sustav podataka, njihovo razmatranje te brzo obavještavanje relevantnog voditelja obrade podataka o takvim upadima.

Što organizacije trebaju napraviti kako bi se pripremile? Organizacije koje imaju ulogu izvršitelja obrade podataka ili onu voditelja obrade koji angažiraju izvršitelje obrade podataka, trebaju pažljivo provjeriti zahtjeve vezane za imenovanje izvršitelja obrade. Konkretno, trebaju provjeriti trenutne ugovore za obradu podataka od strane drugih organizacija i procijeniti jesu li potrebne neke dodatne izmjene ili dopune. Svi novonastali ugovori vezani za obradu osobnih podataka moraju biti sastavljeni sukladno zahtjevima GDPR-a. Osim toga, svaka

Demonstracija usklađenosti

Upravljanje podacima („Data Governance”) – odgovornost uprave

Jasne uloge i odgovornosti – Imenovanje DPO-a

Provođenje analize učinka na zaštitu podataka (DPIA)

Pravovremeno obavještavanje o neovlaštenom pristupu podacima

Implementacija integrirane zaštite podataka („Privacy by Design”, „Privacy by Default”)

Uvođenje odgovarajućih sigurnosnih mjera

Kreiranje okvira za usklađenost s privatnosti podataka

{ PIMS („Personal Information Management System”)

{ ISO norme i Certifikati

Suradnja s lokalnim GDPR nadzornim tijelom

Ključne točke za usklađenost


demonstriratiDemonstrirati usklađenost (Članak 24)

implementiratiImplementirati integriranu

zaštitu privatnosti - „Privacy by Design” (Članak 25)

provjeritiProvjeriti koje podatke pohranjujemo (Članak 30)

surađivatiSurađivati za supervizorskim

tijelom na lokalnoj razini (Članak 31)

zaštititiUvesti prikladne sigurnosne mjere (Članak 32)

obavijestitiPravodobno obavijestiti o neovlaštenim pristupima

podacima

provoditiProvoditi procjene učinka na zaštitu podataka (DPIA)

imenovatiImenovati službenika za zaštitu

osobnih podataka (DPO)

Kako se organizacije pripremaju za GDPR? Obveze organizacija

70%poslovnih i IT profesionalaca nema nikakvo znanje o GDPR strategiji njihove organizacije

75%ispitanika izvan EU nisu znali odnosno nisu bili pripremljeni za GDPR

97%organizacija nema konkretne planove za GDPR nakon svibnja 2018.

1/3organizacije se osjećaju spremnim za GDPR danas



gdpr iz perspektive Compinga – put do usklađenosti

put

do u

skla

đeno

sti


Usklađivanje sa GDPR-om

počinje znanjem.

Kako Comping može pomoći

Na području RH iskustava u GDPR području je jako malo, a specijalizacije se tek skupljaju. Većina hrvatskih tvrtki mora se suočiti sa ovim izazovom za što će im trebati multidisciplinarni timovi sa specifičnim znanjima koja sežu od dubokog razumije-vanja informacijskih tehnologija i upravljanja informacijskim su-stavima, preko analize poslovnih procesa i upravljanja informa-cijama, sve do upravljanja po-slovnim strategijama i specifične pravne ekspertize.

Usklađivanje sa GDPR-om vrlo je zahtjevan zadatak s organizacijske, a još više sa tehničke strane. U tvrtkama koje

Kako Comping može pomoći:

{ Edukacija o GDPR

{ Procjena usklađenosti trenutnih poslovnih procesa s GDPR

{ Provođenje GAP analiza i procjena učinka na zaštitu osobnih podataka (DPIA)

{ Kreiranje detaljne mape podataka

{ Kreiranje strategije za usklađenost

{ Preporuka za implementaciju tehničkih rješenja za usklađenost

{ Implementacija i preporuka sigurnosnih rješenja za zaštitu osobnih podataka

{ Mogućnost angažiranja naših stručnjaka

svoje poslovne modele grade na intenzivnoj obradi osobnih podataka usklađivanje sa GDPR zahtjevima moglo bi imati veliki učinak na poslovanje, dok bi zanemarivanje ove obaveze moglo rezultirati izuzetno visokim kaznama.

Usklađivanje sa GDPR-om počinje znanjem.

Comping uz tim stručnjaka iz svih domena, informacijski tehnologija i sigurnosti, analize poslovnih procesa i njihova upravljanja u mogućnosti je svim organizacijama na koje regulativa utječe biti pouzdan partner na putu do njihova usklađenja sa regulativom.


gdpr by Comping – 8 koraka do usklađenja

1 planiranje i resursi – Imenovanje DPO-a ili osobe koja će upravljati

zaštitom osobnih podataka unutar organizacije. Ova osoba će interno obavljati poslove informiranja, savjetovanja te kontrole.

2 mapa podataka – izgraditi detaljnu i potpunu sliku u kojoj

su sadržani osobni podaci i u kojoj su prikazane aktivnosti koje se nad njima provode.

5 prioritiziranje koraka za usklađenost

{ Minimiziranje podataka - ukoliko organizacija pohranjuje osobne podatke koje više ne treba, potrebno ih je izbrisati

{ Provjera pravnih osnova za obradu podataka

{ Provjera i obnavljanje postojećih naputaka/obavijesti o privatnosti

{ Potvrda da su svi vendori/izvršitelji obrade osobnih podataka svjesni svojih obaveza i odgovornosti u skladu s GDPR

{ Definiranje procedura za upravljanje zahtjevima pojedinaca kod ostvarivanja prava na zaštitu osobnih podataka

{ Provjera implementiranih sigurnosnih mjera za zaštitu podataka

6 dpia - provođenje analize učinka na zaštitu podataka -

Identificirati propuste te definirati koje je promjene potrebno napraviti

7 tehnologija – osigurati da bilo koja nova tehnologija koju

će organizacije kupiti ili razviti bude usklađena s GDPR-om („Privacy by design“)

8 ugovori – trenutno sklopljeni ugovori mnogu trajati i

nakon datuma stupanja GDPR-a na snagu. Potrebno je poduzeti sve mjere kako bi bili unaprijed usklađeni s GDPR-om.

4 procesi – Provjeriti trenutne procese: kako će GDPR djelovati

na njih, kakav je utjecaj te kako upravljati neophodnim izmjenama.

3 zaposlenici i komunikacija – educirati zaposlenike

na temu GDPR zahtjeva. Oni moraju razumjeti rizike te posljedice pogrešnog korištenja podataka.


Osiguravanje osobnih poda-taka sukladno gdpr-u

Aspekt sigurnosti izuzetno je važan dio usklađenosti s GDPR regulativom. Sukladno članku 5. GDPR-a koji govori o načelima obrade osobnih podataka, osobni podaci moraju biti obrađivani tako da se osigura odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja, primjenom odgovarajućih

32%nesretan slučaj i nespretnosti od strane trećih strana

29%greške u sustavima

Ljudski faktor je ključ za sigurnost podataka unutar vaše organizacije! 17%

neovlaštenih upada u osobne podatke su rezultat ne enkriptiranih prijenosnih uređaja

1/3svih gubitaka podataka su rezultat ljudske pogreške

35%gubitak laptopa ili drugih mobilnih uređaja

3 najčešća razloga gubitka podataka

tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”). U tu svrhu, prema GDPR-u organizacije su dužne:

{ Implementirati „odgovarajuće tehničke i organizacijske mjere kako bi osigurale odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući enkripciju osobnih podataka“ (Članak 32., Sigurnost obrade).

{ U slučaju neovlaštenog pristupa podacima, organizacija ne mora obavijestiti vlasnika podataka ukoliko su poduzete odgovarajuće tehničke i organizacijske mjere koje osobne podatke čine nerazumljivima, kao što je enkripcija (Članak 34., Obavješćivanje ispitanika o povredi osobnih podataka)


Je li vaša organizacija spremna?

Probajte odgovoriti na ova pitanja:

□ Jeste li upoznati s GDPR i razumijete li reforme koje nastupaju nakon svibnja 2018?

□ Smatrate li da će GDPR utjecati na vašu organizaciju?

□ Znaju li ključne osobe unutar vaše organizacije koje su obveze organizacije prema GDPR?

□ Jeste li pokrenuli bilo kakve korake koji demonstriraju da je vaša organizacija započela s pripremama za GDPR?

□ Jesu li poslovni procesi unutar vaše organizacije koji se odnose na obradu osobnih podataka usklađeni s konceptom integrirane zaštite („Data Protection by Design”)?

□ Je li vaša organizacija dodijelila službenika za zaštitu osobnih podataka (DPO) te ima li ta osoba adekvatnu potporu od strane uprave, resurse i znanje koje je potrebno za tu ulogu?

□ Postoji li unutar vaše organizacije sustav za otkrivanje i procjenu rizika neovlaštenog pristupa osobnim podacima?

□ Posjeduje li vaša organizacija pravila, procese i dokumentaciju koja dokazuje da ste usklađeni?

□ Jeste li provjerili sve metode i kanale kojima pribavljate privole za obradu i pohranu osobnih podataka te jesu li te privole usklađene s novom regulativom?

□ Znate li kako i kada je potrebno napraviti procjenu učinka na zaštitu osobnih podataka?

□ Posjedujete li bilo kakav dokaz ili provedene revizije koje dokazuju da ste zaštitili vaše podatke od vanjskih prijetnji?

□ Posjedujete li bilo kakav dokaz ili provedene revizije koje dokazuju da ste zaštitili vaše podatke od internih prijetnji?

□ Posjedujete li trenutno procese, procedure ili certifikate za zaštitu vaših podataka?

Ukoliko vam je potrebna pomoć oko odgovora na ova pitanja, slobodno kontaktirajte Comping.

|


gdpr definicije pojmova

i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.

Izvršitelj obrade („Processor”) znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Primatelj („Recipient”) znači fizička ili pravna osoba, tijelo jav-ne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti po-dataka prema svrhama obrade.

Povreda osobnih podataka („Personal Data Breach”) znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog ot-krivanja ili pristupa osobnim poda-cima koji su preneseni, pohranjeni ili na drugi način obrađivani.

Genetski podaci („Genetic Data”) znači osobni podaci koji se

odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fizio-logiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom bio-loškog uzorka dotičnog pojedinca.

Biometrijski podaci („Biometric Data”) znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološ-kim obilježjima ili obilježjima pona-šanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci.

Podaci koji se odnose na zdravlje („Data Concerning Health”) znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, ko-jima se daju informacije o njegovu zdravstvenom statusu.

Integrirana zaštita podataka („Privacy by Design”) - Kon-cept koji se odnosi se na neop-hodnost integriranja privatnosti i zaštite osobnih podataka u infor-macijsko komunikacijskoj tehno-logiji od početka do kraja njihovog životnog ciklusa.

Procjena učinka na zaštitu osobnih podataka (DPIA) – alat koji se koristi za identifikaciju i smanjenje rizika na zaštitu privat-

nosti osobnih podataka pojedinaca analizom osobnih podataka koji se obrađuju te postavljenih pravila za zaštitu osobnih podataka.

Pravo na zaborav („Right to be Forgotten”) – pravo pojedinca na ishođenje brisanja osobnih podataka koji se na njega odnose, zabranu daljnjeg širenje podataka, te eventualnu zabranu obrade po-dataka od strane trećih strana.

Pravo na pristup („Right to Access”) - Pojedinac ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima.

Pravo na ispravak („Right to Rectification”) - Pojedinac ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispra-vak netočnih osobnih podataka koji se na njega odnose.

Pravo na ograničenje obrade („Right to Objection”) - Pojedi-nac ima pravo od voditelja obrade ishoditi ograničenje obrade ako na bilo koji način osporava točnost osobnih podataka, obrada je neza-konita ili smatra da voditelj obrade više ne treba osobne podatke.

Pravo na prenosivost podataka („Right to Data Transfer”) - Po-jedinac ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upo-trebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade.

Izrada profila („profiling”) znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocje-nu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonom-skim stanjem, zdravljem, osobnim sklonostima, interesima, pouzda-nošću, ponašanjem, lokacijom ili kretanjem tog pojedinca.

Pseudonimizacija („Pseu-donymisation”) znači obrada osobnih podataka na način da se osobni podaci više ne mogu pri-pisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne infor-macije drže odvojeno te da podli-ježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.

Sustav pohrane („filing System”)znači svaki strukturirani skup osobnih podataka dostupnih pre-ma posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi.

Treća strana („Third Party”) znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležno-šću voditelja obrade ili izvršitelja obrade.

Privola („Consent”) ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izraža-vanje želja ispitanika kojim on izja-vom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

Predstavnik („Representative”) znači fizička ili pravna osoba s po-slovnim nastanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s člankom 27., a koja predstavlja voditelja obrade ili izvršitelja obra-de u pogledu njihovih obveza na temelju ove Uredbe.

Obvezujuća korporativna pra-vila („binding Corporate Ru-les”) znači politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prije-nose ili skupove prijenosa osobnih podataka voditelju obrade ili izvrši-

telju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom dje-latnošću.

Nadzorno tijelo („supervisory Authority”) znači neovisno tijelo javne vlasti koje je osnovala drža-va članica u skladu s člankom 51.

Predmetno nadzorno tijelo („supervisory Authority Con-cerned”) znači nadzorno tijelo koje je povezano s obradom osob-nih podataka zato što: (a) voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom po-dručju države članice tog nadzor-nog tijela; (b) obrada bitno utječe ili je izgledno da će bitno utjecati na ispitanike koji borave u državi članici tog nadzornog tijela; ili (c) podnesena je pritužba tom nadzor-nom tijelu.

Prekogranična obrada („cro-ss-Border Processing”) znači ili: (a) obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti poslovnih nastana u više od jedne države članice voditelja obrade ili izvršitelja obrade, a vodi-telj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne dr-žave članice; ili (b) obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti jedinog po-slovnog nastana voditelja obrade ili izvršitelja obrade, ali koja bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jed-ne države članice.

Relevantni i obrazloženi pri-govor („Relevant and Reaso-ned Objection”) znači prigovor na nacrt odluke kao i na to je li došlo do kršenja ove Uredbe, ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika i, ako je primjenjivo, slo-bodnog protoka osobnih podataka unutar Unije.

Osobni podaci („Personal Data”) znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispi-tanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili ne-izravno, osobito uz pomoć identi-fikatora kao što su ime, identifika-cijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mental-ni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Obrada („Processing”) znači svaki postupak ili skup postupaka koji se obavljaju na osobnim po-dacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvi-ma kao što su prikupljanje, bilje-ženje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspo-laganje na drugi način, usklađiva-nje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

Voditelj obrade („Controller”) znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe


Comping d.o.o. Heinzelova 70, HR-10000 Zagreb T +385 1 2484 200, F +385 1 2484 201E [email protected] www.comping.hr

Documents

Nova regulacija zaštite podataka Comping d.o.o. · PDF fileGDPR by Comping – 8 koraka do usklađenja 32 Osiguravanje osobnih podataka sukladno GDPR-u 34 Je li vaša organizacija