ostendoconsulting - ict business · un opća deklaracija o ljudskim pravima (udhr) •priznaje...
TRANSCRIPT
EU Privacy ProfessionalOstendo Consulting
• Od kada?• 2011.
• Gdje?• EU & USA
• Što?• Informacijska sigurnost• Usklađenost
• Reference •➡
Ukratko
Ljudska prava
• 1948. UN Opća deklaracija o ljudskim pravima (UDHR)• Priznaje urođeno dostojanstvo i neotuđiva prava svih ljudi kao temelj slobode, pravde i mira u svijetu • Pravo na poštovanje privatnog i obiteljskog života, tajnost dopisivanja, sloboda mišljenja i izražavanja
• 1950. Europska konvencija o ljudskim pravima (ECHR)• Potpisnice članice Vijeća Europe• Uz temeljna prava iz UDHR dodatno definira i pravo na život, zabranu torture, ropstva i prisilnog rada, pravo
na slobodu i sigurnost, pravično suđenje, zabranu izricanja kaznenih sankcija bez prethodnog suđenja, pravo na učinkoviti pravni lijek, slobodu okupljanja i udruživanja, slobodu stupanja u brak, zabranu diskriminacije..
• Europski sud za ljudska prava u Strasbourgu (ECtHR)
• Sud Europske unije u Luxembourgu (CJEU)• Sud (Court of Justice)• Opći sud (General Court)
Zaštita osobnih podataka
• 1979. Prvi nacionalni zakoni o zaštiti osobnih podataka:• Austrija, Danska, Francuska, SR Njemačka, Luksemburg, Norveška i Švedska• Španjolska, Portugal i Austrija ustavom definiraju zaštitu osobnih podataka kao temeljno pravo
Konvencija 108
• 1981. Konvencija 108 Vijeća Europe od 28. siječnja 1981. za zaštitu osoba glede automatizirane obrade osobnih podataka:• Jedini multilateralni pravno obvezujući međunarodni sporazum u području zaštite podataka• Načela obrade, posebne kategorije, organizacijske i tehničke mjere zaštite, informacije o obradi• Članice Vijeća Europe
• 2001. Dodatni protokol• Prijenosi u treće zemlje, koncept „adekvatnosti”, neovisno nadzorno tijelo.
• 2018. Modernizirana Konvencija 108
Direktiva 95/46
• 1995. Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca glede obrade osobnih podataka i o slobodnom protoku takvih podataka:• Temeljena na Konvenciji 108• Jednakost razine zaštite osobnih podataka u svim zemljama članicama EU i EGP• Prijenosi među zemljama članicama EU• Obavještavanje nadzornog tijela o obradi
• 2003. Zakon o zaštiti osobnih podataka (RH)
Povelja EU
• 2000 / 2009. Povelja Europske unije o temeljnim pravima• Ujednačila temeljna prava unutar EU i potvrdila osnovna načela iz ECHR• Zaštita osobnih podataka temeljno je ljudsko pravo
• Članak 8. – Zaštita osobnih podataka:• Svatko ima pravo na zaštitu osobnih podataka koji se na njega ili nju odnose.• Takvi podaci moraju se obrađivati pošteno, u utvrđene svrhe i na temelju suglasnosti osobe o kojoj je riječ, ili na nekoj
drugoj legitimnoj osnovi utvrđenoj zakonom. Svatko ima pravo na pristup prikupljenim podacima koji se na njega ili nju odnose i pravo na njihovo ispravljanje.• Poštovanje tih pravila podliježe nadzoru neovisnog tijela.
Direktiva 2002/58 (ePrivacy)
• 2002. Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama)• Postavlja pravila zaštite osobnih podataka u telekomunikacijskom sektoru• Povjerljivost informacija, prometni podaci, neželjena elektronička komunikacija (eng. spam) i kolačići (eng. cookies)
Direktiva 2006/24
• 2006. Direktiva 2006/24/EZ Europskog parlamenta i Vijeća od 15. ožujka 2006. o zadržavanju podataka dobivenih ili obrađenih u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža i o izmjeni Direktive 2002/58/EZ• Odlukom Suda Europske unije Direktiva o zadržavanju podataka je proglašena nevaljanom• Direktiva se „osobito teško miješa u temeljna prava poštovanja privatnog života i zaštite osobnih podataka”
Opća uredba o zaštiti podataka
• 2016. Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2017. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)
+ Direktiva 2016/680 („Policijska direktiva”)+ Direktiva 2016/681 („Putnička direktiva”)
Sadržajno polje primjene
• Obrada osobnih podataka• koja se u cijelosti obavlja automatizirano, ili• neautomatizirana obrada osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane
• „sustav pohrane” po članku 4. Uredbe:• svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani,
decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi
Teritorijalno polje primjene
• Obrade u okviru poslovnog nastana u EU• Nuđenje robe ili usluga ispitanicima u EU• Praćenje ponašanja ispitanika dokle god se njihovo ponašanje odvija u EU
• *Međunarodno javno pravo
» Vježba
• Lanac hotela u Južnoafričkoj Republici nudi rezervacije hotelskog smještaja i drugih usluga putem svoje web stranice. Web stranica je ponuđena na engleskom, njemačkom, francuskom i španjolskom jeziku. Tvrtka nema urede ni predstavništvo u Europskoj uniji.
» Vježba
• Farmaceutska tvrtka sa sjedištem u Stockholmu je identificirala sve aktivnosti obrade osobnih podataka koje uključuju podatke s kliničkih ispitivanja provedenih u njihovoj podružnici u Singapuru. Uzimajući u obzir organizacijsku strukturu, podružnica u Singapuru dio je iste tvrtke. Središnjica u Stockholmu određuje svrhe i načine obrade osobnih podataka koje u njihovo ime provodi podružnica u Singapuru.
» Vježba
• Izvršitelj obrade sa sjedištem u Španjolskoj stupio je u ugovorni odnos s voditeljem obrade, maloprodajnom tvrtkom sa sjedištem u Meksiku, zbog obrade osobnih podataka njihovih klijenata. Meksička tvrtka svoje usluge pruža i nudi isključivo na meksičkom tržištu, te se obrade osobnih podataka odnose samo na ispitanike koji se nalaze izvan Europske unije.
» Vježba
• Startup tvrtka sa sjedištem u SAD-u, bez ikakve poslovne prisutnosti ili podružnice u Europskoj uniji, nudi mobilnu aplikaciju namijenjenu turistima koja korisnicima omogućuje kartografsku navigaciju u području pojedinog grada. Aplikacija obrađuje osobne podatke koji se odnose na lokaciju korisnika aplikacije (ispitanika) za vrijeme njihovog korištenja aplikacije u gradu kojeg posjećuju, a u svrhu ciljanog oglašavanja lokalno relevantnih mjesta – restorana, kafića i hotela. Aplikacija je dostupna turistima za posjete New Yorku, San Franciscu, Torontu, Londonu, Parizu i Rimu.
» Vježba
• Državljanin SAD-a koristi godišnji odmor za putovanje po Europi. Za vrijeme dok je na putu u Europi, preuzme i počne koristiti mobilnu aplikaciju koju je na tržište stavila američka tvrtka. Aplikacija je isključivo usmjerena američkom tržištu.
» Vježba
• Banka na Tajvanu ima klijente koji stanuju u Tajvanu, ali koji imaju njemačko državljanstvo. Banka posluje samo na Tajvanu te svoje usluge ni na koji način ne nudi na tržištu Europske unije.
» Vježba
• Kanadska granična kontrola obrađuje osobne podatke građana Europske unije prilikom njihovog ulaska u kanadski teritorij, u svrhu provjere važenja njihove vize.
» Vježba
• Privatna tvrtka sa sjedištem u Monaku obrađuje osobne podatke svojih zaposlenika u svrhu isplate plaća. Velik broj tih zaposlenika su francuski i talijanski državljani.
» Vježba
• Marketinška agencija sa sjedištem u SAD-u pruža savjete po pitanju prostornog uređenja trgovačkog centra u Francuskoj, temeljene na analizi podataka o kretanju kupaca tog trgovačkog centra dobivenima praćenjem aktivnosti na WiFi mreži.
» Vježba
• Nizozemski konzulat u Kingstonu (Jamajka) uvodi mogućnosti slanja prijava za posao u kontekstu zapošljavanja lokalnih radnika koji će raditi kao administrativna podrška.
» Vježba
• Njemački kruzer koji plovi međunarodnim vodama obrađuje osobne podatke svojih gostiju u svrhu kreiranja personalizirane ponude brodskog zabavnog sadržaja.
Ograničenja primjene
• Ograničen opseg obveza i prava propisan pravom EU ili države članice, članak 23.Uredbe• nacionalna sigurnost• javna sigurnost• sprečavanje, istraga i otkrivanje kaznenih djela, izvršavanje kaznenih sankcija• zaštita neovisnosti pravosuđa• sprečavanje, istraga i progon kršenja etike za regulirane struke• praćenje, inspekcije ili regulatorne funkcije povezane s izvršavanjem službene dužnosti• zaštita ispitanika i sloboda drugih• ostvarivanje potraživanja u građanskim sporovima
Što je na „slici”?
Gdje je mjera?
• https://www.youtube.com/watch?v=F7pYHN9iC9I
Definicija „osobnog podatka”
• Svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”).• Pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno,
osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
“Posebne kategorije osobnih podataka“
• Podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, obrada genetskih podataka, biometrijskih podataka u svrhe jedinstvene identifikacije pojedinca, podaci koji se odnose na zdravlje ili podaci o spolnom životu i seksualnoj orijentaciji pojedinca.
Definicija obrade osobnih podataka
• „obrada”• znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo
automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
Temeljna načela
• Zakonitost, poštenost i transparentnost• Ograničavanje svrhe• Smanjenje količine podataka• Točnost• Ograničenje pohrane• Cjelovitost i povjerljivost
• = Pouzdanost
Pravne osnove za obradu podataka
• 1 – Privola (ispitanika)• 2 – Ugovorni odnos (voditelj v. ispitanik)• 3 – Pravna obveza (voditelja)• 4 – Zaštita ključnih interesa (ispitanika ili druge fizičke osobe)• 5 – Zadaća od javnog interesa ili službena ovlast (voditelja)• 6 – Legitimni interes (voditelja)
U praksi…
• 1 – Ugovorni odnos • 2 – Pravna obaveza• 3 – Legitimni interes• 4 – Privola• 5 – Zadaća od javnog interesa ili službena ovlast• 6 – Zaštita ključnih interesa
Privola (ispitanika)
• Dobrovoljan, poseban, informiran i nedvosmislen pristanak• Forma• Dokaz postojanja• Povlačenje privole • Pružanje usluge ne smije biti uvjetovano privolom za druge svrhe.
Ugovor
• Obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.
Pravna obveza
• Obrada je nužna radi poštovanja pravnih (zakonskih) obveza voditelja.
Legitimni interes (voditelja)
• Uvjeti:• Obrada mora biti neophodna za ispunjenje svrhe• Svrha mora činiti legitimni interes voditelja obrade ili treće strane• Legitimni interes mora biti jači od interesa ili prava i sloboda ispitanika• Očekivanost obrade, odnos voditelja i ispitanika
Procjena legitimnog interesa
• Test svrhe• Test nužnosti• Test ravnoteže
• Pravo na prigovor
» Vježba
• Dekanat fakulteta želi u predavaonice postaviti nadzorne kamere s ciljem zaštite osoba i imovine.• Što je sve potrebno uzeti u obzir kako bi se procijenilo postoji li legitimni interes fakulteta za ovu obradu osobnih
podataka?
Procijenite opravdanost obrade – legitimni interes:
Ostale pravne osnove
• Izvršavanje zadaće od javnog interesa i službene ovlasti• Zaštita ključnih interesa ispitanika
Što je pošlo po zlu?
Pristajem na obradu svojih osobnih podataka temeljem zakona u svrhe izvršenja prava i obveza iz ugovornog odnosa s ciljem zaštite mojih ključnih interesa u okviru obavljanja službene ovlasti voditelja
obrade. Također sam upoznat da je obrada podataka legitimni interes voditelja.
J
Načelo transparentnosti
• https://www.youtube.com/watch?v=ZqzGM8nUsDo
Obavijesti o obradi osobnih podataka
• Sadržaj: • Članak 13. Uredbe (podaci prikupljeni izravno od ispitanika)• Članak 14. Uredbe (podaci prikupljeni iz drugih izvora)• Videonadzor – Zakon o provedbi Opće uredbe o zaštiti podataka
• U mjeri u kojoj ispitanik ne posjeduje te informacije• Izričaj primjeren kategoriji ispitanika• Trenutak pružanja obavijesti
Primjer dobre prakse
• „Podaci o Vašim prethodnim kupnjama čuvaju se, a pojedinosti o proizvodima koje ste prethodno kupili koriste se kako bismo Vam mogli predlagati druge proizvode za koje vjerujemo da ćete isto biti zainteresirani”
(jasno je koje se vrste podataka obrađuju, da će se ispitaniku nuditi ciljani oglasi za proizvode i da će se njegovi podaci koristiti u te svrhe)
Primjer loše prakse
• „Vaši osobni podaci mogu se koristiti za razvoj novih usluga.”(jer nije jasno o kojim se „uslugama” radi i kako će ti podaci pomoći u njihovu razvoju)
• „Vaši osobni podaci mogu se koristiti za potrebe istraživanja.”(jer nije jasno na koja se „istraživanja” to odnosi)
• „Vaši osobni podaci mogu se koristiti za pružanje personaliziranih usluga.”(jer nije jasno što ta „personalizacija” uključuje)
• Izvor: EDPB, Smjernice o transparentnosti
» Vježba
• Poliklinika, Zagreb• Potvrđujem kako sam primio / primila na znanje kako se moji osobni podaci koriste u svrhu sklapanja i izvršenja ugovora
(npr. izdavanja računa, naplate potraživanja, utvrđivanja zdravstvenog stanja), praćenja zdravstvenog stanja, učinkovitosti tretmana, unaprjeđenja zdravstvene usluge, analize i vođenja evidencija i obavještavanja.• Potvrđujem kako sam primio / primila na znanje da se moji osobni podaci mogu prenositi ugovornim partnerima
Poliklinike u svrhu pružanja usluga, analize, ispunjenja obveza, vođenja evidencija i obavještavanja.• Potvrđujem kako sam primio / primila na znanje da se moji osobni podaci mogu u svrhu pružanja usluga, analize,
ispunjenja obveza, vođenja evidencija i obavještavanja prenositi izvan RH za što će Poliklinika poduzeti mjere sigurnosti radi zaštite mojih podataka.• Potvrđujem kako sam primio na znanje da Poliklinika izrađuje foto dokumentaciju tijekom operativnog zahvata te prije i
/ili poslije tretmana i/ili zahvata, a koja se koristi isključivo za potrebe Poliklinike radi praćenja i unapređenja medicinskih usluga te kao takva neće biti dostupna javnosti.
• Potpis: ________________
Prava ispitanika
• Pristup• Ispravak• Brisanje (zaborav)• Ograničenje obrade
• Prenosivost• Prigovor• Prava vezana uz automatizirano pojedinačno
donošenje odluka, uključujući izradu profila
Pritužba nadzornom tijelu
Postupanje po zahtjevu ispitanika
• Identifikacija ispitanika• Koliko podataka je potrebno?• Kanali komunikacije – elektronička pošta, telefonski kontakt i dr.• Prepoznavanje zahtjeva – standardizirani obrasci?
• Dopuštenost zahtjeva• Odbijanje / odbacivanje
• Evidencija zahtjeva• Prekomjerni zahtjevi / Naplata troškova?
Postupanje po zahtjevu ispitanika
• Odgovor ispitaniku• Mjesec dana od zaprimanja zahtjeva• + 2 mjeseca uz opravdanje unutar prvih mjesec dana (ukupno do 3 mjeseca)
• Odgovaranje – kojim kanalima i u kojem obliku?
Službenik za zaštitu podataka(Data Protection Officer)• Uvjeti za imenovanje (Članak 37. Uredbe)• Jedan službenik za više organizacija• Eksterni službenik / ugovor o djelu• Dostupnost• Ne smije biti u sukobu interesa!
Kvalifikacije
• Stručnost, znanje i kvalifikacije u skladu s vrstama obrada (opseg obrade i trajanje obrade, osjetljivost podataka, kategorija ispitanika, sredstva obrade, prijenosi podataka..)• Razumijevanje zakona i praksi u području zaštite osobnih podataka• Razumijevanje informacijskih tehnologija i sigurnosti podataka
• Uredba ne definira certificiranje osoba (DPO)• Profesionalni razvoj i certifikacija: CIPP/E, CIPM, CIPT (IAPP), OCPP (Ostendo)
Zadaće službenika za zaštitu podataka
• Savjetovanje rukovodećeg tijela i zaposlenika• Suradnja s nadzornim tijelom• Briga o edukaciji i osviještenosti zaposlenika• Savjetovanje pri provedbi procjene učinka na zaštitu podataka i procjeni legitimnog interesa
• Ne donosi odluke.• Vodi računa o riziku!
• Službenik za zaštitu podataka radnika? (Zakon o radu)• Predstavnik voditelja obrade – EU representative?
Evidencija aktivnosti obrade
• Obveza vođenja evidencije – u kojim slučajevima?• Obvezni elementi – članak 30.• Dodatni korisni elementi
• Uspostava i vođenje evidencije• Definirani oblik• Odgovornosti• Evidencija koju vodi izvršitelj
Procjena učinka na zaštitu podataka
• Ako postoji vjerojatnost od visokog rizika za prava i slobode pojedinaca, a osobito u slučajevima:• sustavne i opsežne procjene osobnih aspekata pojedinaca, uključujući automatiziranu obradu i profiliranje• opsežne obrade posebnih kategorija osobnih podataka...• sustavnog praćenja javno dostupnog područja u velikoj mjeri
• Procjena rizika <> Procjena učinka na zaštitu podataka• Nadzorno tijelo može uspostaviti i javno objaviti popis vrsta postupaka obrade koji podliježu procjeni.• Odluka AZOP-a: http://bit.ly/dpia-azop
Procjena učinka na zaštitu podataka
• Izvor: EDPB, Smjernice za DPIA
Provedba procjene učinka
• Suradnja sa službenikom za zaštitu podataka i drugim odgovornim odjelima• Procjena rizika (nizak, srednji, visok)• Izrada metodologije provedbe• Sadržaj:• opis postupaka i svrha obrade• procjena nužnosti i proporcionalnosti postupaka obrade• mjere za ispunjavanje prava ispitanika• rezultati procjene rizika• mjere za smanjenje razine rizika
• Integrirati provedbu procjene u postojeće procese upravljanja rizicima.
Prethodno savjetovanje
• Ako procjena učinka pokaže visok rizik koji nije moguće umanjiti, voditelj obrade treba se o toj obradi prethodno savjetovati s nadzornim tijelom.
• Voditelj obrade nadzornom tijelu dostavlja informacije:• svrhu i sredstva obrade• opis mjera za zaštitu prava i sloboda ispitanika• kontakt podatke službenika za zaštitu podataka• rezultate procjene učinka• sve druge informacije koje nadzorno tijelo zatraži
• Nadzorno tijelo može zabraniti provedbu predmetne obrade ili savjetovati voditelja o načinima umanjenja rizika
Odnos s trećim stranama / primateljima podataka
• Zajednički voditelji obrade: Dva ili više voditelja obrade koji zajednički odrede svrhe i načine obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje obveza iz Uredbe te to čine međusobnim dogovorom.
• Primatelj podataka: Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana.• Tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom EU ili države članice
ne smatraju se primateljima.
• Treća strana: Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.
Izvršitelji obrade
• Izvršitelj obrade: Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
Ugovor o obradi osobnih podataka
• Ugovor o obradi osobnih podataka ili ugovor o povjerljivosti?• Obvezne odredbe ugovora o obradi osobnih podataka – članak 28. Uredbe• Opis obrade i uputa za obradu• Podugovaranje• Obveza povjerljivosti• Tehničke i organizacijske mjere zaštite• Suradnja s voditeljem obrade pri ispunjavanju zahtjeva nadzornog tijela i/ili ispitanika• Obveza prijave povrede voditelju obrade• Revizija
» Vježba
• Agencija za istraživanje tržišta• Agencija za naplatu potraživanja• Sustav za naplatu (POS)• Dostavljačka služba / davatelj poštanske usluge• Odvjetnici• Računovodstveni servis• IT usluge• Tiskara
Povreda osobnih podataka
• Povreda osobnih podataka: Kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
• Povrede:• Povjerljivosti (Confidentiality)• Cjelovitosti (Integrity)• Dostupnosti (Availability)
Prijava povrede
• Odluka o prijavi u skladu s razinom rizika:• Nema rizika – nema prijave• Ima rizika – prijava nadzornom tijelu• Visok rizik – prijava nadzornom tijelu + obavijest ispitanicima
• Obrazac za izvješćivanje (AZOP) [link]
• Registar povreda• Edukacija zaposlenika
• Procjenu rizika potrebno je provesti za svaki slučaj povrede i uzeti u obzir sve faktore koji mogu utjecati na prava i slobode ispitanika
Uber, 2017.
• 57 milijuna korisnika i 600 tisuća vozača – imena i prezimena, email adrese, brojevi mobitela, registarske oznake vozila.
• Objava godinu dana nakon saznanja za povredu.
• Sankcije• ICO – 385 tisuća GBP• “Sigurnosne mjere koje je implementirao Uber bile su neadekvatne!”
• https://ostendogroup.com/hr/2018/12/02/uberu-kazna-za-neadekvatnu-zastitu-osobnih-podataka/
Equifax, 2017.
• Tvrtka za procjenu kreditnog rejtinga.• svibanj 2017 – napad• srpanj 2017 – prepoznata povreda• rujan 2017 – objava incidenta
• Trojica direktora prije objave prodali svoje dionice (vrijednost 1,8 milijuna USD)
• Krađa identiteta• imena, prezimena, OIB/MBG, datumi rođenja, adrese, registarske oznake automobila...• potencijalno zahvaćeno 145+ milijuna potrošača u SAD-u + milijuni u UK
• Sankcije – 20. rujna 2018.• 500 tisuća GBP za povredu osobnih podataka oko 15 milijuna UK potrošača (Equifax Ltd)
Cambridge Analytica, 2018.
• 87 milijuna korisnika, od čega 70 milijuna iz SAD-a• Profiliranje i formiranje javnog mnijenja• Donald Trump / Ted Cruz kampanje 2015. i 2016.• Izglasavanje Brexita 2016.• Izbori u Meksiku 2018.
• ICO – 500 tisuća GBP novčana sankcija za Facebook
• “Privacy is no longer a social norm”, M. Zuckerberg, 2010.
• https://www.youtube.com/watch?v=O4TFXDniG9w
Mariot hoteli, 2018.
• 500 milijuna korisnika, od čega 70 milijuna iz SAD-a• Povreda nastala 2014., otkrivena u rujnu 2018.• Rezervacijski sustav (Starwood)• Kombinacije podataka – imena, prezimena, adrese, brojevi telefona, adrese e pošte, datum rođenja,
spol, informacije o putovanju i rezervaciji, broj putovnice
Aetna Health Insurance, 2017.
• Podaci o zdravstvenom stanju 12 tisuća ispitanika – HIV• Ponovljena povreda nakon dviju sličnih u 2014. i 2015.• Kolektivna tužba, nagodba = 17 milijuna USD
Nadzorno tijelo - nadležnost
• Zadaće• prati i provodi primjenu Uredbe• promiče javnu svijest o rizicima, pravilima, zaštitnim
mjerama i pravima u vezi s obradom• savjetuje nacionalni parlament, vladu i druge institucije i
tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade• promiče osviještenost voditeljâ obrade i izvršiteljâ
obrade o njihovim obvezama• pruža informacije bilo kojem ispitaniku u vezi s
ostvarivanjem njihovih prava iz ove Uredbe
• rješava pritužbe koje podnose ispitanik ili tijelo, organizacija ili udruženje• surađuje s drugim nadzornim tijelima, među ostalim
dijeljenjem informacija, te pruža uzajamnu pomoć• provodi istrage o primjeni Uredbe• donosi standardne ugovorne klauzule• utvrđuje i vodi popis u vezi s uvjetima za procjenu učinka
na zaštitu podataka• daje savjete o postupcima prethodnog savjetovanja• odobrava obvezujuća korporativna pravila• doprinosi aktivnostima Odbora• vodi internu evidenciju o kršenjima Uredbe
Nadzorna tijela - nadležnost
• Ovlasti:• Istražne ovlasti• Korektivne ovlasti• Savjetodavne ovlasti• Ostale ovlasti
• Mjesna nadležnost?
• Suradnja i konzistentnost• Uzajamna pomoć i suradnja• Razmjena informacija• Obveza postupanja po zaprimljenom zahtjevu• Ujednačenost u postupanju
RH nadzorno tijelo
• Agencija za zaštitu osobnih podataka (AZOP)
Popis nadzornih tijela po državama članicama:http://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
Druga nadzorna tijela?
• Information Commissioner’s Office – ICO, UK• https://ico.org.uk/
• Commission Nationale de l'Informatique et des Libertés – CNIL, Francuska• https://www.cnil.fr/en/home
• Agencia Española de Protección de Datos – AEPD, Španjoslka• https://www.aepd.es/
• Data Protection Commission – DPC, Irska• https://dataprotection.ie
Europski odbor za zaštitu podataka(EDPB)• Neovisno tijelo EU s pravnom osobnošću• Predstavnici nacionalnih nadzornih tijela• Smjernice, preporuke, primjeri najbolje prakse• Godišnje izvješće EP, EK i V• ex Radna skupina iz članka 29. (WP 29)
• https://edpb.europa.eu/edpb_hr
Prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama• Treće zemlje: Nisu članice EU+EGP i nisu „adekvatne”• Prijenosi na temelju odluke o primjerenosti (adequacy decision)• Andora, Argentina, Farski otoci, Guernsey, Izrael, Otok Man, Jersey, Kanada (komercijalne organizacije), Novi Zeland,
Švicarska, Urugvaj, SAD (u okviru Privacy Shielda), Japan.
Zaštitne mjere
• Prijenosi koji podliježu odgovarajućim zaštitnim mjerama• pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela;• obvezujuća korporativna pravila• standardne klauzule o zaštiti podataka koje donosi EK• standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje odobrava EK• odobreni kodeks ponašanja u skladu s člankom 40. • odobreni mehanizam certificiranja u skladu s člankom 42.
• Prijenosi na temelju međunarodnog sporazuma povodom presude suda ili odluke upravnog tijela treće zemlje
Odstupanja za posebne situacije
• ispitanik je izričito pristao na predloženi prijenos • prijenos je nužan za izvršavanje ugovora • prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja
obrade i druge fizičke ili pravne osobe;• prijenos je nužan iz važnih razloga javnog interesa;• prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;• prijenos je nužan za zaštitu životno važnih interesa ispitanika
SAD
• Pragmatičan pristup• Nema sveobuhvatnog propisa• ”europska pravila su nepotreban administrativni teret i guše inovacije“• Privacy Shied• California Consumer Privacy Act (2018 / 2020)
Upravne novčane kazne
• 10 milijuna ili 2% ukupnog godišnjeg prihoda globalno
• 20 milijuna ili 4% ukupnog godišnjeg prihoda globalno
Prekršaji po članku 83. stavku 4. Uredbe Prekršaji po članku 83. stavcima 5. i 6. Uredbe
Zakon o provedbi Opće uredbe o zaštiti podataka:Nema upravne novčane kazne za tijela javne vlasti.
Opći uvjeti za izricanje upravnih novčanih kazni
• Kazne trebaju biti učinkovite, proporcionalne i odvraćajuće
• Visina kazne ovisit će o brojnim kriterijima poput:• prirode, težine i trajanja povrede,• opsega i svrhe obrade,• broja ispitanika, • postojanja namjere ili nepažnje, • aktivnostima za ublažavanje štete, prijašnjim povredama, kategorijama osobnih podataka itd.
• Zakon o provedbi Opće uredbe za zaštitu podataka
Izricanje upravnih novčanih kazni
Sumnja da poslovni subjekt u EU ne poštuje odredbe o zaštiti
osobnih podatakaNadzorno tijelo istražuje slučaj
Nadzorno tijelo zaključuje da voditelj obrade POŠTUJE
odredbeNema dodatnih akcija
Nadzorno tijelo zaključuje da voditelj obrade NE POŠTUJE
odredbe
Nadzorno tijelo donosi odluku koja ne uključuje novčanu kaznu
npr. privremeni ili trajni prekid prijenosa podataka primatelju u
trećoj zemlji
npr. privremena ili trajna zabrana obrade osobnih
podataka
npr. opomena poslovnom subjektu
Nadzorno tijelo donosi odluku koja uključuje i novčanu kaznu
Ovisno o težini prekršaja, kazna može biti do 20 milijuna eura ili
do 4% ukupnog godišnjeg prometa na globalnoj razini, što
god je veće
Pravna sredstva, odgovornost i sankcije
• Pravo na pritužbu nadzornom tijelu• Pravo na učinkoviti pravni lijek• protiv nadzornog tijela• protiv voditelja ili izvršitelja obrade
• Zaštita kolektivnih interesa i prava• Naknada štete i odgovornost
Zakon o provedbi Opće uredbe o zaštiti podataka
• Osigurava provedbu Uredbe• Uređuje rad nadzornog tijela (AZOP)• Definirane posebne slučajeve obrada osobnih podataka• privola djeteta, genetski podaci, biometrijski podaci, video nadzor
• Postupak u nadležnosti AZOP-a i pravni lijekovi• Prijelazne i završne odredbe
Obrada osobnih podataka radnika
• Pravne osnove• Privola?• Legitimni interes?• Zakon o radu, Pravilnik o sadržaju i načinu vođenja evidencija o radnicima, Zakon o zaštiti na radu
• Postupak zapošljavanja – natječaji / otvorene zamolbe• Potvrde o nekažnjavanju, testovi osobnosti• Nadzor radnika (kretanje, komunikacija, ponašanje..)
Informacije o obradi - transparentnost
• Ugovor o radu• Pravilnik o radu• Kolektivni ugovor• Pravilnik o korištenju informacijske imovine• Pravilnik o korištenju video nadzora• Politika zaštite osobnih podataka
• Podaci o voditelju (poslodavcu)• Podaci o službeniku za zaštitu podataka• Pravna osnova• Svrha • Primatelji / kategorije primatelja• Prijenos podataka u treće zemlje uz opis mjera
zaštite• Vrijeme obrade / čuvanja• Dostupna prava
Gdje? Što?
Posebne obrade
• Video nadzor• GPS• Biometrija• Obrada genetskih podataka• Obrada osobnih podataka djece, usluge informacijskog društva• ”Korporativna kultura” – fotografije na prodajnom mjestu, sudjelovanje u marketinškim aktivnostima• …
Revizija usklađenosti
• Voditelj obrade dužan je dokazati usklađenost• Revizija pruža realnu sliku usklađenosti sa zahtjevima Uredbe:• Upravi• Vlasnicima• Nadzornom tijelu• Zainteresiranim trećim stranama (npr. poslovnim partnerima)
• Ukazuje na mogućnosti za poboljšanja• Potrebno usklađivanje• Optimizaciju procesa• Načine umanjenja rizika
