Opa Uredba o zatiti osobnih podataka Doc Dr
Opća Uredba o zaštiti osobnih podataka Doc. Dr. Sc. Tihomir Katulić tihomir@pravo. hr tkatulic@gmail. com
SADRŽAJ • Osvrt na novi okvir zaštite osobnih podataka u EU • (Neke) razlike i novine prema DZP i ZZOP • Uloga i aktivnost regulatornih tijela • DPIA • Položaj i uloga DPO
Pravni okvir i kontekst zaštite osobnih podataka u EU • Stari okvir: • Direktiva o zaštiti podataka • E-Privacy Direktiva • Nacionalni zakoni • Cyber-security Strategy of the EU 2013, European Security Agenda 20152020, Additional Policy Documents • Digital Single Market • Reforma pravnog okvira za elektronički potpis • Reforma sustava intelektualnog vlasništva (osobito tijela za ostvarivanje autorskog prava) • Novi okvir zaštite osobnih podataka • Prva regulacija mrežne i informacijske sigurnosti
Zašto GDPR? • 20 godina razvoja • Nove online usluge, širenje broadbanda, 5+ milijardi korisnika interneta • Big data (pohrana, analiza) • Osobni podaci – nova digitalna valuta • Zaštita osobnih podataka prepoznata kao temeljno pravo • Iskustva s dosadašnjim pravnim okvirom • Nejednaka transpozicija • Različita nacionalna praksa • Nedoumice • Iskustva s dosadašnjim institucionalnim okvirom • Nacionalni regulatori • Izvoz osobnih podataka iz EU
Novi pravni okvir • Povelja o temeljnim pravima EU • General Data Protection Regulation (GDPR) odnosno Opća uredba o zaštiti podataka • Direktiva o obradi podataka pojedinaca od strane nadležnih tijela u svrhu prevencije, istrage, otkrivanja i kaznenog progona počinitelja kaznenih djela • U izradi - E-Privacy Regulation – Uredba o eprivatnosti
Sadržajno polje primjene • Odnosi se na dijelom ili u potpunosti automatiziranu obradu osobnih podataka • Ne odnosi se na obradu zbog razloga nacionalne sigurnosti te vanjske i sigurnosne politike Unije • Ne odnosi se na obradu u svrhu sprečavanja, otkrivanja, istrage i progona kaznenih djela – poseban propis Direktiva 2016/680 • Ne odnosi se na fizičke osobe koje prikupljaju osobne podatke radi osobnih ili kućnih aktivnosti
Teritorijalno polje primjene • Odnosi se na prikupljanje i obradu podataka fizičkih osoba na području EU, bez obzira je li sama obrada u EU, je li poduzeće ima sjedište u EU • Ako voditelj obrade nema sjedište u EU, svejedno je podvrgnut Uredbi ukoliko njegova obrada je povezana s nuđenjem robe ili usluga u Uniji te praćenjem ponašanja ispitanika na teritoriju Unije
Uvodna pitanja • Koje su posljedice odabira Uredbe kao oblika regulacija zaštite osobnih podataka u EU? • Odnosi li se GDPR na trgovačko društvo koje prikuplja osobne podatke europskih građana u SAD? • Smiju li EU organizacije izvoziti osobne podatke u SAD?
Definicije OSOBNI PODATAK • svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca
Definicije Posebne kategorije osobnih podataka • rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.
Definicije Genetski i biometrijski podaci • „genetski podaci” znači osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca; • „biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;
Definicije Obrada osobnih podataka • „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima • prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
Definicije Profiliranje korisnika • „izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem - posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;
Definicije Pseudoanonimizacija • „pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;
Pitanja • Što organizacije mogu učiniti sa podacima koje obrađuju da smanje svoju izloženost riziku i posljedično odgovornost za nastalu štetu? • Biste li se složili s tvrdnjom da je GDPR revolucija u pogledu korisničkih prava i definicije osobnih podataka? • Je li mogućnost uvida u bazu osobnih podataka od strane eksternalizirane usluge održavanja informacijskog sustava - obrada podataka? • Je li IMEI, MAC adresa ili drugi sličan elektronički identifikacijski podatak – osobni podatak? A što je s podacima s razdjelnika za grijanje?
Definicije Privola • „privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
Definicije Povreda osobnih podataka • „povreda osobnih podataka” znači povreda sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
Definicije Obvezujuća korporativna pravila • „obvezujuća korporativna pravila” znači politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću;
Definicije Nadzorno tijelo i predmetno nadzorno tijelo • „nadzorno tijelo” znači neovisno tijelo javne vlasti koje je osnovala država članica • „predmetno nadzorno tijelo” znači nadzorno tijelo koje je povezano s obradom osobnih podataka zato što voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području države članice tog nadzornog tijela ili obrada bitno utječe ili je izgledno da će bitno utjecati na ispitanike koji borave u državi članici tog nadzornog tijela ili podnesena je pritužba tom nadzornom tijelu.
Pitanja • Je li hrvatsko regulatorno tijelo jedino nadležno za pružanje pomoći ispitanicima u pogledu povrede njihovih osobnih podataka u RH? • Kako se zovu regulatorna tijela u Njemačkoj, Francuskoj, Velikoj Britaniji, Italiji i Španjolskoj? • Osvrnite se na postupak traženja privole u vašoj organizaciji. Ispunjavate li sve zahtjeve i posjedujete li sustav upravljanja privolom? • Što trebate učiniti ukoliko ste otkrili da je došlo do povrede osobnih podataka u vašoj organizaciji koja je voditelj obrade? A što ukoliko ste “samo”izvršitelj? • Da li u ugovorima sa procesorima (SLA ) trebamo izričito navesti da imaju ulogu procesora ili je dovoljno navesti opseg njihovih aktivnosti
Načela obrade osobnih podataka • Zakonitost, poštenost, transparentnost • Ograničena svrha • Smanjenje količine podataka • Ažurnost i točnost • Ograničenje pohrane • Cjelovitost povjerljivost • Voditelj obrade treba moći dokazati usklađenost (accountability - odgovornost)
Zakonitost obrade • Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: • ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više • • • posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Prava koja afirmira GDPR • Pravo na pristup svojim osobnim podacima • Pravo na ispravak osobnih podataka • Pravo na brisanje osobnih podataka • Pravo na ograničenje obrade osobnih podataka • Pravo na prenosivost osobnih podataka • Pravo na prigovor i automatizirano pojedinačno donošenje odluka (na temelju profila)
Pravo na pristup svojim podacima • Ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama: • svrsi obrade, kategorijama osobnih podataka o kojima je riječ, primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama • ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni, postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu, pravu na podnošenje pritužbe nadzornom tijelu, ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru; • postojanju automatiziranog donošenja odluka
Pravo na ispravak svojih podataka • Ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispravak netočnih osobnih podataka koji se na njega odnose. • Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.
Pravo na brisanje svojih podataka • Ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose ako je ispunjen jedan od sljedećih uvjeta: • osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni; • ispitanik povuče privolu na kojoj se obrada temelji; • ispitanik uloži prigovor na automatsku obradu osobnih podataka osobni podaci nezakonito su obrađeni; • osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Unije ili prava države članice kojem podliježe voditelj obrade;
Pravo na ograničenje obrade • Ispitanik ima pravo od voditelja obrade ishoditi ograničenje obrade ako je ispunjeno jedno od sljedećeg: • ispitanik osporava točnost osobnih podataka, na razdoblje kojim se voditelju obrade omogućuje provjera točnosti osobnih podataka; • obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe; • voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva; • ispitanik je uložio prigovor na obradu na temelju članka 21
Pravo na prenosivost osobnih podataka • Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu • Ispitanik ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su osobni podaci pruženi • Jedini uvjet da je riječ o automatskoj obradi i obradi na temelju privole
Ograničenja prava • nacionalne sigurnosti, obrane, javne sigurnosti, sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje; • drugih važnih ciljeva od općeg javnog interesa Unije ili države članice, osobito važnog gospodarskog ili financijskog interesa Unije ili države članice, što uključuje monetarna, proračunska i porezna pitanja, javno zdravstvo i socijalnu sigurnost; • zaštite neovisnosti pravosuđa i sudskih postupaka, sprečavanja, istrage, otkrivanja i progona kršenja etike za regulirane struke; • zaštite ispitanika ili prava i sloboda drugih; • ostvarivanja potraživanja u građanskim sporovima
Pitanja • Vaša organizacija putem web stranice prikuplja osobne podatke korisnika. Podaci uključuju ip adrese. Na temelju podataka se kreiraju jedinstveni korisnički profili. Jeste li odgovorni za podatke anonimnih osoba? • Trebate li privolu za obradu podataka vaših radnika u svrhu isplate plaća? • Napravite tablicu podataka koje vaše organizacije prikupljaju – za svaku kategoriju podataka označite pravni temelj i rok čuvanja • Ukoliko je tehnički problem brisati podatke, da li je zadovoljavajuće podatke anonimizirati na primjeren način?
Obveza tehničkih i organizacijskih mjera • Voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere: • pseudonimizaciju i enkripciju osobnih podataka • sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade; • sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta; • proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.
Obveza izvještavanja nadzornog tijela i ispitanika o povredi • Voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo: • opisuje prirodu povrede, kategorije i broj ispitanika, naznačuje vjerojatne posljedice, opisuje mjere. . . • voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka. • osim ako je voditelj poduzeo odgovarajuće mjere zaštite poput enkripcije, naknadne mjere ili ako to iziskuje nerazmjeran napor
Službenik za zaštitu podataka (eng. DPO – Data Protection Officer) Imenuje se ukoliko: (a) obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti, (b) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili (c) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. Grupa poduzetnika može imenovati jednog službenika za zaštitu podataka pod uvjetom da je službenik za zaštitu podataka lako dostupan iz svakog poslovnog nastana.
Zadaće službenika za zaštitu podataka (a) informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz ove Uredbe te drugim odredbama Unije ili države članice o zaštiti podataka; (b) praćenje poštivanja ove Uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije; (c) pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35. ; (d) suradnja s nadzornim tijelom; (e) djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima.
Pozicija službenika za zaštitu podataka • Izravno odgovara najvišem rukovodećem tijelu organizacije • Može biti eksternaliziran • Ne smije biti u sukobu interesa • Primjereno educiran • Uključen u donošenje odluka vezanih uz obradu osobnih podataka • Neovisan od vanjskih utjecaja • Kontinuirano educiran (c) 2017. Ostendo Consulting Ltd. All rights reserved.
Pitanja • Vaša organizacija ima samo 15 zaposlenih, no prikuplja podatke stotina tisuća korisnika. Imate li DPO-a? Trebate li ga imenovati? • Treba li DPO biti specifično radno mjesto ili se može raditi uz druge poslove? • DPO nužno treba certifikat – točno ili netočno? • Prema Uredbi, DPO je osobno odgovoran za propuste organizacije i može biti kažnjen teškim novčanim kaznama i kaznom zatvora – točno ili netočno?
DPIA – Data Protection Impact Assessment • DPIA – fokus na procjenu i upravljanje rizicima u cilju smanjenja negativnog učinka na privatnost, prava i slobode pojedinaca • Informacijska sigurnost – upravljanje rizicima u cilju smanjenja negativnog učinka za organizaciju • Pristup: Integracija procesa upravljanja rizicima informacijske sigurnosti i rizicima vezanima uz privatnost i zaštitu osobnih podataka, te upravljanja projektima i promjenama
Sadržaj DPIA procjene: (a) sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade; (b) procjena nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama; (c) procjena rizika za prava i slobode ispitanikâ iz stavka; i (d) mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.
DPIA - Ključni elementi • DPIA je proces koji uključuje suradnju različitih stručnjaka u organizaciji, u ovisnosti o vrsti i načinu obrade osobnih podataka • Cilj procesa je identificirati i smanjiti rizike narušavanja privatnosti pojedinaca • Pravilno i pravovremeno provedene DPIA omogućuju poboljšanje odnosa između organizacije i pojedinaca po pitanju zaštite osobnih podataka
DPIA proces • Integriran u postojeće procese upravljanja projektima i rizicima • Vrijeme provedeno u provedbi DPIA treba biti proporcionalno prirodi i kompleksnosti projekta – izbjegavati “checklist” pristup • DPIA je potrebno provesti u ranoj fazi projekta, ali i tijekom izvršavanja projekta • Preporučuje se suradnja sa službenikom za informacijsku sigurnost i IT odjelom kako bi se utvrdili i procijenili rizici informacijske sigurnosti
Prethodno savjetovanje 1. Voditelj obrade savjetuje se s nadzornim tijelom prije obrade ako se procjenom učinka na zaštitu podataka pokazalo da bi, u slučaju da voditelj obrade ne donese mjere za ublažavanje rizika, obrada dovela do visokog rizika. 2. Ako nadzorno tijelo smatra da bi se namjeravanom obradom kršila Uredba, osobito ako voditelj obrade nije u dovoljnoj mjeri utvrdio ili umanjio rizik, nadzorno tijelo u roku od najviše osam tjedana od zaprimanja zahtjeva za savjetovanje pisanim putem savjetuje voditelja obrade i, prema potrebi, izvršitelja obrade
Prethodno savjetovanje – informacije za nadzorno tijelo (a) ako je primjenjivo, odgovarajuće odgovornosti voditelja obrade, zajedničkih voditelja obrade i izvršitelja obrade uključenih u obradu, osobito za obrade unutar grupe poduzetnika; (b) svrhu i sredstva namjeravane obrade; (c) zaštitne mjere i druge mjere za zaštitu prava i sloboda ispitanika u na temelju Uredbe; (d) ako je primjenjivo, kontaktne podatke službenika za zaštitu podataka; (e) procjenu učinka na zaštitu podataka; i (f) sve druge informacije koje nadzorno tijelo zatraži.
Postupak DPIA: (c) 2017. Ostendo Consulting Ltd. All rights reserved.
Ovlasti nadzornog tijela ili što čeka AZOP • ovlasti, zadaće i nadležnost širi nego dosad • načelnom kriteriju glavnog poslovnog nastana pridružuje se i kriterij utjecaja na ispitanike u državi članici pridružujućeg nadzornog tijela • surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguranja konzistentnosti primjene i provedbe ove Uredbe • uredba predviđa zajedničke operacije nadzornih tijela
Europski odbor za zaštitu podataka • Tijelo Unije s pravnom osobnošću • Čine ga voditelji nadzornog tijela te novi EU nadzornik za zaštitu osobnih podataka • Neovisan, ne smije tražiti upute • Izdaje smjernice, preporuke i primjere najbolje prakse • Godišnje izvješće EP, EK i V
Opći uvjeti za izricanje upravnih novčanih kazni • Kazne trebaju biti učinkovite, proporcionalne i odvraćajuće • Visina kazne ovisit će o brojnim kriterijima poput prirode, težine i trajanja povrede, opsega i svrhe obrade i broja ispitanika, postojanja namjere ili nepažnje, aktivnostima za ublažavanje štete, prijašnjim povredama, kategorijama osobnih podataka itd.
HVALA NA PAŽNJI! tihomir@pravo. hr tkatulic@gmail. com
- Slides: 47