suvremene tehnologije i pravo - hgk.hr · obvezujuća korporativna pravila procjena uČinka na...
TRANSCRIPT
xy Enterprise Subscription Agreement
Pretplatom na usluge xy Enterprise ("Usluge") koje pruža xy i
njegove podružnice (zajednički, „xy SA") u vezi s xy Enterprise
Edition ili xy Community Edition ("Softver"), smještenim u
oblaku xy SA platforme (“Platforma oblaka”) ili na lokalnim
mjestima (“Self-Hosting”), vi (“Kupac”) pristajete biti vezani
sljedećim uvjetima i odredbama (“Sporazum”).
Ugovor - Korisnik može koristiti Softver koji se nalazi na
platformi Cloud ili odabrati Self-Hosting
opcija. Platforma Cloud je smještena i u potpunosti je
upravljana od strane xy SA, a pristup je daljinski
od strane Kupca. S opcijom Self-Hosting (Korisnički hosting),
Korisnik umjesto toga ugrađuje Softver
računalnih sustava po vlastitom izboru, koji nisu pod
kontrolom xy SA.
ELEMENTI UGOVORA
USLUGE KOJE PRUŽA IZVRŠITELJ
1. Usluga popravljanja grešaka – BUG FIXING SERVICES
Za vrijeme trajanja ovog Ugovora, xy SA se
obvezuje poduzeti sve razumne napore kako bi
ispravio bilo koju pogrešku softvera koju je
Korisnik prijavio putem odgovarajućeg kanala te
da počne s obradom tog klijenta
prijave u roku od 2 radna dana.
ELEMENTI UGOVORA
2. Usluge sigurnosnog ažuriranja - Security Updates Service -
Self hosting Cloud Platform
ELEMENTI UGOVORA
3. Usluge nadogradnje - Upgrade services
Upgrade Service for the
Software
Upgrade Service for third-party extensions
OBVEZE KORISNIKA I IZVRŠITELJA
No soliciting or hiring ? Nema vrbovanja / krađe
zaposlenika – obveza glede obiju ugovornih stranaka
What Else?
• Response time
• Solution time
Temporary solution
Final solution
• …
• Could be (and in this case is) in General Conditions
ZAŠTITA INFORMACIJA
Nužno je zaštititi povjerljive informacije – a to su one koje su
označene kao povjerljive ili se razumno mogu smatrati
povjerljivima s obzirom na njihovu prirodu koje jedna stranka
upućuje / otkriva drugoj usmeno ili pisano.
Posebno – bilo koja info odnosna na poslove, aktivnosti,
proizvode, razvoj, poslovnu tajnu, know-how, klijente
dobavljače…
• For all Confidential Information received during the Term of this Agreement, the Receiving Party
will use the same degree of care that it uses to protect the confidentiality of its own similar
Confidential Information, but not less than reasonable care.
ZAŠTITA INFORMACIJA
• The unauthorized use of the information referred to in paragraph 1
of this Article for their own benefit or commercial exploitation or
transfer to third parties outside the organization, without the
consent of the other Contracting Party, shall not be permitted.
• The obligation to disclose information and business secret shall not
cease upon the termination of this Contract. The Contracting
Parties expressly state that they are aware that unauthorized
acquisition and disclosure of business secrets is also a criminal
offense referred to in Article 262 of the Criminal Code (CC).
ZAŠTITA OSOBNIH PODATAKA
U okviru ugovora – obrađuju se osobni podaci – ČIJI ?
---------------------------------------------------
Osobne podatke – nužno je zaštititi sa aspekta sigurnosti – uvodna odredba GDPR
-
• Osobne podatke trebalo bi obrađivati uz odgovarajuće
poštovanje sigurnosti i povjerljivosti osobnih podataka,
što obuhvaća i sprečavanje neovlaštenog pristupa
osobnim podacima i opremi kojom se koristi pri obradi
podataka ili njihove neovlaštene upotrebe.
ZAŠTITA OSOBNIH PODATAKA
Jedno od osnovnih načela obrade o.p. -
NAČELO CJELOVITOSTI I POVJERLJIVOSTI
sukladno novoj regulativi
Članak 5. (1) f GDPR - OSOBNI PODACI –
MORAJU BITI obrađivani na način kojim se
osigurava odgovarajuća sigurnost osobnih
podataka, uključujući zaštitu od neovlaštene ili
nezakonite obrade te od slučajnog gubitka,
uništenja ili oštećenja primjenom odgovarajućih
tehničkih ili organizacijskih mjera („cjelovitost i
povjerljivost”)
OBVEZE UGOVORNIH STRANA –
implementirati u Ugovor članak 28. GDPR
S obzirom na o.p. definirati protagoniste obrade –
VODITELJ OBRADE – (in charge) – čl. 4. toč. 7. GDPR – znači fizička ili
pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s
drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i
sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj
obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom
Unije ili pravom države članice; (određuje temelj i svrhu)
IZVRŠITELJ OBRADE – (radi po nalogu) – članak 4. toč. 8. GDPR znači
fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje
osobne podatke u ime voditelja obrade;
ZAŠTITA OSOBNIH PODATAKA
Definitions “Personal Data”, “Controller”, „Processor”, “Processing” take the same meanings as in the Regulation (EU) 2016/679 and the Directive 2002/58/EC, and any regulation or legislation that amends or replaces them (hereafter referred to as “Data Protection Legislation”)
Nije nužno kopirati definicije – DOVOLJNO SE
POZVATI NA RELEVANTNU REGULATIVU U
OZNAČAVANJU POJMOVA
ODNOS VODITELJA I IZVRŠITELJA – nužno
regulirati u skladu sa člankom 28.
Članak 28. GDPR – obvezan sadržaj koji regulira taj odnos
The parties acknowledge that the Customer’s database may contain
Personal Data, for which the Customer is the Controller. This data will
be processed by xy when the Customer instructs so, by using any of
the Services that require a database (e.g. the Cloud Hosting Services
or the Database Upgrade Service), or if the Customer transfers their
database or a part of their database to xy for any reason pertaining to
this Agreement.
OBVEZE STRANA SUKLADNO ČL. 28.
Ugovorne strane obvezuje se osobne podatke obrađivati sukladno GDPR-u i
svim pozitivnim propisima odnosnima na područje zop, a posebnose xy
obvezuje:
- Obrađivati osobne podatke samo po nalogu Korisnika (voditelja) i za svrhu
izvršenja usluga po ovom ugovoru, osim kad pravo drugačije zatijeva…
- osigurava da su se osobe ovlaštene za obradu osobnih podataka
obvezale na poštovanje povjerljivosti ili da podliježu zakonskim
obvezama o povjerljivosti (odnosi se na osoblje izvršitelja);
- Implementirati i održavati adekvatne tehničke i organizacijske mjere zaštite
o.p. od neovlaštenog pristupa ili nezakonite obrade te slučajenog gubitke,
uništenja, oštečenja, krađe, izmjene ili otkrivanja;
OBVEZE STRANA SUKLADNO ČL. 28.
- Promptno proslijediti Korisniku bilo koji zahtjev odnosan na zop podnesen xy,
a odnosi se na sustav pohrane Korisnika;
- Obavijestiti Korisnika promptno čim sazna za bilo koju slučajnu neovlaštenu ili
nezakonitu obradu, otkrivanje ili pristup osobnim podacima;
- Obavijestiti Korisnika ako nalozi obrade predstavljaju prekršaj legislative –
zop, po mišljenju xy;
- Učiniti dostupnim Korisniku svih informacija nužnih za dokazivanje
usklađenosti sa zakonodavstvom zaštite podataka, koje omogućuju revizije,
uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je
ovlastio voditelj obrade, te im doprinose;
OBVEZE STRANA SUKLADNO ČL. 28.
• Trajno izbrisati sve kopije korisnikovih sustava
pohrane u posjedu XY ili vratiti te podatke, po
izboru Korisniku, a nakon prestanak ovog
Ugovora
PODIZVRŠITELJ
• XY SA ne smije angažirati drugog izvršitelja obrade bez prethodnog
posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg
pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim
planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja
obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve
izmjene.
• PODIZVRŠITELJ – PRUŽITI JEDNAKA JAMSTVA U POGLEDU ZOP
(NJIHOVE SIGURNOSTI I POVJERLJIVOSTI)
SLUČAJ – izrečena kazna u Njemačkoj
• Nadzorno tijelo za zaštitu podataka kaznilo je
malu kompaniju Kolibri Image sa 5.000 EUR
(otprilike 37.000 kuna) te naknadom u visini
250 EUR. Odluka o izricanju kazne uslijedila je
nakon što je uočena povreda članka 83 (4)
Opće uredbe o zaštiti podataka, odnosno zbog
nedostatka ugovora o obradi podataka.
SLUČAJ – izrečena kazna u Njemačkoj
Naime, povrijeđena je odredba članka 28. GDPR, (3)
Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim
aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade
obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade,
prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze
i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito
određuje da izvršitelj obrade: - OBVEZNI SADRŽAJ
Takav ugovor nije bio zaključen, a voditelj obrade ga je dužan zaključiti sa
izvršiteljem.
ELEMENTI UGOVORA
Ograničenje odgovornosti
Vis maior (slučaj više sile) -Neither party shall be liable to
the other party for the delay in any performance or failure to
render any performance under this Agreement when such failure
or delay is caused by governmental regulations, fire, strike, war,
flood, accident, epidemic, embargo, appropriation of plant or
product in whole or in part by any government or public
authority, or any other cause or causes, whether of like or
different nature, beyond the reasonable control of such party as
long as such cause or causes exist.
ELEMENTI UGOVORA
• Rješavanje sporova (mjerodavno pravo);
• Salvatorna klauzula – Utile per inutile non
vitiautur;
• Izmjene ugovora (pisane);
• Trajanje ugovora ;
• Dijelovi ugovora (Prilozi...)
PROCJENA UČINKA NA ZAŠTITU PODATAKA -
DPIA
‘DATA PROTECTION IMPACT ASSESSMENT’ – 35. i 36. član GDPR
Dubravka Dolenc
PROCJENA UČINKA NA ZAŠTITU PODATAKA -
DPIA
DPIA – 1 od dodatnh obveza za voditelje obrade koja proizlazi iz nove EU
regulative, Opće uredbe o zaštiti podataka od 27. travnja 2016. – primjena
25.05.2018.
GDPR – brojne novosti i dodatne obveze za voditelje obrade
(proš.pojma o.p., pa tako i ip adresa, podaci o lokaciji o.p. , u fokusu pojedinac –
veća prava pojedincima, obveza informiranja prije obrade, prije privole, dodatne
obveze u smislu pisanog reguliranja obveza voditelja obrade i izvršitelja obrade –
obvezan sadržaj ugovora, povećana uloga DPO-a, obveza obavještavanja o data
breach-u Agenciji, ponekad i ispitanicima, DPIA
PROCJENA UČINKA NA ZAŠTITU PODATAKA – DPIA –Postupak za uspostavu i dokazivanje usklađenosti
To je postupak koji opisuje obradu , procjenu nužnosti obrade i proporcionalnost
između obrade i rizika za prava i slobode pojedinca
Ne za svaki post.obrade – samo –
onaj – high risk za prava i slobode
pojedinca
1 DPIA – ZA VIŠE POSTUPAKA OBRADE (razumno) kad su postupci obrade slični, npr. TJV. namjeravaju uspostaviti zajedničku aplikaciju / platformu za obradu. 1 PROCJENA može se upotrijebiti za procjenu višestrukih post.obrade – koji slični
PROCJENA UČINKA NA ZAŠTITU PODATAKA – DPIA –Postupak za uspostavu i dokazivanje usklađenosti
CILJ – sustavno proučavanje novih situacija
DPIA – ne u slučajevima – kad su
postupci obrade i rizici već
proučeni – koristi se slična
tehnologija za prikupljanje iste
vrste o.p. u iste svrhe
Npr. željeznički
prijevoznik – 1
voditelj može 1
DPIA-om
obuhvatiti sve
nadz.kamere na
svim želj.
postajama
Provodi se prije početka obrade i
kada se promijeni rizik / okolnost.
+ Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade(35(11) GDPR)
PROCJENA UČINKA NA ZAŠTITU PODATAKA -
DPIA
Uzeti u obzir – Smjernice o procjeni učinka na zaštitu podataka i
utvrđivanje mogu li postupci obrade „vjerovatno prouzročiti visok rizik” u
smislu Uredbe 2016/679 WP 29 Direktive 95/46, sada Europski odbor za
zaštitu podataka donesene 04. travnja 2017. revidirane 04. listopada 2017.
Procesi koje treba provesti Recital 90 po ISO 31000 (Procesi upravljanja rizicima)
ili ISO 27001 (proces upravljanja sigurnošću informacija) kontrole:
a) Utvrđivanje konteksta – “uzeti u obzir prirodu, opseg, okolnosti i svrhu obrade op i
podrijetlo rizika”;
b) Ocijeniti rizik – “procijeniti stvarnu vjerojatnost i ozbiljnost visokog rizika”;
c) „to deal with the risk– „ tretirati rizik – “ograničiti rizik” in “osigurati zaštitu op” i
“izkazati sukladnost sa GDPR brade
PROCJENA UČINKA NA ZAŠTITU PODATAKA –
DPIA, čl. 35. (4) i (5)
- Nadzorno tijelo (U HR AZOP – uspostavilo i javno objavilo
popis vrsta postupaka obrade – podlježu obvezi DPIA –e ,
priopćilo to Odboru EU odboru za zaštitu pod. (članak 35.
stavak 4.), - https://azop.hr/aktualno/detaljnije/odluka-o-
uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli
- Nadzorno tijelo može uspostaviti i javno objaviti popis vrsta
obrade – koje ne podliježu obvezi provedbe DPIA-e i priopćuje
to Odboru(članak 35. stavak 5.),
- Zajednički kriteriji u pogledu metodologije provođenja procjene
učinka na zaštitu podataka (članak 35. stavak 5.)
PROCJENA UČINKA NA ZAŠTITU PODATAKA –
DPIA
SMJERNICE o procjeni učinka – zadnji put revidirane
04. listopada 2017.
• RIZIK - scenarij koji opisuje događaj i njegove
posljedice procijenjene s obzirom na ozbiljnost i
vjerojatnost.
• UPRAVLJANJE RIZICIMA - može se definirati kao
koordinirane aktivnosti usmjeravanja i kontroliranja
organizacije u pogledu rizika
PROCJENA UČINKA NA ZAŠTITU PODATAKA –
DPIA
Izvor: Smjernice WP29
PROCES
+ UZETI U OBZIR
Usklađenost sa Kodeksom
ponašanja;
Obvezujuća korporativna
pravila
PROCJENA UČINKA NA ZAŠTITU
PODATAKA – DPIA
PROCJENA UČINKA NA ZAŠTITU PODATAKA – DPIA
• UZETI u obzir usklađenost sa Kodeksom - znači –u
dokazivanju odabira ili provedbe prikladnih mjera.
Kodeks predviđa određene mjere zaštite, mogu se uzeti
u obzir oznake, potvrde, pečati i sl. instrumenti
osiguranja kojima se dokazuje da postupci obrade koji
provodi voditelj i izvršitelj su sukladni sa GDPR-om.
PROCJENA UČINKA NA ZAŠTITU PODATAKA –
DPIA
KADA JE OBAVEZNA ?
1. Ako se nalazi na popisu koji je objavilo nadzorno tijelo-
https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-
javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli
2. KAD je vjerovatno da će neka obrada prouzročiti VISOKI RIZIK
za prava i slobode ispitanika;
(Regarding biometric data: the Board requests the Croatian Supervisory Authority to amend its list firstly by
clarifying that the item referencing the processing of biometric data applies where the purpose of the
processing is uniquely identifying a natural person, secondly by adding to this item that only when it is done in
conjunction with at least one other criterion a DPIA is required to be carried out. - Mišljenje EDPS)
PROCJENA UČINKA NA ZAŠTITU PODATAKA –
DPIA
• DPIA obavezna iz 35(3) GDPR: ne isključivo !
a) sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na
automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje
proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na
pojedinca;
b) opsežne obrade posebnih kategorija osobnih podataka iz članka 9. GDPR. ili podataka u
vezi s kaznenim osudama i kažnjivim djelima iz članka 10. GDPR;
c) sustavnog praćenja javno dostupnog područja u velikoj mjeri.
Fizički / virtualno
PROCJENA UČINKA NA ZAŠTITU
PODATAKA – DPIA
KAD NIJE OBAVEZNA?
1. Ako je na popisu koje je objavilo nadzorno tijelo (to je mogućnost) članak 35. (5) GDPR;
2. Kada vrsta obrade ne može prouzročiti visok rizik za prava i slobode ispitanika;
3. Ako je slična DPIA već izvedena;
4. Ako je obrada bila odobrena prije svibnja 2018., ako ima pravni temelj u pravu Unije ili
pravu države članice kojem voditelj obrade podliježe, te je DPIA već provedena u kontekstu donošenja
pravne osnove, osim ako države članice smatraju da je potrebno provesti takvu procjenu prije aktivnosti obrade.
Voditelj obrade mora dokazati da
DPIA nije potrebna:
- Dokumentirati i utemeljiti;
- Uključiti stajalište DPO
PREPORUKA!
U slučaju
dvojbe –
PROVESTI –
IN DUBIO pro
DPIA
PROCJENA UČINKA NA ZAŠTITU PODATAKA –
DPIA - ŠTO?
ŠTO SADRŽI BAREM, ČL. 35 (7) GDPR
1. sustavan opis predviđenih postupaka obrade i svrha
obrade, uključujući, ako je primjenjivo, legitimni interes
voditelja obrade
2. procjenu nužnosti i proporcionalnosti postupaka
obrade povezanih s njihovim svrhama;
3. procjenu rizika za prava i slobode ispitanikâ,
4. mjere predviđene za rješavanje problema rizika, što
uključuje zaštitne mjere, sigurnosne mjere i mehanizme
za osiguravanje zaštite osobnih podataka i dokazivanje
sukladnosti s ovom Uredbom, uzimajući u obzir prava i
legitimne interese ispitanika i drugih uključenih osoba.
PROCJENA UČINKA NA ZAŠTITU PODATAKA –
DPIA
9 KRITERIJA WP 29 ZA OCJENU VISOKOG RIZIKA
1. Procjena ili bodovanje, uklj. izradu profila i predviđanje, osobito na temelju
aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja,
osobnih preferencija ili interesa, ponašanja, lokacije, kretanja…; (financ.
Inst. Provode dubinsku analizu pranja novca)
2. Automatizirano odlučivanje s pravnim učincima na pojedinca / značajno na
njega utječu (isključ. Ili diskrim.)
3. Sustavno praćenje (javnih površina npr.);
4. Osjetljivi podaci ili podaci vrlo osobne naravi: (posebne vrste OP, bolnica –
medic.dokum. Priv. Istražitelj – podaci o prijestupima);
PROCJENA UČINKA NA ZAŠTITU PODATAKA –
DPIA
5. Opsežna obrada (broj uklj. Ispitanika, količina podataka, trajanje/stalnost
postupaka obrade, zemlj. opseg aktivnosti)
6. Uparivanje i spajanje razl.zbirki, ili postupaka obrade / razl.svrhe/različiti voditelji
(premašju očekivanja ispitanika!);
7. Osjetljive skupine ispitanika (djeca, zaposlenici, osobe s duševnim smetnjama,
stariji … neravnoteže moći);
8. Inovativne metode / tehnologije / organizacijska rješenja (npr. kombiniranja
otisaka prstiju i prepoznavanja lica radi poboljšane kontrole fizičkog pristupa itd... );
9. Situacija u kojoj sama obrada sprečava ispitanike u ostvarivanju prava ili
upotrebi usluge i ugovora (članak 22. i uvodna izjava 91.). To uključuje i postupke
obrade kojima se ispitanicima dopušta, mijenja ili odbija pristup pojedinoj usluzi ili
sklapanje ugovora. Primjer je banka koja provjerava klijente u referentnoj bazi
podataka o kreditnoj sposobnosti pri odlučivanju o dodjeli kredita
PRAVILO ISPUNJENOSTI DVA KRITERIJA
PROCJENA UČINKA NA ZAŠTITU PODATAKA – DPIA
• PRAVILO ISPUNJENOSTI 2 KRITERIJA – not necessary
ALI – nekad dovoljan i 1 postupak obrade – može predstavljati
visok rizik,svi oni postupci obrade na popisu nisu jedini koji bi
mogli podlijegati obvezi DPIA-e (riječ osobito se provodi) –
podrazumijeva neiscrpan popis --- obrada podataka je živ
organizam, tehnologija napreduje, poslovni procesi se mijenjaju,
obrade podataka se mijenjaju – pojava nova obrade – sa visokim
rizikom koja u trenutku sastavlj.popisa nije postojala, a incl. High
risk
ŠTO VIŠE KRITERIJA
ispunjeno – veća
mogućnost za rizike po
slobode i prava
PROCJENA UČINKA NA ZAŠTITU PODATAKA,
DPIA
* SUSTAVNO PRAĆENJE JAVNOG PROSTORA
- radi / pojavljuje se u sustavu;
- unaprijed dogovoren /
organiziran / metodičan;
- provodi se kao dio općeg
plana prikupljanja podataka;
- provodi se kao dio strategije
- Fizički prostor dostupan svima pod istim
uvjetima (ulica, željeznički kolodvor, knjižnica,
restoran, trgovina ...);
- Virtualno (virtualno) okruženje koje je dostupno
svima pod istim uvjetima (web-mjesta, forumi,
društvene mreže ...)
PROCJENA UČINKA NA ZAŠTITU PODATAKA,
DPIA
* OPSEŽNA OBRADA (OBRADA U VELIKOM OPSEGU)
Kriteriji za ocjenjivanje:
1. Broj uključenih ispitanika, ili određeni broj ili udio relevantnog
stanovništva);
2. Količina podataka i/ili niz različitih podataka koji se obrađuju;
3. Trajanje ili stalnost postupka obrade podataka;
4. Zemljopisni opseg aktivnosti obrade.
PROCJENA UČINKA NA ZAŠTITU PODATAKA, DPIA - KADA ???
• KADA SE PROVODI ?
PRIJE POČETKA
OBRADE+
KAD SE PROMIJENI
RIZIK – dakle –
moguća i kod starih
potupaka obrade,
ako je došlo do
promjene rizika
PROMJENA RIZIKA – bilo koja obrada pod. čiji uvjeti provedbe, opseg, svrha, prikupljeni o.p., identitet voditelja obrade ili primatelja, razdoblje čuvanja,
tehn.,org.mjere su se promijenile od prethodne provjere koju je provelo nadzorno tijelo ili DPO i koja će vjerovatno prouzročiti visok rizik treba biti
podvrgnuta DPIA-a
PROCJENA UČINKA NA ZAŠTITU PODATAKA, DPIA - KADA, KAKO ???
Prije početka obrade- u
skladu sa načelom
PRIVACY BY DESIGN I
PRIVACY BY DEFAULT
(načela tehničke i
integrirane zaštite pod.)
+
Što je prije moguće
započeti sa DPIA-
om, već tijekom
planiranja
postupaka obrade,
čak i ako su neki
postupci obrade još
uvijek nepoznati
AŽURIRANJEM PROCJENE UČINKA – osigurat će se da se vodi računa o zaštiti podataka i privatnosti i potaknut će se iznalaženje rješenja kojima se potiče
usklađenostDPIA – kontinuiran proces
PROCJENA UČINKA NA ZAŠTITU PODATAKA, DPIA, TKO ?
TKO PROVODI DPIA-U?
VODITELJ OBRADEje odgovoran za
provedbu
Uloga DPO:
- Voditelj obrade traži
mišljenje od DPO-a(član
35(2) GDPR);
- Prati provedbu DPIA-e i
savjetuje (člen 39(1) c
GDPR)
- DPO dužan informirati
voditelja o obvezama iz
GDPR-a – ukazati na
dužnost provedbe DPIA-e
Unutar
organizacije/
vanjski
izvođač
Pomoć u usklađenosti – IZVRŠITELJ
OBRADE
(član 28(3) f GDPR)
Prema potrebi – voditelj – traži mišljenje ispitanika / njihovihpredstavnika onamjeravanoj obradi, čl.35 (9) GDPR
PROCJENA UČINKA NA ZAŠTITU PODATAKA,
DPIA
Mišljenje ispitanika / predstavnika + preporuka zatražiti savjet neovisnih stručnjaka
različitih zanimanja (stručnjaka za područje o.p., IT stručnjaka, sociologa, etičara
itd.)
- Kada je to primjereno (voditelj obrade dokumentira, zašto nije primjereno);
- Samoiniciativno;
- Anketa, upitnik, konzultacije sa sindikatom;
- Pristanak na obradu OP ne znači ”traženje mišljenja”
Voditelj obrade mora
obrazložiti /dokumentirati
zašto je postupio suprotno
mišljenju
- ako bi se time ugrozila povjerljivost poslovnih planova poduzeća ili ako bi to bilo nerazmjerno ili neizvedivo
PROCJENA UČINKA NA ZAŠTITU PODATAKA,
DPIAOBVEZNO PRETHODNO SAVJETOVANJE SA NADZORNIM TIJELOM PRIJE
OBRADE
Procjenom pokaže - obrada dovela do high risk – ako se ne donesu mjere za
ublaž. rizika
Ako tako zahtjeva pravo DČ – da se od nadzornog tijela dobije odobrenje za
obradu oju voditelj obrade provodi u javnom interesu, uključujući i obradu u vezi
sa socijalnom zaštitom i javnim zdravljem …
Voditelj obrade nadzorom tijelu dostavlja (član 36(3) GDPR):
a) Odgovornosti voditelja, zaj.vod. Izvršitelja uklj. u obradu, osobito unutar
grupe poduzetnika;
b) svrhu i sredstva namjeravane obrade;
c) Zaštitne i druge mjere – za zaštitu prava i sloboda ispitanika;
d) Kontaktne podatke DPO;
e) DPIA; -samu procjenu
f) Druge informacije, koje zahtijeva nadzorno tijelo.
PROCJENA UČINKA NA ZAŠTITU PODATAKA,
DPIA – PRIKLADNE MJERE
• Uzeti u obzir mjere sa aspekta PRAVA & IT
• npr. pohranjivanje o.p. u prijenosno računalo uz uporabu
prikladni tehn.i org. sigurnosnih mjera, (učinkovito
šifriranje cijelog diska, sigurno upravljanje ključom,
prikladni nadzor pristupa, zaštićene sigurnosne kopije,
čitav niz IT mjera uz adekvatne politike)
• PRAVNI DIO – (obavijesti, informacije – načelo
transparentnosti, dobro izrađene privole, omogućena
prava ispitanika, pravo na pristup, prigovor itd.)
PROCJENA UČINKA NA ZAŠTITU PODATAKA,
DPIA
OPISATI OBRADU (opseg, kontekst, svrhu, o.p. koji se obrađuju, primatelji,
razd.čuvanja, sredstva o kojima ti podaci ovise – gdje se nalaze – oprema, računalni
programi, mreže, osobe, dokumenti u papirnatom obliku, u obzir usklađenost sa
Kodeksom)
NUŽNOST I PROPORCIONALNOST – opisane su mjere koje služe za
dokaz.usklađenosti sa Uredbom, mjere proporc.i nužnosti – u smislu posebnih,
zakonitih i izričitih svrha, obrade se temelje na tim svrhama, obrada zakonita,
primjereni su i relevantni osobni podaci, ograničeni na ono što je nužno, ograničeno
razd.pohrane – zadovoljen i IT i pravni dio , omogućena prava ispitanika, zaštitne
mjere odnosne na međ. prijenos, pružene su informacije)
WP 29 – izradila KRITERIJE – što sadrži DPIA
PROCJENA UČINKA NA ZAŠTITU PODATAKA, DPIA
• KONTROLIRANI RIZICI za prava i slobode ispitanika - uvaženo izvor,
priroda, osobitost, ozbiljnost rizika, za svaki rizik , neovl. pristup, neželjene
izmjene, nestanak podataka sa perspektive ispitanika, uzimaju se u obzir
rizici i izvori rizika
• MOGUĆI UČINCI NA NJIHOVA PRAVA I SLOBODE posebno u
slučajevima neovlaštenog pristupa, neželjene izmjene, nestanka podataka,
utvrđene su i prijetnje koje mogu dovesti do neovl.pristupa, procijenjena je
vjerovatnost i ozbiljnost toga i naravno određene
• MJERE za uklanjanje tih rizika
• (uključene su i zainteresirane strane – savjet DPO-a, a prema potrebi i
ispitanika i predstavnika)
PROCJENA UČINKA NA ZAŠTITU PODATAKA,
DPIA
• PRAVNI I IT DOKUMENT
- IDENTIFIKACIJA AKTIVNOSTI OBRADE KOJE MOGU REZULTIRATI NUŽNOŠĆU
PROVEDBE PROCJENE UČINKA NA ZAŠTITU OSOBNIH PODATAKA – (postojeća ili
buduća obrada, promjene u postojećoj obradi – (nove svrhe, veća količina op, nove
tehnologije….itd)
- OSNOVNI OPIS OBRADE KOJA SE ANALIZIRA
- VJEROVATNI RIZIK ZA PRAVA I SLOBODE POJEDINCA
- BENEFITI OD OBRADE OSOBNIH PODATAKA (test ravnoteže)
- MJERE PREDVIĐENE ZA UKLANJANJE RIZIKA / PROVEDBA SAVJETOVANJA