general data protection regulation s apekta revizora is-a

General Data Protection

Regulation s apekta revizora

IS-a

Ime i prezime: Luka Čirjak

Organizacija: OTP banka Hrvatska d.d.

“Doprinos interne revizije korporativnom upravljanju”, Zadar 10.–12. travnja 2014.

2

SADRŽAJ:

• Postojeća regulativa

• Zahtjevi za novom regulativom

• Na što obratiti pažnju – s aspekta revizora IS-a

• Zaključno

Postojeća regulativa

• EU Directive 95/46/EC – Protection of individuals with regard to the processing of

personal data and on the free movement of such data, 1995

• Framework Decision 2008/977/JHA – Protection of personal data in the areas of

police co-operation and judicial co-operation in criminal matters, 2008

3

Zahtjevi za novom regulativom

• Strelovit tehnološki razvoj

• Drastično povećanje obujma prikupljanja i dijeljenja podataka

• Povećano javno i globalno dijeljenje osobnih podataka pojedinaca

• Nedostatci postojeće regulative:

o Fragmentacija načina implementacije zaštite podataka u članicama Unije

o Legalne nejasnoće

o Javna percepcija o postajanju velikih rizika u dijelu zaštite pojedinaca

prvenstveno povezano sa online aktivnostima

4

Na što obratiti pažnju – s aspekta revizora IS-a:

• Članak 6. Zakonitost obrade osobnih podataka

1. Na određenom uzorku ustanoviti je li zadovoljen barem jedan od sljedećih zahtjeva

koji omogućuju zakonito obrađivanje osobnih podataka:

(a) Ispitanik je dao pristanak za obradu svojih osobnih podataka za jednu ili više

specifičnih svrha;

(b) Obrađivanje je nužno za obavljanje ugovora u kojem je ispitanik ugovorna

stranka ili radi poduzimanja mjera na zahtjev ispitanika prije sklapanja ugovora;

(c) Obrađivanje je nužno radi ispunjavanja zakonske obveze primatelja;

(d) Obrađivanje je nužno radi zaštite ključnih interesa ispitanika;

(e) Obrađivanje je nužno za obavljanje zadatka javnog interesa ili u izvršavanju

javnih ovlasti koje ima primatelj;

(f) Obrađivanje je nužno za potrebe legitimnih interesa koje ostvaruje primatelj,

osim kad su ti interesi nadjačani interesima ili temeljnim pravima i slobodama

ispitanika koji zahtijevaju zaštitu osobnih podataka, posebice kada je ispitanik

dijete.

5


Utvrditi je li primatelj definirao sljedeća prava ispitanika:

• Članak 7. Uvjeti za suglasnost

3. pravo povlačenja svoje privole u svakom trenutku

• Članak 15. Pravo pristupa ispitanika

1. pravo dobivanja od primatelja u bilo koje vrijeme, na zahtjev, potvrdu o tome obrađuju li se

ili ne osobni podataci koji se odnose na njega.

• Članak 16. Pravo na ispravak

1. pravo dobivanja od primatelja ispravku osobnih podataka koji se odnose na njega, a koji su

netočni.

• Članak 17. Pravo na zaborav i na brisanje

1. pravo na brisanje osobnih podataka koji se odnose na njega i na suzdržavanje od daljnjeg

širenja takvih podataka, pogotovo osobnih podatak koji su bili dati primatelju dok je ispitanik

bio dijete, a gdje je ispunjen jedan od sljedećih uvjeta:

(a) podaci više nisu potrebni s obzirom na svrhu za koju su prikupljeni;

(b) Ispitanik povlaći privolu na kojoj se temelji obrada prema točki (a) članka 6.(1), ili

kada je istekao ugovoreni rok za pohranu, a gdje ne postoji druga pravna

osnova za obradu podataka;

(c) Ispitanik se protivi obradi osobnih podataka u skladu s člankom 19.;

(d) obrada podataka nije u skladu s ovom regulativom iz drugih razloga.6


• Članak 18. Pravo na prenosivost podataka

1. pravo, gdje se osobni podaci obrađuju elektronički

na strukturiran i uobičajeno korišten format, dobivanja

od primatelj kopije podataka koja se obrađuje u

elektroničkom i uobičajeno strukturiranom formatu koji

omogućuje daljnje korištenje od njegove strane.

2. pravo prenošenja osobnih podataka i ostalih

informacija pruženih od njega i zadržanih od

automatiziranog sustava za obradu, u drugi sustav,

u elektroničkom formatu uobičajeno korištenom, bez ograničenja od primatelja od

kojeg su osobni podaci i povučeni.

• Članak. 19 Pravo na prigovor

1. pravo na prigovor, na temelju njegove specifične situacije, u bilo koje vrijeme obrade

osobnih podataka koja se temelji na točkama (d), (e) i (f) članka 6.(1), osim ukoliko

primatelj dokaže uvjerljive legitimne osnove za obradu koja nadjačava njegove

interese ili temeljna prava i slobodu.

2. pravo na prigovor, gdje se osobni podaci obrađuju u direktne svrhe marketinga,

obrade svojih osobnih podataka za takav marketing.

7


• Članak 8. Obrađivanje osobnih podataka djeteta

1. Kako bi obrada osobnih podataka djece mlađe od 13 godina bila zakonita, potrebno

je utvrditi na uzorku je li privola dana ili odobrena od strane roditelja ili skrbnika.

• Članak 9. Obrađivanje posebnih kategorija osobnih podataka

1. Utvrditi je li zabranjena obrada osobnih podataka koji otkrivaju rasno ili etničko

podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, te

obrada generičkih podataka ili podataka koji se tiču zdravlja ili spolnog života te

osobnih podataka o kaznenom ili prekršajnom postupku.

• Članak 11. Transparentnost informacija i komunikacije

1. Provjeriti jeli postoje transparentni i lako dostupni akti u vezi s obradom osobnih

podataka i ostvarivanja prava ispitanika

8


• Članak 12. Procedure i mehanizmi za ostvarivanje prava ispitanika

1. Provjeriti jesu li:

- uspostavljene procedure za pružanje informacija i za ostvarivanje prava

ispitanika;

- pruženi mehanizmi za upravljanje zahtjevima vezanim uz aktivnosti ostvarivanja

prava ispitanika;

- gdje se osobni podaci obrađuju automatskim putem, osigurani načini podnošenja

zahtjeva elektronskim putem.

2. Na uzorku povjeriti je li ispitanik pravovremeno (unutar mjesec dana od primljenog

zahtjeva) obaviješten o poduzetim aktivnostima te je li obaviješten na pravilan način

(pismeni putem ili u elektroničkoj formi ako je na taj način primljen i zahtjev).

3. Ako je odbijeno poduzimanje aktivnosti na zahtjev ispitanika, potrebno je utvrditi

na uzorku je li ispitanik obaviješten o razlozima za odbijanje i mogućnostima

podnošenja prigovora nadzornom tijelu.

9


• Članak 14. Informacije za ispitanika

1. Gdje se prikupljaju osobni podaci koji se odnose na ispitanika, utvrditi na uzorku jesu

li mu pružene sljedeće informacije:

(a) identitet i kontakt podaci primatelja, te predstavnika primatelja i voditelja

zaštite podataka;

(b) svrha obrade za koju su namjenjeni osobni podaci;

(c) period na koji će se osobni podaci spremati;

(d) postojanju prava da se od primatelja zatraži pristup, ispravak ili brisanje

osobnih podataka u svezi njega ili prigovori obradi takvih osobnih podataka;

(e) pravo na ulaganje žalbe nadzornom tijelu te kontakt podaci nadzornog tijela;

(f) primatelji/kategorije primatelja osobnih podataka;

(g) gdje je primjenjivo, da primatelj namjerava prenijeti podatke kod treće

države ili internacionalne organizacije te nivo pružene zaštite od njihove

strane.

10


• Članak 26. Procesor podataka

2. Ukoliko je primatelj obradu prepustio trećoj strani (procesoru) potrebno je provjeriti je li

isto definirano ugovorom koji navodi da će procesor :

(a) djelovati samo prema uputama dobivenim od primatelja, posebno gdje je

zabranjen prijenos osobnih podataka koji se koriste;

(b) zapošljavati samo one zaposlenike koji su se obvezali na tajnost ili su pod

zakonskom obvezom povjerljivosti;

(d) upisati dodatnog procesora podataka samo uz prethodno odobrenje regulatora;

(g) predati sve rezultate primatelju nakon završetka obrade, te ne obrađivati osobne

podatke na drugi način.

11


• Članak 28. Dokumentacija

2. Potrebno je provjeriti je li primatelj i procesor održavaju

dokumentaciju o svima obradama, a koja sadržava namanje

sljedeće informacije:

(a) ime i kontakt podatke primatelja, zajedničkog primatelja ili procesora;

(b) ime i kontakt podatke službenika za zaštitu podataka;

(c) svrhu obrade;

(d) opis kategorija ispitanika i kategorija osobnih podataka koji se odnose na njih;

(e) primatelje ili kategorije primatelja osobnih podataka, uključujući i primatelja

kojemu su osobni podaci objavljeni;

(f) gdje je to moguće, dokumentaciju odgovarajuće zaštite prijenosa podataka u

treće zemlje ili međunarodne organizacije, uključujući i identifikaciju te treće

zemlje ili međunarodne organizacije;

(g) opće pokazatelje rokova za brisanje različitih kategorija podataka.

12


• Članak 30. Sigurnost obrade

Potrebno je provjeriti koje su tehničke i organizacijske mjere primatelj i procesor

implemetirali kako bi osigurali nivo sigurnosti u skladu s rizikom koji predstavlja obrada i priroda

osobnih podataka koji trebaju biti zaštićeni, a u cilju zaštite osobnih podataka naspram

slučajnog ili nezakonitog uništenja ili slučajnog gubitka te s ciljom sprečavanja nezakonitog

oblika obrade, osobito neautoriziranog otkrivanja, pružanja ili pristupa te mijenjanja osobnih

podataka.

• Članak 31. Obaviještavanje nadzornog tijela o povredi osobnih podataka

1. Ako se utvrdi da bilo slučajeva u kojima je došlo do povrede osobnih podataka, potrebno je

provjeriti jeli procesor obavijestio primatelja odmah po saznanju za povredu osobnih

podataka te je li primatelj unutar 24 sata o saznanju istoga obavijestio nadzorno tijelo;

3. Potrebno je provjeriti je li obavijest sadržava najmanje sljedeće:

(a) opis prirode povrede osobnih podataka, uključujući kategorije i broj ispitanika o kojima

je riječ, kao i kategoriju i broj podataka o kojima je riječ;

(b) identitet i kontakt podatke službenika za zaštitu podataka ili druge kontakt točke u

kojoj se može dobiti više informacija;

(c) preporučene mjere za ublažavanje mogućih negativnih posljedica povrede osobnih

podataka;

(d) opis posljedica povrede osobnih podataka;

(e) opis predloženih ili poduzetih mjera od strane primatelja za rješavanje povrede

osobnih podataka 13


• Članak 32. Obaviještavanje ispitanika o nastanku povrede osobnih podataka

U slučaju nastalih povreda osobnih podataka potrebno je provjeriti:

1. je li primatelj nakon obavljenog obaviještavanja prema članku 31., obavijestio o istome

bez odgađanja i ispitanika;

2. je li obavijest iz stavka 1. ovog Članka opisala prirodu povrede osobnih podataka te

sadržavala li najmanje informacije i preporuke opisane u točkama (b) i (c) Članka

31(3).

• Članak 33. Procjena utjecaja na zaštitu podataka

1. Potrebno je provjeriti jesu li primatelj ili procesor, proveli procjenu utjecaja predviđenih

aktivnosti obrade na zaštitu osobnih podataka, tamo gdje aktivnosti obrade

predstavljaju specifični rizik, što je navedeno u stavku 2. ovoga članka, na prava i

slobode ispitanika svojom prirodom, opsegom ili svojom svrhom.

3. Potrebno je provjeriti je li procjena sadržava barem:

- opći opis predviđenih radnji,

- procjenu rizika prava i sloboda ispitanika,

- predviđene mjere za rješavanje rizika,

- mjere zaštite,

- sigurnosne mjere i mehanizme kako bi se osigurala zaštita osobnih

podataka i dokazala usklađenost s ovom regulativom, uzimajući u obzir prava i

legitimne interese ispitanika i drugih zainteresiranih osoba14


• Članak 34. Prethodna autorizacija i konzultacije

2. Provjeriti jesu li primatelj ili procesor konzultirali nadzorno tijelo prije obrade osobnih

podataka, u cilju osiguravanja usklađenosti namjeravane obrade s ovom regulativom,

a posebno kako bi se ublažile opasnosti za ispitanika gdje:

(a) procjena utjecaja na zaštitu podataka, koja je predviđena člankom 33., navodi

da aktivnosti obrade po svojoj prirodi, opsegu ili svrsi, predstavljaju visok stupanj

specifičnih rizika, ili

(b) nadzorno tijelo smatra da je potrebno provesti prethodnu konzultaciju o

aktivnostima obrade koje predstavljaju specifične rizike za prava i slobode

ispitanika temeljem svoje prirode, opsegom i/ili svrhe, a navedene su u stavku 4.

ovog članka

15


• Članak 35. Imenovanje službenika za zaštitu podataka

1. Utvrditi jesu li primatelj i procesor imenovali službenika za zaštitu podataka u

slučajevima kada se:

(a) obrada provodi od strane javne vlasti ili tijela,

(b) obrada provodi od poduzeća koje zapošljava 250 ili više osoba,

(c) temeljne aktivnosti primatelja ili procesora sastoje od aktivnosti obrada koje, po

svojoj prirodi, njihovom opsegu i/ili njihovoj svrsi, zahtjevaju redovno i sustavno

nazdiranje ispitanika.

6. Utvrditi jesu li primatelj ili kontroler osigurali da su ostale profesionalne dužnosti

službenika za zaštitu podataka u skladu sa njegovim dužnostima kao službenika za

zaštitu podataka te da ne rezultiraju konfliktom interesa.

7. Utvrditi jesu li primatelj ili procesor imenovali službenika za zaštitu podataka u trajanju

od najmanje dvije godine. U slučaju da je tijekom svog mandata, službeniku za

zaštitu podataka otkazan mandat, utvrditi je li se u tom slučaju dogodilo da službenik

za zaštitu podataka više nije ispunjavao uvjete koji su potrebni za izvođenje

dužnosti službenika, pošto mu se jedino u tom slučaju može otkazati mandat.

16


Članak 36. Položaj službenika za zaštitu podataka

1. Utvrditi jesu li, i na koji način, primatelj ili procesor osigurali da je službenik za zaštitu

podataka ispravno i pravodobno uključen u sva pitanja koja se odnose na zaštitu

osobnih podataka.

2. Utvrditi je li službenik za zaštitu podataka izvještava izravno menadžment primatelja

ili procesora.

• Članak 37. Zadaci službenika za zaštitu podataka

1. Utvrditi jesu li primatelj ili procesor povjerili službeniku za zaštitu podataka najmanje

sljedeće zadatke :

(a) obavijestiti i savjetovati primatelja ili procesor o njihovim obvezama na temelju

ove regulative te dokumentirati tu aktivnost i primljene odgovore;

(b) nadzirati provedbu i primjenu politika primatelja ili procesor koje se odnose na

zaštitu osobnih podataka, uključujući i dodjelu odgovornosti, osposobljavanje

kadrova koji su uključeni u aktivnostima obrada, te povezanih revizija;

17


(c) nadzirati provedbu i primjenu ove regulative, posebice u zahtjevima vezanim za

zaštitu podataka po dizajnu (data protection by design), zaštitu podataka po

defaultu (data protection by default), sigurnosti podataka te informacija

ispitanika i njihovih zahtjeva u ostvarivanju svojih prava na temelju ove

regulative;

(d) održavanje dokumentacije iz članka 28.;

(e) praćenje dokumentacije, obavijesti i komunikacije povrede osobnih podataka u

skladu s člancima 31. i 32.;

(f) praćenje provedbe procjene utjecaja na zaštitu podataka od strane primatelja ili

procesora te zahtjeva za prethodno odobrenje ili prethodne konzultacije, ako je

potrebno sukladno člancima 33. i 34.;

(g) praćenje odgovora na zahtjeve nadzornog tijela, i u sferi nadležnosti službenika

za zaštitu podataka, surađivanje s nadzornim tijelom na njegov zahtjev ili na

inicijativu samog službenika za zaštitu podataka;

(h) djelovanje kao kontakt osoba za nadzorno tijelo o pitanjima koja se odnose na

obradu.

18

Zaključno

• 25. siječnja 2012.godine Europska komisija objavila je General Data

Protection Regulation te je njegova primjenja trebala početi u roku dvije

godine od objave,

• 21. listopada 2013.godine Odbor Europskog parlamenta za građanska

prava, pravosuđa i unutarnjih poslova je glasovao o njegovu nacrtu te

usvojio mandat za početak pregovora s Europskim vijećem kako bi se

probalo doći do zajedničkog dogovora o reformi zaštiti podataka prije

europskih izbora u svibnju 2014.godine,

• Početkom 2014.godine rok za finalno usvajanje je prebačen na početak

2015.godine

• Kazne: od upozorenja do 1 000 000 EUR

19

20

Zahvaljujem na pažnji!

E-mail: [email protected]

general data protection regulation s apekta revizora is-a

Law