Naslovna > Konzalting > Rizici i usklađenosti > GDPR / Zaštita privatnosti
GDPR / Zaštita privatnosti
GDPR Zašto je važno uskladiti poslovanje s GDPR Uredbom?
Opća uredba o zaštiti osobnih podataka (General Data Protection Regulation) primjenjuje od 25. svibnja 2018. godine i kao regulatorni okvir Europske unije uvelike je promijenio način na koji se osobni podaci prikupljaju i obrađuju. Kao najvažniji dio regulative ističe se proces prikupljanja i obrade podataka koji treba biti evidentiran na način da se zna tko prikuplja i obrađuje podatke, za koju svrhu i po kojoj osnovi.
Opća uredba o zaštiti podataka utvrđuje detaljne zahtjeve organizacija u pogledu prikupljanja osobnih podataka, njihovu pohranu i upravljanje. Uredba se primjenjuju na europske organizacije koje obrađuju osobne podatke pojedinaca u Europskoj uniji te organizacije izvan Europske unije koje su usmjerene na ljude koji žive u EU.
Osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, koji se naziva ispitanik. Osobni podaci uključuju informacije kao što su ime i prezime, adresa, broj osobne iskaznice ili putovnice, IP adresa, itd. Postoje posebne kategorije podataka koje nije moguće obrađivati kao što su rasno ili etničko podrijetlo, spolna orijentacija, politički stavovi, biometrijski ili zdravstveni podaci, itd.
Dvije ključne uloge u obradi osobnih podataka su voditelj obrade i izvršitelj obrade. Voditelj obrade odlučuje o svrsi i načinu obrade podataka, a izvršitelj obrade čuva i obrađuje podatke u ime voditelja obrade podataka.
Općom uredbom o zaštiti podataka propisuju se stroga pravila za obradu podataka utemeljena na privoli. Cilj je tih pravila osigurati da pojedinac razumije na što pristaje. To znači da privola treba biti dobrovoljna, posebna, informirana i nedvosmislena te dana na temelju zahtjeva napisanog jasnim i jednostavnim jezikom. Privola bi se trebala dati afirmativnim činom, kao što je označavanje polja na internetu ili potpisivanje obrasca.
Uloga službenika za zaštitu osobnih podataka
Službenik za zaštitu podataka (engl. Data Protection Officer – DPO) kojeg prema potrebi imenuje neka organizacija odgovoran je za nadzor kako se obrađuju osobni podaci te informiranje i savjetovanje zaposlenika koji obrađuju osobne podatke o njihovim obvezama. Taj službenik ujedno surađuje s tijelom za zaštitu podataka te je kontaktna točka za pojedince i tijelo za zaštitu podataka. Službenika za zaštitu podataka treba imenovati ako organizacija redovito ili sustavno prati pojedince ili obrađuje posebne kategorije podataka, ako je obrada podataka temeljna poslovna aktivnost te ako se obrađuje veliki broj podataka.
ZAŠTITA PRIVATNOSTI
Što su osobni podaci?
Osobni podaci su sve informacije koje se mogu koristiti za jedinstvenu identifikaciju, kontakt ili lociranje pojedinaca ili u kombinaciji s drugim izvorima informacija osiguravaju njihovu jedinstvenu identifikaciju. Primjeri su: ime i prezime, OIB, podaci o lokaciji, brojevi kreditnih kartica itd.
Zašto je važno brinuti o privatnosti?
Zašto je važno brinuti o privatnosti?
Tijekom proteklih godina bili smo svjedoci velikog broja incidenata u kojima su zlouporabljeni osobni podaci, što je utjecalo na brojne pojedince i organizacije. Primjer takvih incidenata su oni u kojima je došlo do krađe identiteta te njihovog korištenja u nelegalne svrhe. Može se reći da su glavni razlozi zaštite osobnih podataka sljedeći:
- Zaštita privatnosti vlasnika osobnih podataka
- Zadovoljenje zakonskih i regulatornih zahtjeva
- Provođenje korporativne odgovornosti
- Povećanje kredibiliteta korisnika
- Smanjenje broja sigurnosnih povreda.
Kako bi se takvi incidenti spriječili, preporuča se da organizacije implementiraju sustave informacijske sigurnosti koji za cilj imaju zaštitu privatnosti i osobnih podataka pojedinaca. U tu svrhu može se koristiti norma ISO/IEC 29100, koja daje okvir za privatnost i usklađivanje ICT sustava koji sadrže osobne podatke, a sve u svrhu bolje zaštite osobnih podataka i poboljšanja programa privatnosti organizacija kroz najbolje raspoložive prakse.
„43% organizacija doživi sigurnosnu povredu podataka tijekom jedne poslovne godine, a trend povećanja je 10% godišnje.“ – Ponemon Institute report
Što je ISO 29100 i kako može pomoći u zaštiti privatnosti?
ISO/IEC 29100 namijenjen je za korištenje od strane pojedinaca i organizacija uključenih u projektiranje, razvoj, nabavu, testiranje i održavanje ICT sustava u kojima se žele zaštititi svi osobni podaci koje ti sustavi sadrže. Ovaj okvir privatnosti razvijen je sa svrhom da posluži kao pomoć organizacijama pri definiranju njihovih zahtjeva za zaštitu privatnosti koji se odnose na sve informacije na sljedeći način:
- navođenjem zajedničke terminologije privatnosti,
- definiranjem aktera i njihovih uloga u obradi osobnih podataka
- opisivanjem opcija zaštite privatnosti i
- pružanjem referenci na poznata načela privatnosti za IT.
Iako postoji nekoliko postojećih standarda vezanih za sigurnost kao što su (ISO 27001, ISO 27002, ISO 27018 itd.), ISO/IEC 29100 se više usredotočuje na obradu osobnih podataka.
Kontinuirani rast složenosti ICT sustava otežava zaštitu privatnosti i usklađivanje s različitim primjenjivim zakonima. Stoga standard ISO/IEC 29100 pruža jedanaest suštinskih načela privatnosti koja su razvijena da uzmu u obzir primjenjive zakonske i regulatorne, ugovorne, komercijalne i druge relevantne čimbenike.
Osim toga, ova se načela mogu koristiti za usmjeravanje, dizajn, razvoj i provedbu politika privatnosti i kontrola te za provedbu revizija programa upravljanja privatnošću u organizaciji. Kao što je vidljivo na slici, pružatelji i primatelji osobnih podataka identificiraju se kao sudionici. Pružatelji osobnih podataka mogu biti korisnici ICT sustava, vlasnici podataka ili pretplatnici, dok su pružatelji aplikativnih rješenja ili administratori poznati kao primatelji osobnih podataka. Preferencije po pitanju privatnosti postavljaju pružatelji osobnih podataka, a sigurnosne mjere primjenjuju se tijekom cijelog životnog ciklusa informacija, od prikupljanja, pohrane, korištenja, prijenosa pa do njihovog brisanja.
Izvor: PECB Whitepaper ISO 29100
Kako Vam ZIH može pomoći?
- GDPR
Za potrebe Vaše organizacije ZIH može provesti sljedeće aktivnosti:
· Analizu postojećeg stanja i identifikaciju evidencija osobnih podataka
· Edukaciju djelatnika
· Provedbu procjene utjecaja obrada na privatnost (DPIA) i zaštitu osobnih podataka
· Savjetovanje u provedbi organizacijskih mjera usklađenja
Prva faza obuhvaća analizu trenutnog stanja usklađenosti sa zahtjevima Uredbe koji se odnose na obradu osobnih podataka (prikupljanje, snimanje, organiziranje, spremanje, izmjenu, korištenje, objavljivanje, brisanje i dr.).
Edukacija djelatnika koji rade s osobnim podacima obuhvaća obveze po pitanju GDPR Uredbe i načinu postupanja s osobnim podacima. ZIH može organizirati više različitih edukacija uključujući i edukaciju i certificiranje službenika za zaštitu osobnih podataka (DPO-a).
Cilj analize je identifikacija svih potrebnih poboljšanja u svrhu usklađenja s Uredbom. Procjena utjecaja na zaštitu podataka (engl. Data Protection Impact Assessment – DPIA) provodi se s ciljem identifikacije mogućih problema s privatnošću koji mogu proizaći prilikom aktivnosti koje uključuju obradu osobnih podataka.
Savjetovanje u provedbi organizacijskih mjera obuhvaća usklađivanje postojećih internih akata te pripremi novih u svrhu potpunog usklađivanja s GDPR Uredbom. To podrazumijeva pripremu internih akata za reguliranje svih obveza koje proizlaze iz Uredbe po pitanju zaštite osobnih podataka, uključujući zaštitu njihove povjerljivosti, integriteta i raspoloživosti te mogućnost adekvatnog upravljanje incidentima koji mogu ugroziti osobne podatke.
ZAŠTITA PRIVATNOSTI
Ovisno o potrebama korisnika i trenutnom stanju implementiranih mjera sigurnosti, ZIH predlaže mogući pristup rada, vodeći se međunarodnim normama i okvirima. U skladu s tim organiziramo radionice s menadžmentom i uz stručno vođenje naših konzultanata pomažemo korisnicima da uspješno implementiraju svoje sustave upravljanja privatnošću koji će im osigurati uspješnu zaštitu osobnih podataka.
ZIH to ostvaruje kroz sljedeće konzultantske usluge:
· Priprema projekata implementacije sustava upravljanja privatnošću po normi ISO 29100 te izrada plana realizacije
· Analiza postojećeg stanja (GAP) i identifikacija procesa relevantnih za privatnost
· Izrada potrebne dokumentacije sustav upravljanja privatnošću prema normi ISO 29100
· Pomoć u implementaciji mjera za osiguranje privatnosti pojedinaca čijim osobnim podacima organizacija raspolaže
· Provedba internih procjena / sudjelovanje i savjetovanje u postupcima interne procjene
· Otklanjanje otkrivenih nesukladnosti u sustavu upravljanja privatnošću
Obavljanjem ovih poslova podiže se razina sigurnosti sustava u kojima su pohranjeni osobni podaci te podiže svijest svih djelatnika kako bi se ti podaci, kao i privatnost osoba kojima pripadaju, maksimalno zaštitili.
Edukacije iz navedenih područja:
· Primjena Uredbe o zaštiti osobnih podataka (GDPR)
· Edukacija i certifikacija službenika za zaštitu osobnih podataka
· Certified GDPR Foundation (PECB)
Certified GDPR Data Protection Officer (PECB)
· Certified ISO 29100 Foundation (PECB)
· Certified ISO 27701 Foundation (PECB)
· Certified ISO 27701 Lead Implementer (PECB)
· Certified ISO 27701 Lead Auditor (PECB)
Možda Vas interesiraju i ove naše usluge i edukacije:
Zašto ZIH?
ZIH ima više od 20 godina bogatog iskustva u implementaciji sustava upravljanja sigurnošću i privatnošću, implementaciji sigurnosnih mjera u skladu sa zahtjevima Opće uredbe o zaštiti podataka (GDPR) te pružanju edukacija u navedenim područjima.