Članak 35. Opće uredbe o zaštiti podataka
Procjena učinka na zaštitu podataka
VODIČ ZA PROVEDBU PROCJENE UČINKA NA ZAŠTITU PODATAKA.pdf
OBRAZAC ZA PROVEDBU PROCJENE UČINKA NA ZAŠTITU PODATAKA
1. Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.
2. Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od službenika za zaštitu podataka, ako je on imenovan.
3. Procjena učinka na zaštitu podataka iz stavka 1. obvezna je osobito u slučaju:
(a) |
sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca; |
(b) |
opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.; ili |
(c) |
sustavnog praćenja javno dostupnog područja u velikoj mjeri. |
4. Nadzorno tijelo uspostavlja i javno objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u skladu sa stavkom 1. Nadzorno tijelo priopćuje te popise Odboru iz članka 68.
5. Nadzorno tijelo može također uspostaviti i javno objaviti popis vrsta postupaka obrade za koje nije potrebna procjena učinka na zaštitu podataka. Nadzorno tijelo priopćuje te popise Odboru.
6. Prije usvajanja popisa iz stavaka 4. i 5. nadležno nadzorno tijelo primjenjuje mehanizam konzistentnosti iz članka 63. kada takvi popisi obuhvaćaju aktivnosti obrade koje su povezane s ponudom robe ili usluga ispitanicima ili s praćenjem njihova ponašanja u nekoliko država članica ili koje mogu znatno utjecati na slobodno kretanje osobnih podataka unutar Unije.
7. Procjena sadrži barem:
(a) |
sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade; |
(b) |
procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama; |
(c) |
procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i |
(d) |
mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba. |
8. Poštovanje odobrenih kodeksa ponašanja iz članka 40. od strane relevantnih voditelja obrade ili izvršitelja obrade uzima se u obzir pri procjeni učinka postupaka obrade koje provode ti voditelji obrade ili izvršitelji obrade, posebno u svrhe procjene učinka na zaštitu podataka.
9. Prema potrebi voditelj obrade od ispitanika ili njihovih predstavnika traži mišljenje o namjeravanoj obradi, ne dovodeći u pitanje komercijalne ili javne interese ili sigurnost postupka obrade.
10. Ako obrada u skladu s člankom 6. stavkom 1. točkom (c) ili (e) ima pravnu osnovu u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, ako su tim pravom uređuju posebni postupci obrade ili skupina dotičnih postupaka te je procjena učinka na zaštitu podataka već provedena kao dio opće procjene učinka u kontekstu donošenja pravne osnove, stavci od 1. do 7. ne primjenjuju se, osim ako države članice smatraju da je potrebnoprovesti takvu procjenu prije aktivnosti obrade.
11. Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade.
Procjena učinka za zaštitu podataka je postupak osmišljen za:
- opisivanje obrade – procjenu njezine nužnosti i proporcionalnosti
- upravljanje rizicima za prava i slobode pojedinaca koji nastaju obradom osobnih podataka, a što uključuje procjenu rizika i određivanje mjera za njihovo ublažavanje.
Proučite osnovne pojmove iz Opće uredbe o zaštiti osobnih podataka koji će Vam trebati za razumijevanje provedbe procjene učinka.
Obrada – postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje
Rizik za prava i slobode ispitanika – rizici različitih vjerojatnosti i ozbiljnosti, koji mogu proizaći iz obrade osobnih podataka te prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih poslovnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete ili su ispitanici spriječeni u obavljanju nadzora nad svojim osobnim podacima
Ovdje treba uzeti u obzir prava na zaštitu podataka i privatnosti, ali i druga temeljna prava poput slobode govora, slobode mišljenja, slobode kretanja, te prava na slobodu savjesti i vjeroispovijesti ne samo ispitanika već i svih pojedinaca na koje obrada osobnih podataka može utjecati.
9 KRITERIJA KOJI SE UZIMAJU U OBZIR PRILIKOM PROCJENE
KOJI ĆE POSTUCI OBRADE VJEROJATNO PROUZROČITI VISOK RIZIK
- Postupci obrade koji uključuju procjenu ili bodovanje, uključujući izradu profila i predviđanje, osobito na temelju aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja
PRIMJERI: poduzeće koje izrađuje bihevioralne i marketinške profile utemeljene na upotrebi ili pregledavanju njihove internetske stranice, zapošljavanja putem interneta bez ikakve ljudske intervencije
- Postupci obrade koji uključuju automatizirano donošenje odluka s pravnim ili sličnim znatnim učinkom
PRIMJER: osiguravatelji nude premije na temelju ponašanja pojedinaca u vožnji
Voditelj obrade mora osigurati zakonitu osnovu za tu vrstu obrade jer nepoštena izrada profila može dovesti do toga da se određenim potrošačima nude manje privlačne ponude.
- Postupci obrade koji uključuju situacije u kojoj sama obrada sprečava ispitanike u ostvarivanju prava ili upotrebi usluge i ugovora
PRIMJER: banka koja provjerava kreditnu sposobnost klijenta pri odlučivanju o dodjeli kredita
- Postupci obrade koji uključuju osjetljive podatke ili podatke vrlo osobne naravi:
Obrada osobnih podataka koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetičkih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela.
- Postupci obrade koji uključuju podatke koji se odnose na osjetljive ispitanike
To su kategorije ispitanika kod kojih postoji neravnoteža moći između ispitanika i voditelja obrade.
PRIMJER: djeca, starije osobe, osobe s duševnim smetnjama, pacijenti, tražitelji azila, zaposlenici …
- Postupci obrade koji uključuju podudarajuće ili kombinirane skupove podataka, na primjer oni koji potječu iz dva postupka obrade ili više njih, a koji su provedeni u različite svrhe i/ili koje su proveli različiti voditelji obrade podataka na način koji može premašiti razumna očekivanja ispitanika
Izradom profila mogu se prikupiti podaci iz posebne kategorije izvođenjem zaključaka iz podataka koji sami po sebi nisu podaci iz posebne kategorije, no to postaju kad ih se kombinira s drugim podacima.
PRIMJER: zaključci o nečijem zdravstvenom stanju mogli bi se izvući iz podataka o kupovanju hrane i podataka o instaliranim aplikacijama na mobitelu
- Postupci obrade koji uključuju inovativnu upotrebu ili primjenu novih tehnoloških ili organizacijskih rješenja
Upotreba takve tehnologije može obuhvaćati inovativne oblike prikupljanja i upotrebe podataka s mogućim visokim rizikom za prava i slobode pojedinaca.
PRIMJER: kombiniranja otisaka prstiju i prepoznavanja lica radi poboljšane kontrole fizičkog pristupa
- Postupci obrade koji uključuju sustavno praćenje: odnosi se na obradu koja se koristi za promatranje, praćenje ili kontrolu ispitanika, uključujući podatke prikupljene putem mreža jer se osobni podaci mogu prikupljati u situacijama u kojima ispitanici nisu svjesni tko prikuplja njihove podatke i u koje će svrhe ti podaci biti upotrijebljeni.
PRIMJER: sustavnog praćenja javno dostupnog područja
- Postupci obrade koji uključuju opsežnu obradu podataka:
pri utvrđivanju je li obrada opsežna, potrebno je razmotriti slijedeće čimbenike:
- broj uključenih ispitanika, bilo kao određeni broj ili udio relevantnog stanovništva; .
- količina podataka i/ili niz različitih podataka koji se obrađuju;
- trajanje ili stalnost postupka obrade podataka;
- zemljopisni opseg aktivnosti obrade.
PRIMJER: „livestream“ prijenos putem interneta sa gradskih kupališta
Ako je zadovoljeno 2 ili više kriterija, trebate provesti procjenu učinka prije same obrade.
Na taj način možete prije provođenja obrade primjenom načela zaštite osobnih podataka kao i tehničkih i organizacijskih mjerama ublažiti potencijalno visok rizik za prava i slobode pojedinaca.
Ukoliko ne uspijete ublažiti potencijalno visok rizik – SAVJETUJTE SE SA NADZORNIM TIJELOM (AZOP-om) PRIJE OBRADE OSOBNIH PODATAKA.
Na temelju članka 35. stavka 4. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), članka 1. i 4. Zakona o provedbi Opće uredbe o zaštiti podataka (Narodne novine br. 42/18), članka 12. Statuta Agencije za zaštitu osobnih podataka te uzimajući u obzir Smjernice o procjeni učinka na zaštitu podataka i utvrđivanje mogu li postupci obrade „vjerojatno prouzročiti visok rizik” u smislu Uredbe 2016/679 (WP 248 rev. 01) donesene 4. travnja 2017. godine, te posljednji put revidirane i donesene 4. listopada 2017. godine i Mišljenje Europskog odbora za zaštitu podataka 25/2018 na nacrt popisa Agencije za zaštitu osobnih podataka o vrstama postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka, Agencija je donijela Odluku o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka:
1) Obrada osobnih podataka radi sustavnog i opsežnog profiliranja ili automatiziranog odlučivanja kako bi se donijeli zaključci koji u značajnoj mjeri utječu ili mogu utjecati na pojedinca i/ili više osoba ili koji služe kao pomoć u donošenju odluka o nečijem pristupu nekoj usluzi ili servisu ili pogodnosti (npr. kao što je obrada osobnih podataka odnosnih na ekonomski ili financijski status, zdravlje, osobne preferencije, interese, pouzdanost, ponašanje, podatke o lokaciji i dr.);
2) Obrada posebnih kategorija osobnih podataka u svrhu profiliranja ili automatiziranog odlučivanja;
3) Obrada osobnih podataka djece u svrhu profiliranja ili automatiziranog odlučivanja ili za marketinške svrhe, ili za izravnu ponudu usluga namijenjenu njima;
4) Obrada osobnih podatka prikupljenih od trećih strana koji se uzimaju u obzir za donošenje odluke vezane za sklapanje, raskidanje, odbijanje ili produženje ugovora o pružanju usluga fizičkim osobama;
5) Obrada posebnih kategorija osobnih podataka ili osobnih podataka o kaznenoj ili prekršajnoj odgovornosti u velikom opsegu;
6) Obrada osobnih podataka korištenjem sustavnog nadzora javno dostupnih mjesta u velikom opsegu;
7) Uporaba novih tehnologija ili tehnoloških rješenja za obradu osobnih podatka ili sa mogućnošću obrade osobnih podataka (npr. primjena „interneta stvari“, poput pametnih televizora, pametnih kućanskih aparata, komunikacijski povezanih igračaka, sustava „pametni gradovi“, pametnih mjerača energije, itd.) koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih osoba;
10) Obrada osobnih podataka povezivanjem, usporedbom ili provjerom podudarnosti iz više izvora.
OSJETLJIVA KATEGORIJA ISPITANIKA + OPSEŽNA OBRADA = PROCJENA UČINKA
Provođenje procjene učinka nije obvezno za obradu osobnih podataka ako postupak obrade neće rezultirati visokim rizikom za prava i slobode pojedinaca:
PRIMJER:
- obrada podataka pacijenata pojedinih liječnika
- obrada podataka klijenata odvjetnika
- obrada podataka potrebnih za uobičajeno upravljanje školama i vrtićima (npr. registriranje, izdavanje računa, prehrana, prijevoz, školski izleti)
- obrada podataka od strane odjela za ljudske potencijale ako zapošljavate manje od 250 zaposlenika
- obrada podataka za administrativne radnje u vezi s ugovorima s dobavljačima, narudžbama i naplatama
- obrada podataka za procese kontrole fizičkog pristupa zgradi ako se pri tome ne obrađuju biometrijski podaci ili druge posebne kategorije osobnih podataka
- obrada podataka koja je nužna radi poštovanja pravnih obveza voditelja obrade ili izvršavanja zadaće od javnog interesa, ako je procjena učinka na zaštitu podataka već provedena kao dio donošenja pravne osnove, osim ako države članice smatraju da je isto potrebno.
U slučaju da procjena učinka nije obvezana, uzmite u obzir kako je provođenje procjene učinka jedan od načina kako ćete dokazati da ste usklađeni sa pravnim obveza iz Opće uredbe o zaštiti podataka.
TKO JE ODGOVORAN I TKO MORA PROVESTI PROCJENU UČINKA NA ZAŠTITU PODATAKA?
Voditelj obrade odgovoran je za osiguravanje provođenja procjene učinka na zaštitu podataka, a procjenu učinka na zaštitu podataka može provesti i druga osoba unutar i izvan organizacije uz pomoć službenika za zaštitu podataka i izvršitelja obrade.
* DPO – Službenik za zaštitu osobnih podataka (eng. Data Protection Officer)
Savjet: zatražite savjet od službenika za zaštitu podataka te službenik za informacijsku sigurnost, informatičke službe, neovisnih stručnjaka (odvjetnika, stručnjaka za IT, stručnjaka za sigurnost, itd.)
ŠTO PROCJENA UČINKA NA ZAŠTITU PODATAKA MORA SADRŽAVATI?
- sustavan opis predviđenih postupaka obrade i svrha obrade – specifikacija obrade
- procjenu nužnosti i proporcionalnosti postupaka obrade – prepoznavanje opasnosti
- procjenu rizika za prava i slobode ispitanika – ocjena rizika (nizak/umjeren/visok)
- mjere predviđene za rješavanje problema rizika (procjena i ublažavanje rizika ukoliko je isto potrebno)
SADA KADA ZNAMO KADA I TKO PROVODI PROCJENU UČINKA SLIJEDE 4 KORAKA ZA PROVOĐENJE PROCJENE UČINKA NA ZAŠTITU PODATAKA:
Od koga ćete prikupljati osobne podatke? Od samih ispitanika, javno dostupnih izvora, trećih? Jesu li uključene i posebne kategorije ispitanika? Koje kategorije podataka ćete prikupljati? Uključuju li one posebne kategorije osobnih podataka ili podatke u vezi s kaznenim osudama i kažnjivim djelima? Radi li se o uvođenu novina? Koliko često će podaci biti prikupljani? Može li se obrada smatrati sustavnom? Funkcionalni opis postupka obrade? Koje se tehnologije koriste prilikom obrade? O kojim sredstvima ovisi obrada osobnih podataka (oprema, računalni programi, mreže, osobe, dokumenti u papirnatom i digitalnom obliku …)? Koji se sustavi, programi ili mreže koriste u poslovnim procesima prilikom obrade osobnih podataka? Na koliko pojedinaca može imati utjecaja obrada? Koje geografsko područje obuhvaća?
-
- procjena kontrola koje jamče proporcionalnost i nužnost obrade
- Ograničenje svrhe (Provjerite jesu li podaci prikupljeni u posebne, izričite i zakonite svrhe te da li se podaci obrađuju na način koji nije u skladu s tim svrhama.)
- Pravna osnova (Koja je pravna osnova za obradu? Je li obrada zakonita? Možete li dokazati pravnu osnovu? Jesu li ispunjeni svi preduvjeti kako bi se obrada mogla smatrati zakonitom?
Obrada je zakonita samo ako:
- ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
- obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora *daljnja pohrana osobnih podataka trebala bi biti zakonita ako je nužna za ostvarivanje prava za postavljanje, ostvarivanje ili obranu pravnih zahtjeva
- obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe
- obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete
U posljednja dva slučaja nije potrebno provesti procjenu učinka, ako je procjena učinka na zaštitu podataka već provedena kao dio donošenja pravne (npr. zakonske) osnove, osim ako države članice smatraju da je isto potrebno.
- obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
- obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade )
- Smanjenje količine podataka ( Provjerite jesu li prikupljeni podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju. )
- Točnost podataka (Provjerite poduzimate li sve razumne mjere da se osobni podaci koji nisu točni bez odlaganja izbrisali ili ispravili. Koliko često ažurirate podatke? )
- Ograničenje pohrane (Provjerite čuvaju li se osobni podaci u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju. Brišu li se podaci ili se anonimiziraju nakon proteka svrhe? )Procjena kontrola koje jamče prava ispitanika
- Transparentne informacije (Jeste li ispitanike informirali o obradi njihovih osobnih podataka? Jeste li upoznali ispitanike sa svrhama i pravnim osnovama obrade? Jeste li upoznali ispitanike s njihovim pravima? )
- Privola ispitanika kao pravna osnova (Jesu li zadovoljeni svi uvjeti kako bi se privola mogla smatrati zakonitom pravnom osnovom? )
- Pravo ispitanika na pristup podacima i prenosivost podataka (Jeste li omogućili ispitanicima podnošenje zahtjeva za pristup podacima? Na koji način ćete zahtjev provesti?)
- Pravo na ispravak i brisanje (Jeste li omogućili ispitanicima podnošenje zahtjeva za ispravak/brisanje podataka? Na koji način ćete zahtjev provesti?)
- Pravo na ograničenje obrade i pravo na prigovor (Jeste li omogućili ispitanicima podnošenje zahtjeva za ograničenje obrade/ prigovor na obradu? Na koji način ćete zahtjev provesti?)
- Izvršitelji obrade (Jeste li potpisali ugovor o obradi osobnih podatka s izvršiteljem obrade u kojim su uređena prava i obveze koje proizlaze iz Opće uredbe o zaštiti podataka? )
- Prijenos podataka u treće zemlje/međunarodne organizacije (Postoji li odluka Komisije da treća zemlja, područje, ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite? Ako ne: Da li su na prijenos podataka primijenjene odgovarajuće zaštitne mjere? Da li ispitanici mogu raspolagati svojim pravima? Postoji li u toj trećoj zemlji učinkovita sudska zaštita?3. PROCIJENITE RIZIK
- identificirati potencijalni utjecaj na prava i slobode pojedinaca u slučaju
- neovlaštenog pristupa osobnim podacima (Koje bi mogle biti posljedice na prava i slobode ispitanika u slučaju da osobne podatke sazna neovlaštena osoba? Odnosno, postavite pitanje što u slučaju ako izgubite kontrolu nad podacima i oni postanu dostupni osobama čije vam namjere nisu poznate?)
- neovlaštene izmjene osobnih podataka (Koje bi mogle biti posljedice na prava i slobode ispitanika u slučaju izmjene podataka? Odnosno, postavite pitanje što u slučaju da su podaci netočni ili nečitljivi?)
- gubitka podataka (Koje bi mogle biti posljedice na prava i slobode ispitanika u slučaju gubitka podataka? Odnosno, postavite pitanje što u slučaju da ne može pristupiti podacima?)Identificirajte izvor prijetnje
- ljudski faktor (djelatnici, korisnici, treće osobe)
- ostali faktori (hardware, software, mreža, lokacija, elementarne nepogode…)Napravite procjenu vjerojatnosti i ozbiljnosti posljedica za prava ispitanikaVjerojatnost pojave prijetnje treba rangirati od zanemarive do visoke
- Zanemariv – čini se nevjerojatnim da će se rizik ostvariti i materijalizirati u prijetnju (pr. čini se nevjerojatnim da će doći do neovlaštena izmjena podataka u bazi ako se koristi opcija „zapis logova“ koja omogućuje praćenje izmjena te bazi mogu pristupiti samo ovlaštene osobe)
- Nizak – čini se da će teško doći do ostvarenja rizika (pr. čini se da će teško doći do neovlaštene izmjene podataka u bazi kojoj pristup imaju samo ovlaštene osobe)
- Srednji – čini se mogućim da se rizik ostvari (pr. čini se mogućim da dođe do neovlaštene izmjene podataka u bazi koja je osigurana samo lozinkom te dostupna svim zaposlenicima)
- Visoka – čini se da je rizik lako ostvariv ( čini se da lako da dođe do neovlaštene izmjena podataka u bazi kojoj se može slobodno pristupiti, bez lozinke)Napravite procjenu ozbiljnosti na posljedice za prava i slobode ispitanika
- Zanemariva – ispitanici će prevladati posljedicu bez problema (spam, izgubit će vremena na ponavljanje zahtjeva i sl. )
- Niska – ispitanici će prevladati posljedicu uz manje poteškoće (neće moći pristupiti usluzi, neočekivani trošak, propuštena prilika za zaposlenje i sl. )
- Srednja – ispitanici će prevladati posljedicu uz ozbiljne poteškoće (financijski gubitak kao rezultat prijevare i sl. )
- Visoka – ispitanici neće moći prevladati posljedice (smrt, značajni financijski gubici, nemogućnost zaposlenja i sl. )
MEHANIZMI ZA OSIGURAVANJE ZAŠTITE OSOBNIH PODATAKA:
- obvezujuća korporativna pravila
- standardne klauzule o zaštiti podataka koje donosi Komisija (standardne ugovorne klauzule koje nude dovoljne mjere zaštite podataka za prijenos podataka u inozemstvo -ne-EU ili EEA zemlje)
- standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo.;
- odobreni kodeks ponašanja
- odobreni mehanizam certificiranja
TEHNIČKE I ORGANIZACIJSKE MJERE:
- fizička zaštita od nedozvoljenog pristupa
- tehnička zaštita od nedozvoljenog pristupa (alarm, videonadzor, pametne kartice…)
- korištenje lozinke za pristup opremi, računalnim programima i datotekama
- vođenje evidencije pristupa osobnim podacima
- praćenje logiranja – pratiti radnje koje provode zaposlenici tijekom postupka obrade kako bi ih kasnije u slučaju potrebe mogli analizirati i utvrditi tko je od zaposlenika odgovoran
- suzbijanje zlonamjernog softvera (antivirus, vatrozid, pravila za korištenje elektroničke pošte, korištenje sigurnih mreža…)
- održavanje hardvera i softvera (onemogućavanje instaliranja proizvoljnih aplikacija na računalnu opremu od strane zaposlenika, pravovremeno ažuriranje softvera, osiguravanje dostatnog prostora za pohranu podataka, osiguravanje udaljenog pristupa mobilnoj opremi (laptop, mobitel)..)
- redovita edukacija zaposlenika o važnosti zaštite osobnih podataka
- politika (upravljanje pravilima) – propišite pravila postupanja kroz interne akte koji su u svakom trenutku dostupni vašim zaposlenicima
- upravljanje incidentima i povredama podataka – propišite internu proceduru u slučaju pojave „povrede osobnih podataka“ te zadužite odgovorne osobe za postupanje po istoj
- odnosi s trećim stranama – ugovori s izvršiteljima obrade
- sigurnosne kopije – osiguravaju dostupnost i/ili integritet osobnih podataka
- anonimizacija
- enkripcija
- mehanizam periodičnog preispitivanja primijenjenih mjera
Pr. Koje su posljedice na prava i slobode ispitanika u slučaju da haker neovlašteno iz vaše baze podataka prikupi identifikacijske, financijske podatke vaših klijenata?
- Postoji mogućnost da će isti biti upotrijebljeni u svrhu prijevare. Ispitanici će pokretanjem kaznenih postupaka bit u mogućnosti dokazati prijevaru. Obzirom na poteškoće u vidu kaznenog postupka te ozbiljne financijske posljedice možemo reći kako se radi o srednje (3) ozbiljnim posljedicama na prava i slobode ispitanika.
Kako bi procijenili vjerojatnost pojave prijetnje provjerite koje ste sve sigurnosne i zaštitne mjere primijenili.
- Koliko je vjerojatno da će isto dogoditi ovisi o tehničkim i organizacijskim mjerama koje ste predvidjeli kako bi spriječili neovlašteni pristup bazama podataka.
Ukoliko ste primijenili odgovarajuće sigurnosne i zaštitne mjere te ipak dođe do neovlaštenog pristupa nećete za isto biti odgovorni. Vaša obveza je dokazati da ste primijenili odgovarajuće mjere za ublažavanje rizika. Provođenje procjene učinka na zaštitu osobnih podataka može Vam pomoći pri dokazivanju.
Objava procjene učinka na zaštitu podataka nije obvezna, no objava određenih dijelova, kao što je sažetak ili zaključak njihove procjene učinka na zaštitu podataka svakako pridonosi transparentnosti poslovanja te pridonosi pravima ispitanika na informiranost, a samim tim i na povjerenje ispitanika.
Procjena učinka na zaštitu podataka provodi se kontinuirano, a ne jednom.