ZAŠTITA OSOBNIH PODATAKA – GDPR (General Data Protection

Regulation) – pogled u budućnost

Č A S L AV Ž A J A – o d v j e t n i k - p a r t n e r

Što je GDPR?

• UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27.

travnja 2016.

GDPR donosi novi opseg obveza za organizacije koje pohranjuju i obrađuju

osobne podatke…

• stupa na snagu 25. svibnja 2018. – obvezujuća primjena za sve članice

EU

• nadzorna tijela nadležna za zaštitu osobnih podataka bit će ovlaštena

odrediti kazne u visini od 2% - 4% sveukupnog godišnjeg prometa na

svjetskoj razini za prethodnu financijsku godinu

2

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Što donosi GDPR?

• Afirmacija načela zakonite, poštene i transparentne obrade osobnih podataka

Zakonitost obrade

• Privola (voditelj mora moći dokazati da je privola dana uz uporabu jasnog i

jednostavnog jezika – za djecu ispod 16 g. samo ako je privolu dao zz djeteta)

• Izvršavanje ugovora

• Poštovanje pravnih obveza voditelja obrade

• Zaštita ključnih interesa ispitanika

• Izvršavanje zadaća od javnog interesa ili službene ovlasti voditelja obrade

• Potrebe legitimnih interesa voditelja obrade ili treće strane

3

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Što donosi GDPR?

• Zabranjuje se obrada posebno osjetljivih osobnih podataka koji otkrivaju rasno

ili etničko podrijetlo, politička mišljenja , vjerska ili filozofska uvjerenja, članstvo

u sindikatu, te obrada genetskih ili biometrijskih podataka (fizička ili fiziološka

obilježja), podataka koji se odnose na zdravlje ili podataka o spolnom životu ili

seksualnoj orijentaciji pojedinca

• Voditelj obrade dužan je ispitaniku pružiti informacije i omogućiti pristup

osobnim podatcima, ispravak, brisanje ili ograničavanje obrade, te mu

omogućiti pravo na ulaganje prigovora na način obrade, kao i pravo na

prenosivost podataka

4

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Što donosi GDPR?

• Pravo na informaciju

• Pravo na pristup

• Pravo na ispravak

• Pravo na brisanje („pravo na zaborav”)

• Pravo na ograničenje obrade

• Pravo na prenosivost podataka (prijenos drugom voditelju obrade)

• Pravo na prigovor

5

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Ograničenja prava

• Razlozi nacionalne sigurnosti

• Obrane

• Javne sigurnosti

• Zbog potreba sprječavanja, otkrivanja ili progona počinitelja KD

• Inspekcijske ili regulatorne aktivnosti

• Zaštita neovisnosti pravosuđa i sudskih postupaka

• Zaštita ispitanika

• Ostvarivanje potraživanja u građanskim sporovima

6

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Prijenos osobnih podataka trećim zemljama ili organizacijama

• Primjena načela primjerenosti razine zaštite

• EU Komisija utvrđuje popis / listu zemalja sa primjerenom razinom zaštite

• Prijenos u treće zemlje izvan popisa / liste moguć samo uz primjenu

odgovarajućih zaštitnih mjera te uz mogućnost odgovarajuće sudske zaštite

ispitanika

7

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Neovisna nadzorna tijela na nacionalnoj razini – nadležnost i suradnja

• Primjena načela poslovnog nastana voditelja obrade - vodeće nadzorno tijelo

• Prijenos osobnih podataka trećim zemljama ili organizacijama

EU Odbor za zaštitu podataka

• Prati primjenu GDPR Uredbe

• Daje smjernice i preporuke / „best practice”

8

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Pravo na naknadu štete i odgovornost voditelja / izvršitelja obrade

• Pravo ispitanika koji je pretrpio imovinsku ili neimovinsku štetu zbog zbog

kršenja GDPR Uredbe

• Naplaćuje se od voditelja obrade ili od izvršitelja obrade

• Više voditelj ili izvršitelja – svaki odgovara za cjelokupnu štetu radi

učinkovitosti naknade ispitaniku uz mogućnost regresa

• Nadležnost sudova prema pravilima o nadležnosti nacionalnog zakonodavstva

9

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Kao se uskladiti s GDPR-om?

1. Inicijalna procjena – GAP analiza

Ova je faza usmjerena na analizu jazova postojećeg stanja usklađenosti s GDPR-

om u ciljanoj organizaciji, s naglaskom na sljedeća područja:

- Analiza procesa

- Pravna analiza

- IT analiza

- Sigurnosna analiza

Rezultat:

• Roadmap za zatvaranje identificiranih jazova / implementacijskih preporuka

10

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Kao se uskladiti s GDPR-om?

Razviti hodogram („Roadmap”) Napraviti draft plana aktivnosti koje će premostiti jaz između trenutnog i željenog budućeg stanja s koracima definiranim na visokoj razini

• Ocjena jazaUtvrditi u kojoj su mjeri traženi elementi implementirani u organizaciji u odnosu na zahtjeve GDPR-a te identificirati jazove

• Prikupiti informacijePrikupiti tražene informacije koje će pokazati stvarno stanje u organizaciji, a nakon toga provođenje analiza

• Definirati projektPlanirati i prioritizirati aktivnosti u analizi jazova - identifikacija sudionika koji mogu pridonijeti dobivanju informacija o trenutnoj situaciji koje će se koristiti u analizi jazova

11

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Kako se uskladiti s GDPR-om?

Analiza poslovanja

Mapiranje ključnih poslovnih procesa obuhvaćenih GDPR-om te procjena utjecaja uvođenja GDPR-a na

poslovanje

Pravna analiza

- Pregled internih pravnih dokumenata i praksi

- Analiza za utvrđivanje područja pod najvećim utjecajem GDPR-a

- Preporuke za pripremu pravnih dokumenata / internih akata u svrhu usklađenja sa zahtjevima GDPR-

IT analiza

- Identifikacija IT sustava na koje utječe promjena

- Procjena zrelosti IT-a s obzirom na promjene vezane uz GDPR

- Preporuke za postizanje usklađenosti s jasnim prioritetima za organizaciju

Sigurnosna analiza

- Analiza IT-a i sigurnosnih sustava s obzirom na promjene vezane uz GDPR

- Preporuke za poboljšanje cjelokupnog stanja informacijskih i sigurnosnih sustava s ciljem postizanja

usklađenosti

- Uvođenje funkcije Službenika za zaštitu podataka (DPO) u organizaciji

12

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Kako se uskladiti s GDPR-om?

2. Program implementacije GDPR-a

• Započinje analizom rizika / procjenom učinaka transformacijskih aktivnosti te

se provodi kroz transformacijski/ implementacijski plan, od strategijske

perspektive do modifikacije operativnog poslovanja

• Implementacija GDPR-a zahtijeva hodogram aktivnosti - za definiciju

hodograma potrebno je znati koji su elementi GDPR-a već implementirani u

organizaciji, a koji nedostaju – identificiraju se uz pomoć analize jazova

(GAP)

13

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Kako se uskladiti s GDPR-om?

Pristup

• razumijevanje osobnih podataka, načina i mjesta na kojima nastaju osjetljivi podaci i setovi podataka, njihova

identifikacija i zaštita

• izrada izvješća o procjeni učinka prikupljanja osjetljivih osobnih podataka i rizičnih obrada na proces upravljanja

sigurnošću sigurnost osobnih podataka

• identifikacija obrada visokog rizika (DPIA)

• identifikacija konkretnih i nužnih organizacijskih i tehnoloških promjena za usklađivanje sa zahtjevima GDPR-a sa

setom implementacijskih preporuka

• procjena rizika kažnjavanja od strane regulatora (AZOP)

• procjena rizika od eventualnih sudskih sporova s ispitanicima radi naknade štete zbog povrede osobnih podataka

Proces

• identifikacija i intervjuiranje osoblja zaduženog za obradu i zaštitu osobnih podataka u banci (voditelju/izvršitelju

obrade)

• provedba internih radionica za osposobljavanje implementacijskog GDPR pravnog tima i rješavanje konkretnih

problema s kojima se tim susreće tijekom usklađivanja sa zahtjevima GDPR-a

• ad hoc savjetovanje tima o usklađenosti i tumačenju odredaba GDPR-a te povezanih nacionalnih pravnih propisa

• izgradnja organizacijske kulture svjesne vrijednosti osobnih podataka

14

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)Pravna potpora pri usklađivanju s Uredbom

Kako se uskladiti s GDPR-om?

Rezultati

• uspostava primjerenih modaliteta postupanja s različitim vrstama osobnih podataka koji se

prikupljaju pri poslovnom procesu

• usklađivanje privola za prikupljanje i obradu osobnih podataka sa zahtjevima GDPR-a

• uspostava internih procesa izvješćivanja i komunikacije s regulatorom (AZOP) u slučaju

povrede osobnih podataka

15

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)Pravna potpora pri usklađivanju s Uredbom

Kako se uskladiti s GDPR-om?

Pristup

• uvid i procjena usklađenosti postojećih internih pravnih akata (pravilnici, politike, procedure – „as is”)

• implementacija načela obrade osobnih podataka i novih definicija pravnih pojmova u interne pravne akte

• implementacija odredaba vezanih uz nove obveze (voditelja/izvršitelja obrade podataka) i nova prava

ispitanika u interne pravne akte

• jasno propisivanje pravnog temelja obrade za obradu različitih vrsta osobnih podataka koji se prikupljaju

pri poslovnom procesu

• definiranje procesa upravljanja osobnim podacima u skladu sa zahtjevima GDPR-a

• nadogradnja terminologije i nomotehnike odredaba internih pravnih akata na temelju svakodnevne

poslovne prakse banke (voditelja/izvršitelja obrade) te komparativne prakse regulatornih tijela na području

EU, sve u tijeku implementacijskog procesa

Proces

• zajedničko rješavanje pravnih nedoumica i interpretacijskih konflikata prilikom primjene GDPR,

nacionalnih pravnih propisa i internih pravnih akata

• zajedničko definiranje posebno osjetljivih skupina osobnih podataka i poslovnih procesa

• nadogradnja terminologije i nomotehnike odredaba internih pravnih akata na temelju svakodnevne

poslovne prakse (voditelja obrade) i pitanja dobivenih od strane implementacijskog GDPR pravnog tima,

sve u tijeku implementacijskog procesa

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

16

Pravna potpora pri izradi internih pravnih akata

Kako se uskladiti s GDPR-om?

Rezultati

• izrada općeg pravilnika o postupanju i zaštiti prikupljenih osobnih podataka te izvješćivanju

regulatora kod povrede

• izrada posebnih pravilnika o zaštiti novih prava ispitanika („pravo na zaborav”/pravo tražiti

ispravljanje, brisanje ili podnijeti pritužbu/pravo na prijenos osobnih podataka/opt-out od

automatskih sredstava obrade) u slučaju potrebe

• izrada posebnih pravilnika o zaštiti posebno osjetljivih skupina podataka (djeca/biometrijski

podaci/zdravstveno stanje/prethodno kažnjavanje) u slučaju potrebe

• ažuriranje teksta internih pravnih akata prilikom dodatnog uređenja ovog pravnog područja na

europskoj i nacionalnoj razini

• ponovna procjena usklađenosti po donošenja novog Zakona o zaštiti osobnih podataka i seta

provedbenih propisa (predvidivo 1Q 2018)

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

17

Pravna potpora pri izradi internih pravnih akata

Kako se uskladiti s GDPR-om?

3. GDPR nadgledanje / monitorng

• Radi se o kontinuiranom procesu u kojem organizacija prolazi niz testova

otpornosti na stres s ciljem postizanja usklađenosti te uzastopno prati stanje

organizacije s obzirom na promjene

18

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Koristi

Kratki rok:

• Utvrđivanje zajedničkog strateškog pristupa GDPR-a u sklopu organizacije

• Provedba analize jazova

• Priprema „Roadmap-a”

Srednji – dugi rok:

• Definiranje detaljnog plana za implementaciju u okviru organizacije

• Identificiranje mogućih rizika u odnosu na zahtjeve GDPR-a / analiza utjecaja

• Korištenje podataka o klijentima kao poslovna prilika

• Nadgledanje i praćenje s ciljem da organizacija bude spremna za primjenu GDPR-a

19

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

GDPR Strategija – IT & sigurnost

• Kontrola i zaštita podataka

• Enkripcija

• Pseudonimizacija (osobni podatci se više ne mogu pripisati ispitaniku bez uporabe dodatnih

informacija)

• Kontrola pristupa podatcima

• Upravljanje identitetima

• Upravljanje pristupom podatcima

• Nadzor aktivnosti

• Centralizirano upravljanje IT podatcima

• Upravljanje informacijskim sustavom

• Kontinuirano upravljanje – IT sigurnost

• Nadzor IT resursa

• Upravljanje ranjivostima sustava

20

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Zlatno pravilo GDPR-a – životni ciklus podataka

ZAŠTO?

Tko ima pravo pristupa podacima?

Koja je svrha prikupljanja i obrade podataka?

Koliko se dugo moraju čuvati?

KAKO?

Odakle se pristupa

Na koji način se korisnik autenticira

Gdje se i na koji način pohranjuju i čuvaju podaci

ŠTO?

Kontinuirano evidentirajte svaku aktivnost s prikupljenim podacima

21

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Ranjivost sustava – najslabija točka…

što Vam se sve zaista nalazi u mreži

stanje sigurnosti svih Vaših IT resursa na kojima se nalaze osjetljivi podatci

klasificirajte podatke kako bi se preciznije mogao odrediti poslovni rizik

pravovremeno radite na prevenciji i ispravljanju ranjivosti

brzo detektirajte proboje i reagirajte korektivno (rok za izvješćivanje nadzornog tijela 72 h)

...kontinuirana aktivnost / zadaća cijele organizacije!

22

USKLAĐIVANJE S GDPR-om (GDPR COMPLIANCE)

Zaključak…

• Zakonitost obrade / pohrane

• Privola ispitanika

• Podizanje razine svijesti organizacije

Rizici…

• Financijski (iznimno visoke kazne te moguće isplate naknade štete…)

• Reputacijski (obavješćivanje ispitanika o povredama podataka – gubitak portfelja…)

23

Zahvaljujem na pozornosti