Professional Documents
Culture Documents
Jeste Li Usklađeni S GDPR Om
Jeste Li Usklađeni S GDPR Om
Jeste Li Usklađeni S GDPR Om
GDPR-om
Načela GDPR-a
• pravo na informiranost
• pravo na pristup
• pravo na ispravak
• pravo na prigovor
- software
Razina poslovnih Poslovna - aplikacije koje
aplikacija Poslovna Poslovna Poslovna Poslovna
aplikacija pružaju
(elementi) aplikacija 1 aplikacija 2 aplikacija 3 aplikacija 4 automatsku
treće strane
obradu
- IT procesi
Razina IT - hardverske
infrastrukture Komponenta IT Komponenta IT IT infrastrukturni IT infrastrukturna IT infrastrukturna
komponente
infrastrukture 1 infrastrukture 1 proces 1 aplikacija 3. strane aplikacija
(elementi) - IT servisi i
aplikacije
npr. Domain npr. back-up proces npr. alati za nadzor
Controller
Proces obrade podataka
Fizička
Prava i slobode
Obrada Izvršitelj
Voditelj obrade
podataka podataka
Službenik
Prikupljanje
Službenik Informacija
Obrada
Osobni podatak Ispitanik Identifikacija
Pohrana
Identifikacija
Transfer DPIA
Na što utječe GDPR
• Procesi - područja ulaza, izlaza i obrade osobnih podataka, kontrole, transparentnost i nadzor,
dokazi provođenja aktivnosti, prijava povreda osobnih podataka, procjena rizika.
• IT sustav - primjena mjera zaštite osobnih podataka, kontrola pristupa, brisanje podataka.
Zahtjevi GDPR-a
Prijenos Ograničenje
Logičke kontrole
Zahtjevi GDPR-a
GDPR Projekt
Projektno
Proces Organizacija Tehnologija Informacije
upravljanje
Procedura korištenja
DPIA Treneri Definiranje internih kontrola Upravljanje rizicima Strategija zaštite podataka
podataka
Obvezujuća korporativna
Registar rizika
pravila
PITANJA I
ODGOVORI
Pravna usklađenost s Dijana Kladar - Pravna konzultantica za zaštitu osobnih podataka
GDPR-om
Kvalifikacije službenika
Imenuje se sposobnosti
temeljem stručnog pravnog
znanja o zaštiti
praksama u
području zaštite
izvršavanja
zadataka
stručnih osobnih podataka podataka propisanih
kvalifikacija Uredbom
Tko može biti službenik za zaštitu osobnih podataka
Informiranje i savjetovanje o
obvezama pri prikupljanju i
obradi osobnih podataka.
Suradnja s nadzornim
tijelom.
Pružanje savjeta u pogledu
procjene učinka na zaštitu
podataka i praćenje njezina
izvršavanja.
LJUDSKI
Zadaće službnika
RESURSI
GDPR u radnim odnosima
• ugovor o radu
• psihološka testiranja
• selekcijski postupak
• bolovanje radnika
• e-mail komunikacija
Pravni temelj obrade podataka
Privola – iznimke
većinom propisano pravom
Unije ili Republike Hrvatske
?
Može li bivši zaposlenik zahtjevati brisanje svih podataka
koje je dao poslodavcu u radnom odnosu?
Bitno za HR
• educirati kadrove
INTERNI AKTI
VODITELJA I
IZVRŠITELJA OBRADE
Interni akti
sukladnost
Ciklus aktivnosti
1. 2.
Pretraga Upravljanje
3. Zaštita
4. Nadzor i
izvještavanje
Prob...izazovi GDPR implementacije
• ŠTO • GDJE
• ime, prezime, OIB, e-mail, datum rođenja... • nestrukturirani podaci → kritičan resurs
• + fotografije, financijski podaci, društvene mreže, • poslovni sustavi, krajnji i prijenosni uređaji, e-mail,
online identifikatori, identifikatori uređaja, geolokacija... cloud
• Izvještavanje
• KAKO • cjelokupan GDPR opseg
• vanity search
• strukturirani podaci (dio)
• poznati izvor informacija (HR, CRM, ERP, Excel...)
• algoritam za osobne identifikatore
• SSN, CCN, IP, MAC; HR: OIB, JMBG, OI, putovnica,
porezni broj, vozačka dozvola, HZZO MBO…
• document fingerprinting + strojno učenje
Klasifikacija (osobnih) podataka
• metapodaci → integracija s rješenjima za e-discovery, DLP, IRM, enkripciju, dig. potpis, backup...
Ograničavanje opsega – šifriranje i maskiranje podataka
Maskiranje
Šifriranje
Anonimizacija Pseudonimizacija
„Promjena (osobnih) podataka u oblik nerazumljiv „Promjena (osobnih) podataka na način oduzimanja atributa identifikacije određene fizičke osobe (bez
neovlaštenim osobama” korištenja dodatnih informacija)”
Matematička poveznica (algoritam + ključ) Bez matematičke poveznice (random zamjena) Bez matematičke poveznice (zamjena putem pravila)
Korištenje: Korištenje:
- zaštita datoteka (lokalne/mrežne/cloud mape), - kada je potrebna daljnja obrada na osjetljivim podacima
mrežni promet, web/e-mail promet - za testiranje SW
- strukturirani i nestrukturirani podaci - strukturirani podaci
Nadzor obrada osobnih podataka
GDPR – ŠTO:
- čl. 25: Data protection by design and default: kontrola izloženosti podataka
• kontrola i nadzor pristupa – tko je ovlašten i tko stvarno pristupa podacima
- čl. 30: Zapisi aktivnosti obrade podataka: logiranje i nadzor
• osiguravanje zapisa prikupljanja, obrade, prijenosa, pohrane... osobnih podataka
• nadzor pristupa svim sustavima u sklopu obrade
info@gdpr2018.eu