GDPR - Zaštita naše privatnosti

Sv. Martin na Muri, 3. listopada 2018.

Igor Barlek CCO, Chief Compliance Officer Pragmatekh d.o.o. Kušlanova 2, Zagreb T: +385 1 5806 502 M: +385 91 469 1122 E: igor.barlek@pragmatekh.hr w: www.pragmatekh.hr w: www.digitaltransformation-adriatic.com w: www.gdprinstitute.eu

Imate podatke o djeci zaposlenika?

Životopise kandidata koje niste zaposlili?

Video nadzor radnih prostora i zgrade?

Podatke o zdravstvenom stanju zaposlenika?

Nudite osiguranje učenika s izabranom osigurateljskom kućom?

Stavljate fotografije i video snimke učenika na Facebook i web?

Vodite učenike na izlete?

Imate arhivu dokumentacije?

Kakve to veze ima s mojom školom?

GDPR - 8 KLJUČNIH TOČAKA

1. Uredba

TEMELJNI EU PROPIS

- Puna primjena od 25.05.2018.

- Stara Direktiva (1995) i stari Zakon o zaštiti

podataka (2003) stavljaju se van snage

- Primjena na:

- sve poslovne subjekte u EU

- sve poslovne subjekte u svijetu koji

obrađuju osobne podatke građana i stanovnika

EU

PROVOĐENJE – nacionalno nadzorno tijelo

Agencija za zaštitu osobnih podataka – AZOP

- Nacionalni zakonski okvir

- Nadzor

- Korektivne mjere

- Savjetovanje

KOJI SU TO OSOBNI PODACI?

2. Predmet

Skup podataka koji omogućava izravno ili

neizravno identificiranje pojedinca poput:

ime i prezime

adresa

OIB

lokacija

bankovni računi

fotografija

informacije na društvenim mrežama

IP adresa i web-kolačići

video snimka

genetički i biometrijski podaci

podaci o zdravlju

članstvo u sindikatu

politička uvjerenja i vjerska

pripadnost

seksualna orijentacija

.....

NAČELA OBRADE PODATAKA

3. Načela

Osobni podaci moraju biti obrađivani

prema sljedećim načelima:

1.Zakonitost, poštenje i

transparentnost

2.Ograničavanje svrhe

3.Ograničavanje količine podataka

4.Ograničenje pohrane

5.Točnost

6.Cjelovitost i povjerljivost

7.Pouzdanost

Članak 5.

Uredbe

LEGITIMITET OBRADE

4. Pravni temelji

Pravni temelj obrade podataka:

1. Zakonska obveza

2. Ugovorna obveza

3. Legitimni interes

4. Privola

5. Javni interes

6. Vitalni interes

Privola:

- Dobrovoljna, Posebna, Informirana,

Nedvosmislena želja ispitanika

- Pisana jasnim i jednostavnim jezikom

- Ne može biti uvjet pružanja usluge

- Povlači se jednostavno kako se i daje, bez

posljedica

PRAVA ISPITANIKA

5. Ispitanici

PRAVO NA PRISTUP – koje osobne podatke

VODITELJ obrade ima o njemu

PRAVO NA ISPRAVAK – na zahtjev podaci se

MORAJU u kratkom roku ispraviti, briga za

točnost podataka je OBAVEZA Voditelja obrade

PRAVO NA PRIGOVOR – u slučaju sumnje da se

obrađuju podaci bez valjanog pravnog temelja

PRAVO NA ZABORAV (BRISANJE) – na zahtjev

voditelj obrade je dužan OBRISATI osobne

podatke

PRESELJENJE PODATAKA – po zahtjevu voditelj

obrade je dužan podatke PREDATI ispitaniku u

standardnom elektronskom formatu

PRAVO NA PRIGOVOR KOD AUTOMATSKE OBRADE – kod

profiliranja za izravni marketing, ljudsku

intervenciju kod odbijanja

VODITELJ I IZVRŠITELJ

6. Tvrtke

VODITELJ OBRADE

- određuje svrhe i načine obrade osobnih podataka

- određuje (vanjske) izvršitelje obrade

IZVRŠITELJ OBRADE

- obrađuje osobne podatke u ime voditelja obrade

- obrađuje osobne podatke samo prema pisanim uputama voditelja obrade

KOMPLEKSNOST ODNOSA

- moraju biti vezani ugovorom USKLAĐENIM s GDPR-om

VODITELJ I IZVRŠITELJ

6. Tvrtke

Izraditi Ugovore ili Dopune Ugovora s

vanjskim izvršiteljima u skladu s člankom

28. Uredbe na način da u svom pisanom

ugovoru definiraju:

Pisane upute voditelja obrade izvršitelju

Da su zaposlenici ovlašteni za obradu osobnih

podataka obvezani na poštovanje povjerljivosti

Da poduzima sve mjere za sigurnost obrada podataka

Da mora obavijestiti voditelja o angažiranju

drugog izvršitelja

Ispunjava obveze na zahtjeve za ostvarivanje prava

ispitanika

Da briše ili vraća voditelju obrade sve osobne

podatke nakon dovršetka obrade te briše postojeće

kopije

Da daje podršku u slučaju inspekcija i revizija

Da odmah po saznanju obavješćuje Voditelja obrade

o povredi osobnih podataka

VODITELJ OBRADE MORA:

Prikupiti dokaze vanjskih

izvršitelja o usklađenosti

s Uredbom

TEHNIČKA I INTEGRIRANA

ZAŠTITA PODATAKA

7. Tehničke mjere

Povrede osobnih podataka

Vođenje evidencije

Izvješćivanje:

AZOP u roku 72 sata po saznanju

Svim pojedincima - vlasnicima osobnih

podataka

Informacijska sigurnost

Minimiziranje podataka – samo nužni, utemeljeni, sa

svrhom

Enkripcija

Pseudonimiranje i Anonimiziranje

Business continuity (BC) i Disaster Recovery (DR)

Redovno testiranje i dokumentiranje

Prijenos osobnih podataka izvan EU/EEA

SLUŽBENIK ZA ZAŠTITU PODATAKA

8. DPO

OBVEZA IMENOVANJA

- tijela javne vlasti ili javna tijela (javne tvrtke i institucije)

- organizacije kojima je temeljna djelatnost redovito i sustavno praćenje pojedinaca u velikoj

mjeri

- organizacije kojima je temeljna djelatnost opsežna obrada posebnih kategorija podataka

STRUČNE KVALIFIKACIJE

- Duboko poznavanje GDPR-a i EU regulative

- Poznavanje IT i Informacijske sigurnosti

- Poznavanje poslovnih procesa organizacije

- Bez sukoba interesa

- Utjecaj u organizaciji koji osigurava obavljanje zadaća

ZADAĆE

- Pružanje informacija ispitanicima

- Informiranje i savjetovanje uprave i zaposlenika

- Praćenje poštovanja Uredbe uključujući:

- Poštovanje obveza o zaštiti osobnih podataka

- Podizanje svijesti i osposobljavanje osoblja,

- Upozoravanje na nepravilnosti

- Revizije stanja

- Suradnja i kontaktna točka za nadzorno tijelo

KAKO SE ORGANIZACIJE PRIPREMAJU

ZA PRIMJENU GDPR-a?

PROJEKT USKLAĐENJA

Implementacija mjera usklađenja traži

POSLOVNO – TEHNOLOŠKO – PRAVNI

PRISTUP

Usklađenje treba voditi na 3 nivoa:

1. POSLOVNI – uprava, marketing, prodaja,

HR, ...

2. TEHNOLOŠKI – IT + InfoSec

3. PRAVNI – ugovori, uključuje nabavu!

ODAKLE KRENUTI?

Čije podatke imamo?

zaposlenici, bivši zaposlenici, kandidati, vanjski suradnici, klijenti,

kupci, đaci, studenti…

Gdje se nalaze? Da li su podaci sigurni?

arhive, aplikacije, računala, video-nadzor,

porta…

Da li imamo valjani pravni temelj?

zakon, propis, ugovor, poslovna potreba,

privola

Koje podatke imamo?

ime, OIB, email, telefon, IBAN, podaci o zdravlju, video-zapis,

registracija vozila

Jesmo li educirani?

uprava, zaposlenici, vanjski

suradnici…

Postoje li podaci koji nam više ne

trebaju?

kad smo zadnji put trebali taj dokument…?Držimo li osobne podatke predugo?

zakonski rokovi, trajanje ugovora, poslovna

potreba…

MINIMALNI SKUP MJERA #1

Video-nadzor – oznake o snimanju, naljepnice,

interni pravilnik, rok pohrane, prava

pristupa, pregleda i skidanja snimki, logovi,

uništavanje HDD-ova

Zaposlenici, praktikanti – interna Izjava o

privatnosti

Životopisi kandidata – iščistiti arhivu,

izraditi privole

Prava zaposlenika – obrazac zahtjeva, interna

uputa

Zapošljavanje – obrazac privole kandidata,

interna uputa

Dokumentacija zaposlenika – dokumentirati

postupanje, rokove zadržavanja, način pohrane

GPS nadzor lokacije vozila – obavijest u

vozilu, interni pravilnik, rok pohrane,

prava pristupa i pregleda

Djeca zaposlenika – evidencija, interna uputa

Zaštita na radu – zdravstveni podaci, način i

rok pohrane

MINIMALNI SKUP MJERA #2

Vanjski izvršitelji

- aneks ugovora u skladu s čl. 28.

Uredbe

- vanjsko računovodstvo, odvjetnički

ured, tehnička i fizička zaštita,

video-nadzor, RFID kartice, otisci

prstiju, porta, IT usluge, agencije za

zapošljavanje i psihološko testiranje

kandidata ...

Prijenos izvan EU/EEA – pisani

dokaz ispunjenja čl. 44-49.

Uredbe

Prava pojedinaca – obrazac

zahtjeva, interna uputa,

definiranje procesa, pronalaženje

osobnih podataka u sustavima i

arhiviEvidencija aktivnosti obrada –

pregled detalja obrada iz članka

30. UredbeEvidencija povreda podataka –

pregled detalja povreda iz članka

33. UredbePovrede podataka – otkrivanje,

prijava AZOP-u i pojedincima,

interne procedure

Politika privatnosti na web

stranici – najveća izloženost

prema van

PRAGMATEKH GDPR METODOLOGIJAFaze projekta usklađenja:

OSVJEŠTAVANJE

ŠTO JE UREDBA

NA KOGA SE ODNOSI

ZAPREČENE KAZNE

PROCJENA

TIP ORGANIZACIJE

VRSTE OBRADE

LOCIRANJE PODATAKA

GAP ANALIZA

DIZAJN/PLAN

PLANIRANJE

IMPLEMENTACIJE

PROJEKTNA

DOKUMENTACIJA

ODABIR RJEŠENJA

UVOĐENJE

UVOĐENJE RJEŠENJA

TESTIRANJE

DOKUMENTIRANJE

NADZOR

TRENING OSOBLJA II

NOVE PROCEDURE

PRIVATNOST PO

DIZAJNU I

DEFAULTU

REZULTATI

TESTIRANJA

TRENING

OSOBLJA

PRIKUPLJANJE

PODATAKATIPOVI I LOCIRANJE

OSOBNIH PODATAKA

PRAVNA OSNOVA / PRIVOLE