Nova regulativa Europske unije u području zaštite podataka

Kako će GDPR regulativa utjecati na Vašu politiku zaštite podataka?

PROVJERITE SVOJU USKLAĐENOST S GDPR-OM PREUZMITE BESPLATAN VODIČ

Da li je Vaše poslovanje usklađeno s regulativom EU o zaštiti podataka?

U svibnju 2018. godine stupa na snagu europska regulativa o zaštiti podataka.

Ukoliko se ova regulativa odnosi na Vaše poslovanje, vrijeme je da počnete razmišljati o usklađivanju s njenim zahtjevima. Ove stranice će Vam pomoći da razumijete GDPR i povezane zahtjeve te pronađete odgovarajuća rješenja. GDPR regulativa se odnosi na sve institucije unutar Europske unije koje barataju bilo kojom vrstom osobnih podataka. Regulativa se odnosi i na sva poduzeća koja posluju unutar EU. Važno je imati na umu da izbjegavanje usklađivanja sa zahtjevima GDPR regulative za sobom povlači financijske kazne.

Međutim, ova stranica je pravo mjesto da saznate sve što je potrebno o regulativi GDPR i rješenjima koja su Vam neophodna radi ispunjenja odgovarajućih zahtjeva.

https://encryption.eset.com/hr/wp-content/uploads/sites/30/2016/11/calendar.png

Preuzmite besplatan vodič

ESET je pripremio vodič kroz novu regulativu za zaštitu osobnih podataka u EU i njen utjecaj na Vaše poslovanje.

https://encryption.eset.com/hr/wp-content/uploads/sites/30/2016/11/guide_general_data_protection_regulation.png

Online provjera usklađenosti sa zahtjevima GDPR regulative

Ova stranica će Vam pomoći da razumijete GDPR regulativu i njene zahtjeve te pronađete odgovarajuća rješenja

Usklađivanje s GDPR regulativom, korak po korak

Utjecaj GDPR regulative je složen, stoga smo postupak usklađivanja podijelili na tri osnovne grupe i više podgrupa potrebnih mjera. Kliknite na stepenice dijagrama kako biste otvorili navedene grupe.

+Sažetak

Neki od principa u osnovi GDPR regulative predstavljaju nastavak postojeće uredbe Data Protection Directive, na primjer: pravednost, zakonitost i transparentnost; ograničenje primjene; smanenje količine podataka; kvaliteta podataka; sigurnost, integritet i povjerljivost.

GDPR uspostavlja novi princip odgovornosti uvođenjem kontrolora za podatke odgovornog za usklađivanje s navedenim principima. Pored toga, GDPR uvodi nove aspekte postojećih principa zaštite podataka:

Zakonitost, pravednost i transparentnost – osobni podaci moraju biti obrađivani na način koji je transparentan za vlasnika podataka.

Ograničenje namjene – Uz određene iznimke, arhiviranje osobnih podataka u javnom interesu se neće smatrati protivnim izvornom cilju obrade.

Pohrana – Osobni podaci se moraju čuvati u obliku koji dopušta identifikaciju subjekata podataka ne duže nego što je neophodno za potrebe za koje se osobni podaci obrađuju.

Odgovornost – kontrolor postaje odgovoran za usklađenost s navedenim principima.

+Organizacijske mjere

GDPR regulativa zahtijeva uvođenje širokog raspona mjera za smanjenje rizika od narušavanja njenih odredbi. Među neophodnim mjerama su: ocjena utjecaja na privatnost, revizija, pregled sigurnosnih pravila, vođenje dnevnika o aktivnostima te imenovanje djelatnika za zaštitu podataka.

GDPR regulativa uvodi obavezu imenovanja djelatnika za zaštitu podataka za određene institucije. Institucije na ovu poziciju mogu imenovati jednog od zaposlenika ili vanjskog konzultanta.

Ukoliko je Vaše poduzeće marketinška agencija s velikom bazom podataka o klijentima, vjerojatno ćete morati imenovati djelatnika za zaštitu podataka. Nadležna državna tijela su zadužena za izradu smjernica o zahtjevima za zaposlenike na toj poziciji.

Vaš djelatnik za zaštitu podataka će biti zadužen za usklađivanje sa zahtjevima GDPR regulative, savjetovanje o Vašim obavezama i provođenje ocjene utjecaja na privatnost te djelovati kao osoba za kontakt s državnim tijelima zaduženim za zaštitu podataka.

One-stop shop koncept omogućuje instituciji koja obavlja poslovanje u više zemalja Europske unije da komunicira s jednim državnim nadzornim tijelom zaduženim za zaštitu podataka , iako su pravila za određivanje tijela zaduženog za ovu ulogu u nekim slučajevima složena.

+Procesi, procedure i pravila

GDPR definira povredu sigurnosti podataka kao“narušavanje sigurnosti koje dovodi do slučajnog ili namjernog uništenja, gubitka, izmjene, neovlaštenog pristupa ili objavljivanja pohranjenih, prenesenih ili drugačije obrađenih osobnih podataka”.

Ovo je šira definicija nego ranije i ne uzima u obzir da li je povreda sigurnosti nanijela štetu privatnoj osobi. Ukoliko Vaša institucija bude izložena povredi sigurnosti podataka, morate smjesta ili u roku od najviše 72 sata nakon otkrivanja povrede obavijestiti svoje državno tijelo za zaštitu podataka.

Međutim, ukoliko ste primijenili odgovarajuće tehničke i organizacijske korake za zaštitu osobnih podataka kao što je enkripcija, izuzeti ste od obaveze obaviještavanja vlasnika podataka.

Važan aspekt usklađivanja s GDPR regulativom predstavlja ugradnja privatnosti u dizajn, to jest obaveza uzimanja u obzir zaštite privatnosti prilikom dizajniranja svih novih proizvoda i procesa. Ovaj pristup je ranije predstavljao dobru praksu, a sada postaje obavezan.

Ocjena utjecaja na zaštitu podataka ili ocjena utjecaja na privatnost identificira i smanjuje rizike od neusklađenosti s GDPR regulativom.

GDPR regulativa izričito zahtjeva provođenje ocjene utjecaja na privatnost. Kontrolori moraju osigurati provođenje ocjene utjecaja na privatnost prije početka bilo kakve rizične obrade podataka.

Ukoliko obavljate međunarodno poslovanje, Vaša pravila i procesi za prijenos podataka izvan Europske unije su od velike važnosti, pošto će kazne predviđene za neusklađenost s regulativom ili transfer podataka u zemlje za koje Europska komisija smatra da ne osiguravaju odgovarajuću razinu zaštite osobnih podataka značajno porasti nakon uvođenja GDPR regulative.

+Sigurnost podataka

Vrijeme je da počnete objašnjavati potrebu za usklađivanjem s GDPR regulativom Vašim zaposlenicima. Potrebno je početi s planiranjem izmjena procedura za uvođenje novih mjera za transparentnost i zaštitu prava privatnih osoba u skladu s GDPR regulativom. Ovo može imati značajan utjecaj na financijske, informatičke i kadrovske aspekte poslovanja.

+Odgovornost i tehničke mjere

GDPR regulativa zahtijeva od kontrolora odgovornost za usklađivanje s principima zaštite podataka. Stoga ćete morati osigurati postojanje jasnih pravila koja dokazuju da ispunjavate određene standarde redovitim praćenjem, pregledom i ocjenom Vaših postupaka za obradu podataka, sigurnosnim mjerama i školovanjem Vaših zaposlenika kako bi razumjeli svoje obaveze te biti u stanju sve navedeno demonstrirati u svako vrijeme u skladu sa zahtjevima državnog tijela za zaštitu podataka.

+Povreda sigurnosti podataka – tehničke mjere

Morate se pripremiti za moguće povrede sigurnosti podataka (definirane kao ““narušavanje sigurnosti koje dovodi do slučajnog ili namjernog uništenja, gubitka, izmjene, neovlaštenog pristupa ili objavljivanja pohranjenih, prenesenih ili drugačije obrađenih osobnih podataka”.) uvođenjem jasnih pravila i isprobanih procedura kako biste bili sigurni da ćete biti u stanju reagirati na moguće povrede podataka i pravovremeno obavijestiti nadležna tijela.

Propuštanje obavještavanja nadležnog tijela o povredi sigurnosti podataka za sobom može povući financijsku kaznu, baš kao i sam sigurnosni propust.

+Zaštita prava vlasnika podataka

GDPR pojačava prava vlasnika podataka , na primjer uvođenjem prava na traženje informacija o obradi svojih osobnih podataka, informacija o pristupanju podacima u određenim okolnostima te ispravljanje netočnih podataka.

Jedan od glavnih zadataka GDPR regulative je jačanje prava privatnih osoba. Stoga će se promijeniti pravila za odgovaranje na upite vlasnika podataka te će biti neophodno uskladiti odgovarajuće procedure.

U većini slučajeva, naplata odgovora na upit neće biti moguća, a rok za odgovaranje neće biti dulji od 30 dana.

Pravo za zaborav (‘brisanje’ prema terminologiji GDPR regulative) dopušta privatnim osobama da zatraže od kontrolora da izbrišu njihove osobne podatke bez odgađanja u određenim situacijama, na primjer kada je zakonitost obrade podataka upitna ili kada vlasnici podataka povuku pristanak na njihovu obradu.

Treće osobe s kojima dijelite podatke privatnih osoba su također pokrivene ovim pravilima.

GDPR definira profiliranje kao “bilo kakav oblik automatske obrade osobnih podataka koji se sastoji od korištenja osobnih podataka radi ocjene određenih osobnih karakteristika privatne osobe kao što je analiziranje ili predviđanje određenih aspekata uspješnosti takve osobe na poslu, ekonomske situacije, zdravlja, osobnih preferencija, interesa, pouzdanosti, ponašanja, lokacije ili kretanja”; međutim, nije jasno kako će pravo vlasnika podataka da ne bude predmetom odluka zasnovanih na profiliranju biti provedeno.

GDPR uvodi novo pravo na prenosivost podataka koje seže dalje od prava privatne osobe na pristup podacima u elektronskom obliku i zahtijeva da kontrolor preda podatke u strukturiranom, uobičajenom obliku dostupnom za računalnu obradu.

Za ovo pravilo postoje neke iznimke – na primjer, ono se odnosi isključivo na osobne podatke koji se obrađuju automatski.

U sklopu nastojanja da pojača prava privatnih osoba, Europska komisija im daje pravo na ograničenje određenih vrsta obrade podataka te pravo na pritužbu na korištenje podataka za svrhe direktnog marketinga, uključući profiliranje za istu svrhu.

Nakon što privatna osoba podnese pritužbu, njeni podaci se više ne smiju upotrebljavati za svrhe direktnog marketinga, a kontakt-podatke takve osobe je potrebno dodati u izdvojenu grupu koja je izuzeta od navedenog načina obrade podataka.

Sve institucije moraju obavijestiti privatne osobe o njihovom pravu na pritužbu na obradu njihovih podataka na jasno istaknut način.

+Komunikacija informacija o privatnosti (pristanak, obavijesti o obradi podataka)

Vjerojatno ćete morati uskladiti način na koji tražite, primate i bilježite pristanak;  suglasnost vlasnika podataka na obradu osobnih podataka mora biti podložna jednako jednostavnom opozivu kao njeno davanje te mora sadržavati jasan pristanak na obradu osobnih podataka – šutnja, unaprijed označene kućice ili propuštanje osobe da nešto učini ne mogu označavati pristanak.

GDPR regulativa zahtijeva posebnu zaštitu prilikom obrade osobnih podataka djece, posebno u slučajevima komercijalnih Internet usluga kao što su društvene mreže. Stoga biste trebali početi razmišljati o sistemu provjere dobi djece te stjecanja roditeljske suglasnosti za obradu njihovih osobnih podataka.

GDPR će povećati opseg obavijesti koje ste dužni dati vlasnicima podataka , na primjer zakonsku osnovu za obradu njihovih podataka, rok čuvanja podataka i njihovo pravo na pritužbu državnom tijelu za zaštitu podataka ukoliko smatraju da s njihovim podacima postupate na neodgovarajući način; GDPR zahtjeva da ovi podaci budu pruženi na jasnom i konciznom jeziku.

+Sigurnost podataka (integritet i povjerljivost)

GDPR definira principe sigurnosti podataka koji su slični onima u trenutnoj regulativi, uključujući pravednost, zakonitost i transparentnost; ograničenje primjene; smanjenje opsega podataka; kvalitetu podataka; sigurnost, integritet i povjerljivost.

Morate osigurati da se osobni podaci obrađuju na način koji pruža sigurnost, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka ili oštećenja: “Institucija i bilo koji vanjski pružatelj usluga će uvesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti koja odgovara riziku”.

GDPR regulativa zahtijeva niz sigurnosnih mjera koje mogu biti poduzete radi zaštite podataka, uključujući unošenje pseudo-podataka i enkripciju osobnih podataka; osiguravanje povjerljivosti, integriteta, dostupnosti i otpornosti sistema i servisa koji obrađuju osobne podatke; mogućnost povrata osobnih podataka i pristupa u slučaju fizičkog ili tehničkog incidenta; te plan redovitog testiranja i ocjene efikasnosti tehničkih i organizacijskih mjera za sigurnu obradu osobnih podataka.

GDPR regulativa ističe enkripciju podataka kao jedan od načina za osiguranje usklađenosti s nekim od njenih zahtjeva.

Na primjer, Članak 32, koji se odnosi na sigurnost obrade, govori:

“1.   S obzirom na stupanj razvoja tehnologije, troškove implementacije i prirodu, opseg, kontekst i ciljeve obrade kao i rizike razne razine vjerojatnosti i ozbiljnosti za prava i slobode privatnih osoba, kontrolor i subjekt koji obrađuje podatke ce uvesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti koja odgovara riziku, uključujući između ostalog: (a) unos pseudo-podataka i enkripciju osobnih podataka […]”

Članak 34 – Obavještavanje vlasnika podataka o narušavanju sigurnosti osobnih podataka

“3. Vlasniku podataka nije neophodno uputiti obavijest iz paragrafa 1 ukoliko su ispunjeni sljedeći uvjeti: (a) kontrolor je uveo odgovarajuće tehničke i organizacijske mjere zaštite, i te mjere su primjenjene na osobne podatke izložene povredi sigurnosti, a posebno mjere kao što je enkripcija, koje čine osobne podatke nečitljivima svim neovlaštenim osobama […]”

+Dokumentacija, zakonska osnova i revizija

Morate voditi dokumentaciju o osobnim podacima koje posjedujete, njihovom izvoru i osobama s kojima ste ih dijelili.

Ukoliko posjedujete netočne osobne podatke i podijelili ste ih s drugom institucijom, GDPR regulativa zahtijeva da tu instituciju obavijestite o netočnostima kako bi ih mogla ispraviti. Ovo će možda zahtjevati provođenje revizije u Vašem poduzeću ili u sklopu pojedinih poslovnih jedinica. Pored toga, ovo pomaže usklađivanju s principom odgovornosti GDPR regulative.

Sukladno GDPR regulativi, trebali biste ispitati na koji način obrađujete osobne podatke te identificirati zakonsku osnovu na temelju koje izvršavate ove procese.

Ovo je neophodno pošto će prava određenih osoba biti izmjenjena u skladu sa zakonskom osnovom za obradu njihovih osobnih podataka. Na primjer, osobe će imati veće pravo na brisanje svojih podataka u slučajevima kada njihov osobni pristanak predstavlja osnovu za obradu tih podataka. Međutim, pristanak je samo jedna od osnova za legitimnu obradu podataka.

Podaci na ovoj stranici ne predstavljaju pravno mišljenje te se korisnici ne bi trebali oslanjati na njih prilikom donošenja poslovnih odluka. ESET nije odgovoran za posljedice takvih odluka. Radi procjene posljedica svojih poslovnih odluka uvijek tražite nezavisno pravno mišljenje.

Prisustvujte na web seminaru o GDPR regulativi

Razgovarajte s našim stručnjacima o tome kako će regulativa General Data Protection Regulation (GDPR) utjecati na Vaše poslovanje. ESET organizira besplatne web seminare koji objašnjavaju posljedice GDPR regulative – jednostavno se registrirajte i pozvat ćemo Vas da sudjelujete na sljedećem seminaru.

Većina europskih poduzeća nisu spremna na primjenu GDPR regulative

Nedavna anketa nezavisne agencije IDC je utvrdila kako većina malih i srednjih poduzeća u Europi nisu spremna na uvođenje GDPR regulative. IDC je ispitao informatičko osoblje u više od 700 poduzeća i došao do zaključka kako je razina razumijevanja nove regulative vrlo niska.

Potpuni izvještaj tvrtke IDC je dostupan ovdje:

Razumijevanje utjecaja GDPR regulative

25% nikakvo | 52% ograničeno | 22% potpuno

Naše web stranice koriste kolačiće radi poboljšanja Vašeg korisničkog iskustva.Više informacija.

OK