ZAŠTITA OSOBNIH PODATAKA – GDPR (General Data Protection … · 2020. 9. 17. · •...
Transcript of ZAŠTITA OSOBNIH PODATAKA – GDPR (General Data Protection … · 2020. 9. 17. · •...
ZAŠTITA OSOBNIH PODATAKA – GDPR (General Data Protection
Regulation) – pogled u budućnost
Č A S L AV Ž A J A – o d v j e t n i k - p a r t n e r
Što je GDPR?
• UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27.
travnja 2016.
GDPR donosi novi opseg obveza za organizacije koje pohranjuju i obrađuju
osobne podatke…
• stupa na snagu 25. svibnja 2018. – obvezujuća primjena za sve članice
EU
• nadzorna tijela nadležna za zaštitu osobnih podataka bit će ovlaštena
odrediti kazne u visini od 2% - 4% sveukupnog godišnjeg prometa na
svjetskoj razini za prethodnu financijsku godinu
2
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Što donosi GDPR?
• Afirmacija načela zakonite, poštene i transparentne obrade osobnih podataka
Zakonitost obrade
• Privola (voditelj mora moći dokazati da je privola dana uz uporabu jasnog i
jednostavnog jezika – za djecu ispod 16 g. samo ako je privolu dao zz djeteta)
• Izvršavanje ugovora
• Poštovanje pravnih obveza voditelja obrade
• Zaštita ključnih interesa ispitanika
• Izvršavanje zadaća od javnog interesa ili službene ovlasti voditelja obrade
• Potrebe legitimnih interesa voditelja obrade ili treće strane
3
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Što donosi GDPR?
• Zabranjuje se obrada posebno osjetljivih osobnih podataka koji otkrivaju rasno
ili etničko podrijetlo, politička mišljenja , vjerska ili filozofska uvjerenja, članstvo
u sindikatu, te obrada genetskih ili biometrijskih podataka (fizička ili fiziološka
obilježja), podataka koji se odnose na zdravlje ili podataka o spolnom životu ili
seksualnoj orijentaciji pojedinca
• Voditelj obrade dužan je ispitaniku pružiti informacije i omogućiti pristup
osobnim podatcima, ispravak, brisanje ili ograničavanje obrade, te mu
omogućiti pravo na ulaganje prigovora na način obrade, kao i pravo na
prenosivost podataka
4
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Što donosi GDPR?
• Pravo na informaciju
• Pravo na pristup
• Pravo na ispravak
• Pravo na brisanje („pravo na zaborav”)
• Pravo na ograničenje obrade
• Pravo na prenosivost podataka (prijenos drugom voditelju obrade)
• Pravo na prigovor
5
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Ograničenja prava
• Razlozi nacionalne sigurnosti
• Obrane
• Javne sigurnosti
• Zbog potreba sprječavanja, otkrivanja ili progona počinitelja KD
• Inspekcijske ili regulatorne aktivnosti
• Zaštita neovisnosti pravosuđa i sudskih postupaka
• Zaštita ispitanika
• Ostvarivanje potraživanja u građanskim sporovima
6
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Prijenos osobnih podataka trećim zemljama ili organizacijama
• Primjena načela primjerenosti razine zaštite
• EU Komisija utvrđuje popis / listu zemalja sa primjerenom razinom zaštite
• Prijenos u treće zemlje izvan popisa / liste moguć samo uz primjenu
odgovarajućih zaštitnih mjera te uz mogućnost odgovarajuće sudske zaštite
ispitanika
7
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Neovisna nadzorna tijela na nacionalnoj razini – nadležnost i suradnja
• Primjena načela poslovnog nastana voditelja obrade - vodeće nadzorno tijelo
• Prijenos osobnih podataka trećim zemljama ili organizacijama
EU Odbor za zaštitu podataka
• Prati primjenu GDPR Uredbe
• Daje smjernice i preporuke / „best practice”
8
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Pravo na naknadu štete i odgovornost voditelja / izvršitelja obrade
• Pravo ispitanika koji je pretrpio imovinsku ili neimovinsku štetu zbog zbog
kršenja GDPR Uredbe
• Naplaćuje se od voditelja obrade ili od izvršitelja obrade
• Više voditelj ili izvršitelja – svaki odgovara za cjelokupnu štetu radi
učinkovitosti naknade ispitaniku uz mogućnost regresa
• Nadležnost sudova prema pravilima o nadležnosti nacionalnog zakonodavstva
9
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Kao se uskladiti s GDPR-om?
1. Inicijalna procjena – GAP analiza
Ova je faza usmjerena na analizu jazova postojećeg stanja usklađenosti s GDPR-
om u ciljanoj organizaciji, s naglaskom na sljedeća područja:
- Analiza procesa
- Pravna analiza
- IT analiza
- Sigurnosna analiza
Rezultat:
• Roadmap za zatvaranje identificiranih jazova / implementacijskih preporuka
10
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Kao se uskladiti s GDPR-om?
Razviti hodogram („Roadmap”) Napraviti draft plana aktivnosti koje će premostiti jaz između trenutnog i željenog budućeg stanja s koracima definiranim na visokoj razini
• Ocjena jazaUtvrditi u kojoj su mjeri traženi elementi implementirani u organizaciji u odnosu na zahtjeve GDPR-a te identificirati jazove
• Prikupiti informacijePrikupiti tražene informacije koje će pokazati stvarno stanje u organizaciji, a nakon toga provođenje analiza
• Definirati projektPlanirati i prioritizirati aktivnosti u analizi jazova - identifikacija sudionika koji mogu pridonijeti dobivanju informacija o trenutnoj situaciji koje će se koristiti u analizi jazova
11
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Kako se uskladiti s GDPR-om?
Analiza poslovanja
Mapiranje ključnih poslovnih procesa obuhvaćenih GDPR-om te procjena utjecaja uvođenja GDPR-a na
poslovanje
Pravna analiza
- Pregled internih pravnih dokumenata i praksi
- Analiza za utvrđivanje područja pod najvećim utjecajem GDPR-a
- Preporuke za pripremu pravnih dokumenata / internih akata u svrhu usklađenja sa zahtjevima GDPR-
IT analiza
- Identifikacija IT sustava na koje utječe promjena
- Procjena zrelosti IT-a s obzirom na promjene vezane uz GDPR
- Preporuke za postizanje usklađenosti s jasnim prioritetima za organizaciju
Sigurnosna analiza
- Analiza IT-a i sigurnosnih sustava s obzirom na promjene vezane uz GDPR
- Preporuke za poboljšanje cjelokupnog stanja informacijskih i sigurnosnih sustava s ciljem postizanja
usklađenosti
- Uvođenje funkcije Službenika za zaštitu podataka (DPO) u organizaciji
12
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Kako se uskladiti s GDPR-om?
2. Program implementacije GDPR-a
• Započinje analizom rizika / procjenom učinaka transformacijskih aktivnosti te
se provodi kroz transformacijski/ implementacijski plan, od strategijske
perspektive do modifikacije operativnog poslovanja
• Implementacija GDPR-a zahtijeva hodogram aktivnosti - za definiciju
hodograma potrebno je znati koji su elementi GDPR-a već implementirani u
organizaciji, a koji nedostaju – identificiraju se uz pomoć analize jazova
(GAP)
13
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Kako se uskladiti s GDPR-om?
Pristup
• razumijevanje osobnih podataka, načina i mjesta na kojima nastaju osjetljivi podaci i setovi podataka, njihova
identifikacija i zaštita
• izrada izvješća o procjeni učinka prikupljanja osjetljivih osobnih podataka i rizičnih obrada na proces upravljanja
sigurnošću sigurnost osobnih podataka
• identifikacija obrada visokog rizika (DPIA)
• identifikacija konkretnih i nužnih organizacijskih i tehnoloških promjena za usklađivanje sa zahtjevima GDPR-a sa
setom implementacijskih preporuka
• procjena rizika kažnjavanja od strane regulatora (AZOP)
• procjena rizika od eventualnih sudskih sporova s ispitanicima radi naknade štete zbog povrede osobnih podataka
Proces
• identifikacija i intervjuiranje osoblja zaduženog za obradu i zaštitu osobnih podataka u banci (voditelju/izvršitelju
obrade)
• provedba internih radionica za osposobljavanje implementacijskog GDPR pravnog tima i rješavanje konkretnih
problema s kojima se tim susreće tijekom usklađivanja sa zahtjevima GDPR-a
• ad hoc savjetovanje tima o usklađenosti i tumačenju odredaba GDPR-a te povezanih nacionalnih pravnih propisa
• izgradnja organizacijske kulture svjesne vrijednosti osobnih podataka
14
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)Pravna potpora pri usklađivanju s Uredbom
Kako se uskladiti s GDPR-om?
Rezultati
• uspostava primjerenih modaliteta postupanja s različitim vrstama osobnih podataka koji se
prikupljaju pri poslovnom procesu
• usklađivanje privola za prikupljanje i obradu osobnih podataka sa zahtjevima GDPR-a
• uspostava internih procesa izvješćivanja i komunikacije s regulatorom (AZOP) u slučaju
povrede osobnih podataka
15
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)Pravna potpora pri usklađivanju s Uredbom
Kako se uskladiti s GDPR-om?
Pristup
• uvid i procjena usklađenosti postojećih internih pravnih akata (pravilnici, politike, procedure – „as is”)
• implementacija načela obrade osobnih podataka i novih definicija pravnih pojmova u interne pravne akte
• implementacija odredaba vezanih uz nove obveze (voditelja/izvršitelja obrade podataka) i nova prava
ispitanika u interne pravne akte
• jasno propisivanje pravnog temelja obrade za obradu različitih vrsta osobnih podataka koji se prikupljaju
pri poslovnom procesu
• definiranje procesa upravljanja osobnim podacima u skladu sa zahtjevima GDPR-a
• nadogradnja terminologije i nomotehnike odredaba internih pravnih akata na temelju svakodnevne
poslovne prakse banke (voditelja/izvršitelja obrade) te komparativne prakse regulatornih tijela na području
EU, sve u tijeku implementacijskog procesa
Proces
• zajedničko rješavanje pravnih nedoumica i interpretacijskih konflikata prilikom primjene GDPR,
nacionalnih pravnih propisa i internih pravnih akata
• zajedničko definiranje posebno osjetljivih skupina osobnih podataka i poslovnih procesa
• nadogradnja terminologije i nomotehnike odredaba internih pravnih akata na temelju svakodnevne
poslovne prakse (voditelja obrade) i pitanja dobivenih od strane implementacijskog GDPR pravnog tima,
sve u tijeku implementacijskog procesa
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
16
Pravna potpora pri izradi internih pravnih akata
Kako se uskladiti s GDPR-om?
Rezultati
• izrada općeg pravilnika o postupanju i zaštiti prikupljenih osobnih podataka te izvješćivanju
regulatora kod povrede
• izrada posebnih pravilnika o zaštiti novih prava ispitanika („pravo na zaborav”/pravo tražiti
ispravljanje, brisanje ili podnijeti pritužbu/pravo na prijenos osobnih podataka/opt-out od
automatskih sredstava obrade) u slučaju potrebe
• izrada posebnih pravilnika o zaštiti posebno osjetljivih skupina podataka (djeca/biometrijski
podaci/zdravstveno stanje/prethodno kažnjavanje) u slučaju potrebe
• ažuriranje teksta internih pravnih akata prilikom dodatnog uređenja ovog pravnog područja na
europskoj i nacionalnoj razini
• ponovna procjena usklađenosti po donošenja novog Zakona o zaštiti osobnih podataka i seta
provedbenih propisa (predvidivo 1Q 2018)
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
17
Pravna potpora pri izradi internih pravnih akata
Kako se uskladiti s GDPR-om?
3. GDPR nadgledanje / monitorng
• Radi se o kontinuiranom procesu u kojem organizacija prolazi niz testova
otpornosti na stres s ciljem postizanja usklađenosti te uzastopno prati stanje
organizacije s obzirom na promjene
18
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Koristi
Kratki rok:
• Utvrđivanje zajedničkog strateškog pristupa GDPR-a u sklopu organizacije
• Provedba analize jazova
• Priprema „Roadmap-a”
Srednji – dugi rok:
• Definiranje detaljnog plana za implementaciju u okviru organizacije
• Identificiranje mogućih rizika u odnosu na zahtjeve GDPR-a / analiza utjecaja
• Korištenje podataka o klijentima kao poslovna prilika
• Nadgledanje i praćenje s ciljem da organizacija bude spremna za primjenu GDPR-a
19
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
GDPR Strategija – IT & sigurnost
• Kontrola i zaštita podataka
• Enkripcija
• Pseudonimizacija (osobni podatci se više ne mogu pripisati ispitaniku bez uporabe dodatnih
informacija)
• Kontrola pristupa podatcima
• Upravljanje identitetima
• Upravljanje pristupom podatcima
• Nadzor aktivnosti
• Centralizirano upravljanje IT podatcima
• Upravljanje informacijskim sustavom
• Kontinuirano upravljanje – IT sigurnost
• Nadzor IT resursa
• Upravljanje ranjivostima sustava
20
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Zlatno pravilo GDPR-a – životni ciklus podataka
ZAŠTO?
Tko ima pravo pristupa podacima?
Koja je svrha prikupljanja i obrade podataka?
Koliko se dugo moraju čuvati?
KAKO?
Odakle se pristupa
Na koji način se korisnik autenticira
Gdje se i na koji način pohranjuju i čuvaju podaci
ŠTO?
Kontinuirano evidentirajte svaku aktivnost s prikupljenim podacima
21
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Ranjivost sustava – najslabija točka…
što Vam se sve zaista nalazi u mreži
stanje sigurnosti svih Vaših IT resursa na kojima se nalaze osjetljivi podatci
klasificirajte podatke kako bi se preciznije mogao odrediti poslovni rizik
pravovremeno radite na prevenciji i ispravljanju ranjivosti
brzo detektirajte proboje i reagirajte korektivno (rok za izvješćivanje nadzornog tijela 72 h)
...kontinuirana aktivnost / zadaća cijele organizacije!
22
USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)
Zaključak…
• Zakonitost obrade / pohrane
• Privola ispitanika
• Podizanje razine svijesti organizacije
Rizici…
• Financijski (iznimno visoke kazne te moguće isplate naknade štete…)
• Reputacijski (obavješćivanje ispitanika o povredama podataka – gubitak portfelja…)
23
Zahvaljujem na pozornosti