suvremene tehnologije i pravo - hgk.hr · obvezujuća korporativna pravila procjena uČinka na...

SUVREMENE TEHNOLOGIJE I PRAVO

ANALIZA IT UGOVORA

Dubravka Dolenc

Primož Govekar

xy Enterprise Subscription Agreement

Pretplatom na usluge xy Enterprise ("Usluge") koje pruža xy i

njegove podružnice (zajednički, „xy SA") u vezi s xy Enterprise

Edition ili xy Community Edition ("Softver"), smještenim u

oblaku xy SA platforme (“Platforma oblaka”) ili na lokalnim

mjestima (“Self-Hosting”), vi (“Kupac”) pristajete biti vezani

sljedećim uvjetima i odredbama (“Sporazum”).

Ugovor - Korisnik može koristiti Softver koji se nalazi na

platformi Cloud ili odabrati Self-Hosting

opcija. Platforma Cloud je smještena i u potpunosti je

upravljana od strane xy SA, a pristup je daljinski

od strane Kupca. S opcijom Self-Hosting (Korisnički hosting),

Korisnik umjesto toga ugrađuje Softver

računalnih sustava po vlastitom izboru, koji nisu pod

kontrolom xy SA.

ELEMENTI UGOVORA

USLUGE KOJE PRUŽA IZVRŠITELJ

1. Usluga popravljanja grešaka – BUG FIXING SERVICES

Za vrijeme trajanja ovog Ugovora, xy SA se

obvezuje poduzeti sve razumne napore kako bi

ispravio bilo koju pogrešku softvera koju je

Korisnik prijavio putem odgovarajućeg kanala te

da počne s obradom tog klijenta

prijave u roku od 2 radna dana.

ELEMENTI UGOVORA

2. Usluge sigurnosnog ažuriranja - Security Updates Service -

Self hosting Cloud Platform

ELEMENTI UGOVORA

3. Usluge nadogradnje - Upgrade services

Upgrade Service for the

Software

Upgrade Service for third-party extensions

ELEMENTI UGOVORA

CHARGES FEES

OBVEZE KORISNIKA I IZVRŠITELJA

No soliciting or hiring ? Nema vrbovanja / krađe

zaposlenika – obveza glede obiju ugovornih stranaka

What Else?

• Response time

• Solution time

Temporary solution

Final solution

• …

• Could be (and in this case is) in General Conditions

WHAT IS MISSING ?

ZAŠTITA INFORMACIJA

Nužno je zaštititi povjerljive informacije – a to su one koje su

označene kao povjerljive ili se razumno mogu smatrati

povjerljivima s obzirom na njihovu prirodu koje jedna stranka

upućuje / otkriva drugoj usmeno ili pisano.

Posebno – bilo koja info odnosna na poslove, aktivnosti,

proizvode, razvoj, poslovnu tajnu, know-how, klijente

dobavljače…

• For all Confidential Information received during the Term of this Agreement, the Receiving Party

will use the same degree of care that it uses to protect the confidentiality of its own similar

Confidential Information, but not less than reasonable care.

ZAŠTITA INFORMACIJA

• The unauthorized use of the information referred to in paragraph 1

of this Article for their own benefit or commercial exploitation or

transfer to third parties outside the organization, without the

consent of the other Contracting Party, shall not be permitted.

• The obligation to disclose information and business secret shall not

cease upon the termination of this Contract. The Contracting

Parties expressly state that they are aware that unauthorized

acquisition and disclosure of business secrets is also a criminal

offense referred to in Article 262 of the Criminal Code (CC).

ZAŠTITA OSOBNIH PODATAKA

U okviru ugovora – obrađuju se osobni podaci – ČIJI ?

---------------------------------------------------

Osobne podatke – nužno je zaštititi sa aspekta sigurnosti – uvodna odredba GDPR

-

• Osobne podatke trebalo bi obrađivati uz odgovarajuće

poštovanje sigurnosti i povjerljivosti osobnih podataka,

što obuhvaća i sprečavanje neovlaštenog pristupa

osobnim podacima i opremi kojom se koristi pri obradi

podataka ili njihove neovlaštene upotrebe.


Jedno od osnovnih načela obrade o.p. -

NAČELO CJELOVITOSTI I POVJERLJIVOSTI

sukladno novoj regulativi

Članak 5. (1) f GDPR - OSOBNI PODACI –

MORAJU BITI obrađivani na način kojim se

osigurava odgovarajuća sigurnost osobnih

podataka, uključujući zaštitu od neovlaštene ili

nezakonite obrade te od slučajnog gubitka,

uništenja ili oštećenja primjenom odgovarajućih

tehničkih ili organizacijskih mjera („cjelovitost i

povjerljivost”)

OBVEZE UGOVORNIH STRANA –

implementirati u Ugovor članak 28. GDPR

S obzirom na o.p. definirati protagoniste obrade –

VODITELJ OBRADE – (in charge) – čl. 4. toč. 7. GDPR – znači fizička ili

pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s

drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i

sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj

obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom

Unije ili pravom države članice; (određuje temelj i svrhu)

IZVRŠITELJ OBRADE – (radi po nalogu) – članak 4. toč. 8. GDPR znači

fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje

osobne podatke u ime voditelja obrade;


Definitions “Personal Data”, “Controller”, „Processor”, “Processing” take the same meanings as in the Regulation (EU) 2016/679 and the Directive 2002/58/EC, and any regulation or legislation that amends or replaces them (hereafter referred to as “Data Protection Legislation”)

Nije nužno kopirati definicije – DOVOLJNO SE

POZVATI NA RELEVANTNU REGULATIVU U

OZNAČAVANJU POJMOVA

ODNOS VODITELJA I IZVRŠITELJA – nužno

regulirati u skladu sa člankom 28.

Članak 28. GDPR – obvezan sadržaj koji regulira taj odnos

The parties acknowledge that the Customer’s database may contain

Personal Data, for which the Customer is the Controller. This data will

be processed by xy when the Customer instructs so, by using any of

the Services that require a database (e.g. the Cloud Hosting Services

or the Database Upgrade Service), or if the Customer transfers their

database or a part of their database to xy for any reason pertaining to

this Agreement.

OBVEZE STRANA SUKLADNO ČL. 28.

Ugovorne strane obvezuje se osobne podatke obrađivati sukladno GDPR-u i

svim pozitivnim propisima odnosnima na područje zop, a posebnose xy

obvezuje:

- Obrađivati osobne podatke samo po nalogu Korisnika (voditelja) i za svrhu

izvršenja usluga po ovom ugovoru, osim kad pravo drugačije zatijeva…

- osigurava da su se osobe ovlaštene za obradu osobnih podataka

obvezale na poštovanje povjerljivosti ili da podliježu zakonskim

obvezama o povjerljivosti (odnosi se na osoblje izvršitelja);

- Implementirati i održavati adekvatne tehničke i organizacijske mjere zaštite

o.p. od neovlaštenog pristupa ili nezakonite obrade te slučajenog gubitke,

uništenja, oštečenja, krađe, izmjene ili otkrivanja;


- Promptno proslijediti Korisniku bilo koji zahtjev odnosan na zop podnesen xy,

a odnosi se na sustav pohrane Korisnika;

- Obavijestiti Korisnika promptno čim sazna za bilo koju slučajnu neovlaštenu ili

nezakonitu obradu, otkrivanje ili pristup osobnim podacima;

- Obavijestiti Korisnika ako nalozi obrade predstavljaju prekršaj legislative –

zop, po mišljenju xy;

- Učiniti dostupnim Korisniku svih informacija nužnih za dokazivanje

usklađenosti sa zakonodavstvom zaštite podataka, koje omogućuju revizije,

uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je

ovlastio voditelj obrade, te im doprinose;


• Trajno izbrisati sve kopije korisnikovih sustava

pohrane u posjedu XY ili vratiti te podatke, po

izboru Korisniku, a nakon prestanak ovog

Ugovora

PODIZVRŠITELJ

• XY SA ne smije angažirati drugog izvršitelja obrade bez prethodnog

posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg

pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim

planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja

obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve

izmjene.

• PODIZVRŠITELJ – PRUŽITI JEDNAKA JAMSTVA U POGLEDU ZOP

(NJIHOVE SIGURNOSTI I POVJERLJIVOSTI)

ZAŠTO JE OVO VAŽNO

SLUČAJ – izrečena kazna u Njemačkoj

• Nadzorno tijelo za zaštitu podataka kaznilo je

malu kompaniju Kolibri Image sa 5.000 EUR

(otprilike 37.000 kuna) te naknadom u visini

250 EUR. Odluka o izricanju kazne uslijedila je

nakon što je uočena povreda članka 83 (4)

Opće uredbe o zaštiti podataka, odnosno zbog

nedostatka ugovora o obradi podataka.

SLUČAJ – izrečena kazna u Njemačkoj

Naime, povrijeđena je odredba članka 28. GDPR, (3)

Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim

aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade

obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade,

prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze

i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito

određuje da izvršitelj obrade: - OBVEZNI SADRŽAJ

Takav ugovor nije bio zaključen, a voditelj obrade ga je dužan zaključiti sa

izvršiteljem.

ELEMENTI UGOVORA

Ograničenje odgovornosti

Vis maior (slučaj više sile) -Neither party shall be liable to

the other party for the delay in any performance or failure to

render any performance under this Agreement when such failure

or delay is caused by governmental regulations, fire, strike, war,

flood, accident, epidemic, embargo, appropriation of plant or

product in whole or in part by any government or public

authority, or any other cause or causes, whether of like or

different nature, beyond the reasonable control of such party as

long as such cause or causes exist.

ELEMENTI UGOVORA

• Rješavanje sporova (mjerodavno pravo);

• Salvatorna klauzula – Utile per inutile non

vitiautur;

• Izmjene ugovora (pisane);

• Trajanje ugovora ;

• Dijelovi ugovora (Prilozi...)

PROCJENA UČINKA NA ZAŠTITU PODATAKA -

DPIA

‘DATA PROTECTION IMPACT ASSESSMENT’ – 35. i 36. član GDPR

Dubravka Dolenc


DPIA

DPIA – 1 od dodatnh obveza za voditelje obrade koja proizlazi iz nove EU

regulative, Opće uredbe o zaštiti podataka od 27. travnja 2016. – primjena

25.05.2018.

GDPR – brojne novosti i dodatne obveze za voditelje obrade

(proš.pojma o.p., pa tako i ip adresa, podaci o lokaciji o.p. , u fokusu pojedinac –

veća prava pojedincima, obveza informiranja prije obrade, prije privole, dodatne

obveze u smislu pisanog reguliranja obveza voditelja obrade i izvršitelja obrade –

obvezan sadržaj ugovora, povećana uloga DPO-a, obveza obavještavanja o data

breach-u Agenciji, ponekad i ispitanicima, DPIA

PROCJENA UČINKA NA ZAŠTITU PODATAKA – DPIA –Postupak za uspostavu i dokazivanje usklađenosti

To je postupak koji opisuje obradu , procjenu nužnosti obrade i proporcionalnost

između obrade i rizika za prava i slobode pojedinca

Ne za svaki post.obrade – samo –

onaj – high risk za prava i slobode

pojedinca

1 DPIA – ZA VIŠE POSTUPAKA OBRADE (razumno) kad su postupci obrade slični, npr. TJV. namjeravaju uspostaviti zajedničku aplikaciju / platformu za obradu. 1 PROCJENA može se upotrijebiti za procjenu višestrukih post.obrade – koji slični

PROCJENA UČINKA NA ZAŠTITU PODATAKA – DPIA –Postupak za uspostavu i dokazivanje usklađenosti

CILJ – sustavno proučavanje novih situacija

DPIA – ne u slučajevima – kad su

postupci obrade i rizici već

proučeni – koristi se slična

tehnologija za prikupljanje iste

vrste o.p. u iste svrhe

Npr. željeznički

prijevoznik – 1

voditelj može 1

DPIA-om

obuhvatiti sve

nadz.kamere na

svim želj.

postajama

Provodi se prije početka obrade i

kada se promijeni rizik / okolnost.

+ Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade(35(11) GDPR)


DPIA

Uzeti u obzir – Smjernice o procjeni učinka na zaštitu podataka i

utvrđivanje mogu li postupci obrade „vjerovatno prouzročiti visok rizik” u

smislu Uredbe 2016/679 WP 29 Direktive 95/46, sada Europski odbor za

zaštitu podataka donesene 04. travnja 2017. revidirane 04. listopada 2017.

Procesi koje treba provesti Recital 90 po ISO 31000 (Procesi upravljanja rizicima)

ili ISO 27001 (proces upravljanja sigurnošću informacija) kontrole:

a) Utvrđivanje konteksta – “uzeti u obzir prirodu, opseg, okolnosti i svrhu obrade op i

podrijetlo rizika”;

b) Ocijeniti rizik – “procijeniti stvarnu vjerojatnost i ozbiljnost visokog rizika”;

c) „to deal with the risk– „ tretirati rizik – “ograničiti rizik” in “osigurati zaštitu op” i

“izkazati sukladnost sa GDPR brade

PROCJENA UČINKA NA ZAŠTITU PODATAKA –

DPIA, čl. 35. (4) i (5)

- Nadzorno tijelo (U HR AZOP – uspostavilo i javno objavilo

popis vrsta postupaka obrade – podlježu obvezi DPIA –e ,

priopćilo to Odboru EU odboru za zaštitu pod. (članak 35.

stavak 4.), - https://azop.hr/aktualno/detaljnije/odluka-o-

uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli

- Nadzorno tijelo može uspostaviti i javno objaviti popis vrsta

obrade – koje ne podliježu obvezi provedbe DPIA-e i priopćuje

to Odboru(članak 35. stavak 5.),

- Zajednički kriteriji u pogledu metodologije provođenja procjene

učinka na zaštitu podataka (članak 35. stavak 5.)

https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli


DPIA

SMJERNICE o procjeni učinka – zadnji put revidirane

04. listopada 2017.

• RIZIK - scenarij koji opisuje događaj i njegove

posljedice procijenjene s obzirom na ozbiljnost i

vjerojatnost.

• UPRAVLJANJE RIZICIMA - može se definirati kao

koordinirane aktivnosti usmjeravanja i kontroliranja

organizacije u pogledu rizika


DPIA

Izvor: Smjernice WP29

PROCES

+ UZETI U OBZIR

Usklađenost sa Kodeksom

ponašanja;

Obvezujuća korporativna

pravila

PROCJENA UČINKA NA ZAŠTITU

PODATAKA – DPIA

PROCJENA UČINKA NA ZAŠTITU PODATAKA – DPIA

• UZETI u obzir usklađenost sa Kodeksom - znači –u

dokazivanju odabira ili provedbe prikladnih mjera.

Kodeks predviđa određene mjere zaštite, mogu se uzeti

u obzir oznake, potvrde, pečati i sl. instrumenti

osiguranja kojima se dokazuje da postupci obrade koji

provodi voditelj i izvršitelj su sukladni sa GDPR-om.


DPIA

KADA JE OBAVEZNA ?

1. Ako se nalazi na popisu koji je objavilo nadzorno tijelo-

https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-

javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli

2. KAD je vjerovatno da će neka obrada prouzročiti VISOKI RIZIK

za prava i slobode ispitanika;

(Regarding biometric data: the Board requests the Croatian Supervisory Authority to amend its list firstly by

clarifying that the item referencing the processing of biometric data applies where the purpose of the

processing is uniquely identifying a natural person, secondly by adding to this item that only when it is done in

conjunction with at least one other criterion a DPIA is required to be carried out. - Mišljenje EDPS)

https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli


DPIA

• DPIA obavezna iz 35(3) GDPR: ne isključivo !

a) sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na

automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje

proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na

pojedinca;

b) opsežne obrade posebnih kategorija osobnih podataka iz članka 9. GDPR. ili podataka u

vezi s kaznenim osudama i kažnjivim djelima iz članka 10. GDPR;

c) sustavnog praćenja javno dostupnog područja u velikoj mjeri.

Fizički / virtualno

PROCJENA UČINKA NA ZAŠTITU

PODATAKA – DPIA

KAD NIJE OBAVEZNA?

1. Ako je na popisu koje je objavilo nadzorno tijelo (to je mogućnost) članak 35. (5) GDPR;

2. Kada vrsta obrade ne može prouzročiti visok rizik za prava i slobode ispitanika;

3. Ako je slična DPIA već izvedena;

4. Ako je obrada bila odobrena prije svibnja 2018., ako ima pravni temelj u pravu Unije ili

pravu države članice kojem voditelj obrade podliježe, te je DPIA već provedena u kontekstu donošenja

pravne osnove, osim ako države članice smatraju da je potrebno provesti takvu procjenu prije aktivnosti obrade.

Voditelj obrade mora dokazati da

DPIA nije potrebna:

- Dokumentirati i utemeljiti;

- Uključiti stajalište DPO

PREPORUKA!

U slučaju

dvojbe –

PROVESTI –

IN DUBIO pro

DPIA


DPIA - ŠTO?

ŠTO SADRŽI BAREM, ČL. 35 (7) GDPR

1. sustavan opis predviđenih postupaka obrade i svrha

obrade, uključujući, ako je primjenjivo, legitimni interes

voditelja obrade

2. procjenu nužnosti i proporcionalnosti postupaka

obrade povezanih s njihovim svrhama;

3. procjenu rizika za prava i slobode ispitanikâ,

4. mjere predviđene za rješavanje problema rizika, što

uključuje zaštitne mjere, sigurnosne mjere i mehanizme

za osiguravanje zaštite osobnih podataka i dokazivanje

sukladnosti s ovom Uredbom, uzimajući u obzir prava i

legitimne interese ispitanika i drugih uključenih osoba.


DPIA

9 KRITERIJA WP 29 ZA OCJENU VISOKOG RIZIKA

1. Procjena ili bodovanje, uklj. izradu profila i predviđanje, osobito na temelju

aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja,

osobnih preferencija ili interesa, ponašanja, lokacije, kretanja…; (financ.

Inst. Provode dubinsku analizu pranja novca)

2. Automatizirano odlučivanje s pravnim učincima na pojedinca / značajno na

njega utječu (isključ. Ili diskrim.)

3. Sustavno praćenje (javnih površina npr.);

4. Osjetljivi podaci ili podaci vrlo osobne naravi: (posebne vrste OP, bolnica –

medic.dokum. Priv. Istražitelj – podaci o prijestupima);


DPIA

5. Opsežna obrada (broj uklj. Ispitanika, količina podataka, trajanje/stalnost

postupaka obrade, zemlj. opseg aktivnosti)

6. Uparivanje i spajanje razl.zbirki, ili postupaka obrade / razl.svrhe/različiti voditelji

(premašju očekivanja ispitanika!);

7. Osjetljive skupine ispitanika (djeca, zaposlenici, osobe s duševnim smetnjama,

stariji … neravnoteže moći);

8. Inovativne metode / tehnologije / organizacijska rješenja (npr. kombiniranja

otisaka prstiju i prepoznavanja lica radi poboljšane kontrole fizičkog pristupa itd... );

9. Situacija u kojoj sama obrada sprečava ispitanike u ostvarivanju prava ili

upotrebi usluge i ugovora (članak 22. i uvodna izjava 91.). To uključuje i postupke

obrade kojima se ispitanicima dopušta, mijenja ili odbija pristup pojedinoj usluzi ili

sklapanje ugovora. Primjer je banka koja provjerava klijente u referentnoj bazi

podataka o kreditnoj sposobnosti pri odlučivanju o dodjeli kredita

PRAVILO ISPUNJENOSTI DVA KRITERIJA

PROCJENA UČINKA NA ZAŠTITU PODATAKA – DPIA

• PRAVILO ISPUNJENOSTI 2 KRITERIJA – not necessary

ALI – nekad dovoljan i 1 postupak obrade – može predstavljati

visok rizik,svi oni postupci obrade na popisu nisu jedini koji bi

mogli podlijegati obvezi DPIA-e (riječ osobito se provodi) –

podrazumijeva neiscrpan popis --- obrada podataka je živ

organizam, tehnologija napreduje, poslovni procesi se mijenjaju,

obrade podataka se mijenjaju – pojava nova obrade – sa visokim

rizikom koja u trenutku sastavlj.popisa nije postojala, a incl. High

risk

ŠTO VIŠE KRITERIJA

ispunjeno – veća

mogućnost za rizike po

slobode i prava

PROCJENA UČINKA NA ZAŠTITU PODATAKA,

DPIA

* SUSTAVNO PRAĆENJE JAVNOG PROSTORA

- radi / pojavljuje se u sustavu;

- unaprijed dogovoren /

organiziran / metodičan;

- provodi se kao dio općeg

plana prikupljanja podataka;

- provodi se kao dio strategije

- Fizički prostor dostupan svima pod istim

uvjetima (ulica, željeznički kolodvor, knjižnica,

restoran, trgovina ...);

- Virtualno (virtualno) okruženje koje je dostupno

svima pod istim uvjetima (web-mjesta, forumi,

društvene mreže ...)


DPIA

* OPSEŽNA OBRADA (OBRADA U VELIKOM OPSEGU)

Kriteriji za ocjenjivanje:

1. Broj uključenih ispitanika, ili određeni broj ili udio relevantnog

stanovništva);

2. Količina podataka i/ili niz različitih podataka koji se obrađuju;

3. Trajanje ili stalnost postupka obrade podataka;

4. Zemljopisni opseg aktivnosti obrade.

PROCJENA UČINKA NA ZAŠTITU PODATAKA, DPIA - KADA ???

• KADA SE PROVODI ?

PRIJE POČETKA

OBRADE+

KAD SE PROMIJENI

RIZIK – dakle –

moguća i kod starih

potupaka obrade,

ako je došlo do

promjene rizika

PROMJENA RIZIKA – bilo koja obrada pod. čiji uvjeti provedbe, opseg, svrha, prikupljeni o.p., identitet voditelja obrade ili primatelja, razdoblje čuvanja,

tehn.,org.mjere su se promijenile od prethodne provjere koju je provelo nadzorno tijelo ili DPO i koja će vjerovatno prouzročiti visok rizik treba biti

podvrgnuta DPIA-a

PROCJENA UČINKA NA ZAŠTITU PODATAKA, DPIA - KADA, KAKO ???

Prije početka obrade- u

skladu sa načelom

PRIVACY BY DESIGN I

PRIVACY BY DEFAULT

(načela tehničke i

integrirane zaštite pod.)

+

Što je prije moguće

započeti sa DPIA-

om, već tijekom

planiranja

postupaka obrade,

čak i ako su neki

postupci obrade još

uvijek nepoznati

AŽURIRANJEM PROCJENE UČINKA – osigurat će se da se vodi računa o zaštiti podataka i privatnosti i potaknut će se iznalaženje rješenja kojima se potiče

usklađenostDPIA – kontinuiran proces

PROCJENA UČINKA NA ZAŠTITU PODATAKA, DPIA, TKO ?

TKO PROVODI DPIA-U?

VODITELJ OBRADEje odgovoran za

provedbu

Uloga DPO:

- Voditelj obrade traži

mišljenje od DPO-a(član

35(2) GDPR);

- Prati provedbu DPIA-e i

savjetuje (člen 39(1) c

GDPR)

- DPO dužan informirati

voditelja o obvezama iz

GDPR-a – ukazati na

dužnost provedbe DPIA-e

Unutar

organizacije/

vanjski

izvođač

Pomoć u usklađenosti – IZVRŠITELJ

OBRADE

(član 28(3) f GDPR)

Prema potrebi – voditelj – traži mišljenje ispitanika / njihovihpredstavnika onamjeravanoj obradi, čl.35 (9) GDPR


DPIA

Mišljenje ispitanika / predstavnika + preporuka zatražiti savjet neovisnih stručnjaka

različitih zanimanja (stručnjaka za područje o.p., IT stručnjaka, sociologa, etičara

itd.)

- Kada je to primjereno (voditelj obrade dokumentira, zašto nije primjereno);

- Samoiniciativno;

- Anketa, upitnik, konzultacije sa sindikatom;

- Pristanak na obradu OP ne znači ”traženje mišljenja”

Voditelj obrade mora

obrazložiti /dokumentirati

zašto je postupio suprotno

mišljenju

- ako bi se time ugrozila povjerljivost poslovnih planova poduzeća ili ako bi to bilo nerazmjerno ili neizvedivo


DPIAOBVEZNO PRETHODNO SAVJETOVANJE SA NADZORNIM TIJELOM PRIJE

OBRADE

Procjenom pokaže - obrada dovela do high risk – ako se ne donesu mjere za

ublaž. rizika

Ako tako zahtjeva pravo DČ – da se od nadzornog tijela dobije odobrenje za

obradu oju voditelj obrade provodi u javnom interesu, uključujući i obradu u vezi

sa socijalnom zaštitom i javnim zdravljem …

Voditelj obrade nadzorom tijelu dostavlja (član 36(3) GDPR):

a) Odgovornosti voditelja, zaj.vod. Izvršitelja uklj. u obradu, osobito unutar

grupe poduzetnika;

b) svrhu i sredstva namjeravane obrade;

c) Zaštitne i druge mjere – za zaštitu prava i sloboda ispitanika;

d) Kontaktne podatke DPO;

e) DPIA; -samu procjenu

f) Druge informacije, koje zahtijeva nadzorno tijelo.


DPIA – PRIKLADNE MJERE

• Uzeti u obzir mjere sa aspekta PRAVA & IT

• npr. pohranjivanje o.p. u prijenosno računalo uz uporabu

prikladni tehn.i org. sigurnosnih mjera, (učinkovito

šifriranje cijelog diska, sigurno upravljanje ključom,

prikladni nadzor pristupa, zaštićene sigurnosne kopije,

čitav niz IT mjera uz adekvatne politike)

• PRAVNI DIO – (obavijesti, informacije – načelo

transparentnosti, dobro izrađene privole, omogućena

prava ispitanika, pravo na pristup, prigovor itd.)


DPIA

OPISATI OBRADU (opseg, kontekst, svrhu, o.p. koji se obrađuju, primatelji,

razd.čuvanja, sredstva o kojima ti podaci ovise – gdje se nalaze – oprema, računalni

programi, mreže, osobe, dokumenti u papirnatom obliku, u obzir usklađenost sa

Kodeksom)

NUŽNOST I PROPORCIONALNOST – opisane su mjere koje služe za

dokaz.usklađenosti sa Uredbom, mjere proporc.i nužnosti – u smislu posebnih,

zakonitih i izričitih svrha, obrade se temelje na tim svrhama, obrada zakonita,

primjereni su i relevantni osobni podaci, ograničeni na ono što je nužno, ograničeno

razd.pohrane – zadovoljen i IT i pravni dio , omogućena prava ispitanika, zaštitne

mjere odnosne na međ. prijenos, pružene su informacije)

WP 29 – izradila KRITERIJE – što sadrži DPIA

PROCJENA UČINKA NA ZAŠTITU PODATAKA, DPIA

• KONTROLIRANI RIZICI za prava i slobode ispitanika - uvaženo izvor,

priroda, osobitost, ozbiljnost rizika, za svaki rizik , neovl. pristup, neželjene

izmjene, nestanak podataka sa perspektive ispitanika, uzimaju se u obzir

rizici i izvori rizika

• MOGUĆI UČINCI NA NJIHOVA PRAVA I SLOBODE posebno u

slučajevima neovlaštenog pristupa, neželjene izmjene, nestanka podataka,

utvrđene su i prijetnje koje mogu dovesti do neovl.pristupa, procijenjena je

vjerovatnost i ozbiljnost toga i naravno određene

• MJERE za uklanjanje tih rizika

• (uključene su i zainteresirane strane – savjet DPO-a, a prema potrebi i

ispitanika i predstavnika)


DPIA

• PRAVNI I IT DOKUMENT

- IDENTIFIKACIJA AKTIVNOSTI OBRADE KOJE MOGU REZULTIRATI NUŽNOŠĆU

PROVEDBE PROCJENE UČINKA NA ZAŠTITU OSOBNIH PODATAKA – (postojeća ili

buduća obrada, promjene u postojećoj obradi – (nove svrhe, veća količina op, nove

tehnologije….itd)

- OSNOVNI OPIS OBRADE KOJA SE ANALIZIRA

- VJEROVATNI RIZIK ZA PRAVA I SLOBODE POJEDINCA

- BENEFITI OD OBRADE OSOBNIH PODATAKA (test ravnoteže)

- MJERE PREDVIĐENE ZA UKLANJANJE RIZIKA / PROVEDBA SAVJETOVANJA

Hvala na pažnji!

suvremene tehnologije i pravo - hgk.hr · obvezujuća korporativna pravila procjena uČinka na...

Documents