general data protection regulation s aspekta revizora is-a

General Data Protection Regulation s aspekta

revizora IS-a

General Data Protection Regulation s aspekta

revizora IS-a

Ime i prezime: Luka Čirjak

Organizacija: OTP banka Hrvatska d.d.

Ime i prezime: Luka Čirjak

Organizacija: OTP banka Hrvatska d.d.

“Doprinos interne revizije korporativnom upravljanju”, Zadar 10.–12. travnja 2014.

2

SADRŽAJ:

• Postojeća regulativa

• Zahtjevi za novom regulativom

• Na što obratiti pažnju – s aspekta revizora IS-a

• Zaključno

Postojeća regulativa

• EU Directive 95/46/EC – Protection of individuals with regard to the processing of personal data and on the free movement of such data, 1995

• Framework Decision 2008/977/JHA – Protection of personal data in the areas of police co-operation and judicial co-operation in criminal matters, 2008

3

Zahtjevi za novom regulativom

• Strelovit tehnološki razvoj

• Drastično povećanje obujma prikupljanja i dijeljenja podataka

• Povećano javno i globalno dijeljenje osobnih podataka pojedinaca

• Nedostatci postojeće regulative:o Fragmentacija načina implementacije zaštite podataka u članicama Unijeo Legalne nejasnoćeo Javna percepcija o postajanju velikih rizika u dijelu zaštite pojedinaca

prvenstveno povezano sa online aktivnostima

4

Na što obratiti pažnju – s aspekta revizora IS-a:

• Članak 6. Zakonitost obrade osobnih podataka

1. Na određenom uzorku ustanoviti je li zadovoljen barem jedan od sljedećih zahtjeva koji omogućuju zakonito obrađivanje osobnih podataka:

(a) Ispitanik je dao pristanak za obradu svojih osobnih podataka za jednu ili više specifičnih svrha;

(b) Obrađivanje je nužno za obavljanje ugovora u kojem je ispitanik ugovorna stranka ili radi poduzimanja mjera na zahtjev ispitanika prije sklapanja ugovora;

(c) Obrađivanje je nužno radi ispunjavanja zakonske obveze primatelja;(d) Obrađivanje je nužno radi zaštite ključnih interesa ispitanika;(e) Obrađivanje je nužno za obavljanje zadatka javnog interesa ili u izvršavanju

javnih ovlasti koje ima primatelj;(f) Obrađivanje je nužno za potrebe legitimnih interesa koje ostvaruje primatelj,

osim kad su ti interesi nadjačani interesima ili temeljnim pravima i slobodama ispitanika koji zahtijevaju zaštitu osobnih podataka, posebice kada je ispitanik dijete.

5


Utvrditi je li primatelj definirao sljedeća prava ispitanika:

• Članak 7. Uvjeti za suglasnost3. pravo povlačenja svoje privole u svakom trenutku

• Članak 15. Pravo pristupa ispitanika1. pravo dobivanja od primatelja u bilo koje vrijeme, na zahtjev, potvrdu o tome obrađuju li se

ili ne osobni podataci koji se odnose na njega.

• Članak 16. Pravo na ispravak1. pravo dobivanja od primatelja ispravku osobnih podataka koji se odnose na njega, a koji su

netočni.

• Članak 17. Pravo na zaborav i na brisanje1. pravo na brisanje osobnih podataka koji se odnose na njega i na suzdržavanje od daljnjeg

širenja takvih podataka, pogotovo osobnih podatak koji su bili dati primatelju dok je ispitanik bio dijete, a gdje je ispunjen jedan od sljedećih uvjeta:

(a) podaci više nisu potrebni s obzirom na svrhu za koju su prikupljeni; (b) Ispitanik povlaći privolu na kojoj se temelji obrada prema točki (a) članka 6.(1), ili kada je istekao ugovoreni rok za pohranu, a gdje ne postoji druga pravna osnova za obradu podataka; (c) Ispitanik se protivi obradi osobnih podataka u skladu s člankom 19.; (d) obrada podataka nije u skladu s ovom regulativom iz drugih razloga.

6


• Članak 18. Pravo na prenosivost podataka1. pravo, gdje se osobni podaci obrađuju elektronički na strukturiran i uobičajeno korišten format, dobivanja od primatelj kopije podataka koja se obrađuje u elektroničkom i uobičajeno strukturiranom formatu koji omogućuje daljnje korištenje od njegove strane.2. pravo prenošenja osobnih podataka i ostalih

informacija pruženih od njega i zadržanih od automatiziranog sustava za obradu, u drugi sustav, u elektroničkom formatu uobičajeno korištenom, bez ograničenja od primatelja od kojeg su osobni podaci i povučeni.

• Članak. 19 Pravo na prigovor1. pravo na prigovor, na temelju njegove specifične situacije, u bilo koje vrijeme obrade

osobnih podataka koja se temelji na točkama (d), (e) i (f) članka 6.(1), osim ukoliko primatelj dokaže uvjerljive legitimne osnove za obradu koja nadjačava njegove interese ili temeljna prava i slobodu.

2. pravo na prigovor, gdje se osobni podaci obrađuju u direktne svrhe marketinga, obrade svojih osobnih podataka za takav marketing.

7


• Članak 8. Obrađivanje osobnih podataka djeteta1. Kako bi obrada osobnih podataka djece mlađe od 13 godina bila zakonita, potrebno

je utvrditi na uzorku je li privola dana ili odobrena od strane roditelja ili skrbnika.

• Članak 9. Obrađivanje posebnih kategorija osobnih podataka1. Utvrditi je li zabranjena obrada osobnih podataka koji otkrivaju rasno ili etničko

podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, te obrada generičkih podataka ili podataka koji se tiču zdravlja ili spolnog života te osobnih podataka o kaznenom ili prekršajnom postupku.

• Članak 11. Transparentnost informacija i komunikacije1. Provjeriti jeli postoje transparentni i lako dostupni akti u vezi s obradom osobnih

podataka i ostvarivanja prava ispitanika

8


• Članak 12. Procedure i mehanizmi za ostvarivanje prava ispitanika

1. Provjeriti jesu li:- uspostavljene procedure za pružanje informacija i za ostvarivanje prava

ispitanika;- pruženi mehanizmi za upravljanje zahtjevima vezanim uz aktivnosti ostvarivanja

prava ispitanika;- gdje se osobni podaci obrađuju automatskim putem, osigurani načini podnošenja

zahtjeva elektronskim putem.

2.Na uzorku povjeriti je li ispitanik pravovremeno (unutar mjesec dana od primljenog zahtjeva) obaviješten o poduzetim aktivnostima te je li obaviješten na pravilan način (pismeni putem ili u elektroničkoj formi ako je na taj način primljen i zahtjev).

3. Ako je odbijeno poduzimanje aktivnosti na zahtjev ispitanika, potrebno je utvrditi na uzorku je li ispitanik obaviješten o razlozima za odbijanje i mogućnostima podnošenja prigovora nadzornom tijelu.

9


• Članak 14. Informacije za ispitanika

1. Gdje se prikupljaju osobni podaci koji se odnose na ispitanika, utvrditi na uzorku jesu li mu pružene sljedeće informacije:

(a) identitet i kontakt podaci primatelja, te predstavnika primatelja i voditelja zaštite podataka;

(b) svrha obrade za koju su namjenjeni osobni podaci;(c) period na koji će se osobni podaci spremati;(d) postojanju prava da se od primatelja zatraži pristup, ispravak ili brisanje

osobnih podataka u svezi njega ili prigovori obradi takvih osobnih podataka;(e) pravo na ulaganje žalbe nadzornom tijelu te kontakt podaci nadzornog tijela;(f) primatelji/kategorije primatelja osobnih podataka;(g) gdje je primjenjivo, da primatelj namjerava prenijeti podatke kod treće

države ili internacionalne organizacije te nivo pružene zaštite od njihove strane.

10


• Članak 26. Procesor podataka

2. Ukoliko je primatelj obradu prepustio trećoj strani (procesoru) potrebno je provjeriti je li isto definirano ugovorom koji navodi da će procesor :

(a) djelovati samo prema uputama dobivenim od primatelja, posebno gdje je zabranjen prijenos osobnih podataka koji se koriste;

(b) zapošljavati samo one zaposlenike koji su se obvezali na tajnost ili su pod zakonskom obvezom povjerljivosti;

(d) upisati dodatnog procesora podataka samo uz prethodno odobrenje regulatora; (g) predati sve rezultate primatelju nakon završetka obrade, te ne obrađivati osobne

podatke na drugi način.

11


• Članak 28. Dokumentacija

2. Potrebno je provjeriti je li primatelj i procesor održavaju dokumentaciju o svima obradama, a koja sadržava namanje sljedeće informacije:

(a) ime i kontakt podatke primatelja, zajedničkog primatelja ili procesora; (b) ime i kontakt podatke službenika za zaštitu podataka; (c) svrhu obrade; (d) opis kategorija ispitanika i kategorija osobnih podataka koji se odnose na njih;(e) primatelje ili kategorije primatelja osobnih podataka, uključujući i primatelja kojemu su osobni podaci objavljeni; (f) gdje je to moguće, dokumentaciju odgovarajuće zaštite prijenosa podataka u

treće zemlje ili međunarodne organizacije, uključujući i identifikaciju te treće zemlje ili međunarodne organizacije;

(g) opće pokazatelje rokova za brisanje različitih kategorija podataka.

12


• Članak 30. Sigurnost obradePotrebno je provjeriti koje su tehničke i organizacijske mjere primatelj i procesor implemetirali kako bi osigurali nivo sigurnosti u skladu s rizikom koji predstavlja obrada i priroda osobnih podataka koji trebaju biti zaštićeni, a u cilju zaštite osobnih podataka naspram slučajnog ili nezakonitog uništenja ili slučajnog gubitka te s ciljom sprečavanja nezakonitog oblika obrade, osobito neautoriziranog otkrivanja, pružanja ili pristupa te mijenjanja osobnih podataka.

• Članak 31. Obaviještavanje nadzornog tijela o povredi osobnih podataka1. Ako se utvrdi da bilo slučajeva u kojima je došlo do povrede osobnih podataka, potrebno je

provjeriti jeli procesor obavijestio primatelja odmah po saznanju za povredu osobnih podataka te je li primatelj unutar 24 sata o saznanju istoga obavijestio nadzorno tijelo;

3. Potrebno je provjeriti je li obavijest sadržava najmanje sljedeće: (a) opis prirode povrede osobnih podataka, uključujući kategorije i broj ispitanika o kojima

je riječ, kao i kategoriju i broj podataka o kojima je riječ; (b) identitet i kontakt podatke službenika za zaštitu podataka ili druge kontakt točke u

kojoj se može dobiti više informacija; (c) preporučene mjere za ublažavanje mogućih negativnih posljedica povrede osobnih podataka; (d) opis posljedica povrede osobnih podataka; (e) opis predloženih ili poduzetih mjera od strane primatelja za rješavanje povrede

osobnih podataka 13


• Članak 32. Obaviještavanje ispitanika o nastanku povrede osobnih podatakaU slučaju nastalih povreda osobnih podataka potrebno je provjeriti: 1. je li primatelj nakon obavljenog obaviještavanja prema članku 31., obavijestio o istome

bez odgađanja i ispitanika;2. je li obavijest iz stavka 1. ovog Članka opisala prirodu povrede osobnih podataka te

sadržavala li najmanje informacije i preporuke opisane u točkama (b) i (c) Članka 31(3).

• Članak 33. Procjena utjecaja na zaštitu podataka1. Potrebno je provjeriti jesu li primatelj ili procesor, proveli procjenu utjecaja predviđenih

aktivnosti obrade na zaštitu osobnih podataka, tamo gdje aktivnosti obrade predstavljaju specifični rizik, što je navedeno u stavku 2. ovoga članka, na prava i slobode ispitanika svojom prirodom, opsegom ili svojom svrhom.

3. Potrebno je provjeriti je li procjena sadržava barem:- opći opis predviđenih radnji, - procjenu rizika prava i sloboda ispitanika, - predviđene mjere za rješavanje rizika, - mjere zaštite, - sigurnosne mjere i mehanizme kako bi se osigurala zaštita osobnih podataka i dokazala usklađenost s ovom regulativom, uzimajući u obzir prava i legitimne interese ispitanika i drugih zainteresiranih osoba

14


• Članak 34. Prethodna autorizacija i konzultacije

2. Provjeriti jesu li primatelj ili procesor konzultirali nadzorno tijelo prije obrade osobnih podataka, u cilju osiguravanja usklađenosti namjeravane obrade s ovom regulativom, a posebno kako bi se ublažile opasnosti za ispitanika gdje:

(a) procjena utjecaja na zaštitu podataka, koja je predviđena člankom 33., navodi da aktivnosti obrade po svojoj prirodi, opsegu ili svrsi, predstavljaju visok stupanj specifičnih rizika, ili

(b) nadzorno tijelo smatra da je potrebno provesti prethodnu konzultaciju o aktivnostima obrade koje predstavljaju specifične rizike za prava i slobode ispitanika temeljem svoje prirode, opsegom i/ili svrhe, a navedene su u stavku 4. ovog članka

15


• Članak 35. Imenovanje službenika za zaštitu podataka

1. Utvrditi jesu li primatelj i procesor imenovali službenika za zaštitu podataka u slučajevima kada se:

(a) obrada provodi od strane javne vlasti ili tijela, (b) obrada provodi od poduzeća koje zapošljava 250 ili više osoba, (c) temeljne aktivnosti primatelja ili procesora sastoje od aktivnosti obrada koje, po

svojoj prirodi, njihovom opsegu i/ili njihovoj svrsi, zahtjevaju redovno i sustavno nazdiranje ispitanika.

6. Utvrditi jesu li primatelj ili kontroler osigurali da su ostale profesionalne dužnosti službenika za zaštitu podataka u skladu sa njegovim dužnostima kao službenika za zaštitu podataka te da ne rezultiraju konfliktom interesa.

7. Utvrditi jesu li primatelj ili procesor imenovali službenika za zaštitu podataka u trajanju od najmanje dvije godine. U slučaju da je tijekom svog mandata, službeniku za

zaštitu podataka otkazan mandat, utvrditi je li se u tom slučaju dogodilo da službenik za zaštitu podataka više nije ispunjavao uvjete koji su potrebni za izvođenje dužnosti službenika, pošto mu se jedino u tom slučaju može otkazati mandat.

16


Članak 36. Položaj službenika za zaštitu podataka1. Utvrditi jesu li, i na koji način, primatelj ili procesor osigurali da je službenik za zaštitu

podataka ispravno i pravodobno uključen u sva pitanja koja se odnose na zaštitu osobnih podataka.

2. Utvrditi je li službenik za zaštitu podataka izvještava izravno menadžment primatelja ili procesora.

• Članak 37. Zadaci službenika za zaštitu podataka1. Utvrditi jesu li primatelj ili procesor povjerili službeniku za zaštitu podataka najmanje

sljedeće zadatke :(a) obavijestiti i savjetovati primatelja ili procesor o njihovim obvezama na temelju

ove regulative te dokumentirati tu aktivnost i primljene odgovore;(b) nadzirati provedbu i primjenu politika primatelja ili procesor koje se odnose na

zaštitu osobnih podataka, uključujući i dodjelu odgovornosti, osposobljavanje kadrova koji su uključeni u aktivnostima obrada, te povezanih revizija;

17


(c) nadzirati provedbu i primjenu ove regulative, posebice u zahtjevima vezanim za zaštitu podataka po dizajnu (data protection by design), zaštitu podataka po defaultu (data protection by default), sigurnosti podataka te informacija ispitanika i njihovih zahtjeva u ostvarivanju svojih prava na temelju ove regulative;

(d) održavanje dokumentacije iz članka 28.;(e) praćenje dokumentacije, obavijesti i komunikacije povrede osobnih podataka u

skladu s člancima 31. i 32.;(f) praćenje provedbe procjene utjecaja na zaštitu podataka od strane primatelja ili

procesora te zahtjeva za prethodno odobrenje ili prethodne konzultacije, ako je potrebno sukladno člancima 33. i 34.;

(g) praćenje odgovora na zahtjeve nadzornog tijela, i u sferi nadležnosti službenika za zaštitu podataka, surađivanje s nadzornim tijelom na njegov zahtjev ili na inicijativu samog službenika za zaštitu podataka;

(h) djelovanje kao kontakt osoba za nadzorno tijelo o pitanjima koja se odnose na obradu.

18

Zaključno

• 25. siječnja 2012.godine Europska komisija objavila je General Data Protection Regulation te je njegova primjenja trebala početi u roku dvije godine od objave,

• 21. listopada 2013.godine Odbor Europskog parlamenta za građanska prava, pravosuđa i unutarnjih poslova je glasovao o njegovu nacrtu te usvojio mandat za početak pregovora s Europskim vijećem kako bi se probalo doći do zajedničkog dogovora o reformi zaštiti podataka prije europskih izbora u svibnju 2014.godine,

• Početkom 2014.godine rok za finalno usvajanje je prebačen na početak 2015.godine

• Kazne: od upozorenja do 1 000 000 EUR

19

20

Zahvaljujem na pažnji!

E-mail: [email protected]

general data protection regulation s aspekta revizora is-a

Documents