Jeste li usklađeni s Nikola Markovinović - Voditelj sigurnosti, Trilix

GDPR-om? Dijana Kladar - Pravna konzultantica za zaštitu osobnih podataka

Ivan Kleković - Konzultant za sigurnost, Span
Jeste li usklađeni s GDPR-om?
Sadržaj

• Nikola Markovinović – Elementi usklađenosti s GDPR-om

• Dijana Kladar – Pravna usklađenost s GDPR-om

• Ivan Kleković – Tehnološka rješenja za GDPR sukladnost

Elementi usklađenosti s Nikola Markovinović - Voditelj sigurnosti, Trilix

GDPR-om
Načela GDPR-a

• Zakonita, poštena i transparentna obrada osobnih podataka s obzirom na ispitanika.

• Prikupljanje osobnih podataka u posebne, izričite i zakonite svrhe – ne smiju se dalje obrađivati na
način koji nije u skladu s navedenom svrhom.
• Osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno s obzirom na
svrhu obrade.
• Točni, potpuni i ažurirani osobni podaci.
• Čuvanje osobnih podatka u obliku koji dopušta identifikaciju - ne dulje nego što je potrebno.
• Način obrade treba omogućiti odgovarajuću sigurnost osobnih podataka - uključujući zaštitu od
neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom
odgovarajućih tehničkih ili organizacijskih mjera.
• Voditelj i izvršitelj obrade osobnih podataka odgovorni su za primjenu i provedbu GDPR-a.
Prava ispitanika

• pravo na informiranost

• pravo na pristup

• pravo na ispravak

• pravo na zaborav / brisanje

• pravo na ograničenje obrade

• pravo na prenosivost podataka

• pravo na prigovor

• prava vezana uz automatizirano donošenje odluka i profiliranje

Obveze Voditelja obrade podataka

Prema Ispitaniku Prema Nadzornom tijelu

• dokazivanje usklađenosti • imenovanje službenika za zaštitu osobnih

• jamčenje sigurnosti podataka

• primjena mjera sigurnosti osobnih podataka • provođenje procjene utjecaja o zaštiti

• jasan sporazum s Izvršiteljem obrade (radi osobnih podataka

samo na temelju pisanih uputa) • konzultiranje s nadzornim tijelom prije

• vođenje evidencije o svim obradama provedbe obrade osobnih podataka

podataka • obavještavanje o kršenju sigurnosti osobnih

podataka u roku od 72 sata nakon saznanja
• obavještavanje ispitanika o kršenju sigurnosti
Obveze Izvršitelja obrade podataka
• jamči provedbu odgovarajućih tehničkih i
organizacijskih mjera
• ne smije angažirati drugog izvršitelja bez
prethodnog pisanog odobrenja
• izvještava voditelja o planiranim aktivnostima
vezanim uz obradu
• obrada se uređuje ugovorom
• Izvršitelj obrade radi samo na temelju
pisanih uputa
• osigurava da su se osobe ovlaštene za
obradu osobnih podataka obvezale na
poštovanje povjerljivosti
• osigurava sigurnost obrade
• osigurava mogućnost ostvarenja prava
ispitanika
• briše i vraća voditelju podatke nakon
pružanja usluge
• provodi procjenu utjecaja o zaštiti osobnih
podataka
• konzultira se s nadzornim tijelom prije
provedbe obrade osobnih podataka
• imenuje službenika za zaštitu osobnih
podataka
Proces obrade podataka

Razina poslovne - procesi

Poslovni proces 2 - procedure
aktivnosti Poslovni proces 1 Poslovni proces 3 Poslovni proces x - aktivnosti,
(elementi) (manualni proces)
obavljeni poslovi

- software
Razina poslovnih Poslovna - aplikacije koje
aplikacija Poslovna Poslovna Poslovna Poslovna
aplikacija pružaju
(elementi) aplikacija 1 aplikacija 2 aplikacija 3 aplikacija 4 automatsku
treće strane
obradu

- IT procesi
Razina IT - hardverske
infrastrukture Komponenta IT Komponenta IT IT infrastrukturni IT infrastrukturna IT infrastrukturna
komponente
infrastrukture 1 infrastrukture 1 proces 1 aplikacija 3. strane aplikacija
(elementi) - IT servisi i
aplikacije
npr. Domain npr. back-up proces npr. alati za nadzor
Controller
Proces obrade podataka

Zaštita podataka Moralna

Fizička
Prava i slobode

Financijska Nadzorno tijelo

Nadzorno tijelo Odgovornost

Obrada Izvršitelj
Voditelj obrade
podataka podataka

Službenik

Prikupljanje
Službenik Informacija
Obrada
Osobni podatak Ispitanik Identifikacija
Pohrana
Identifikacija
Transfer DPIA
Na što utječe GDPR

PROCESI ORGANIZACIJA TEHNOLOGIJA INFORMACIJE

- procedure i funkcije - uloge i odgovornosti - alati - podaci
- zaposlenici - IT infrastruktura - dokumenti
- vještine i osviještenost - aplikacije
GDPR u radnim odnosima

• Ljudski resursi - edukacija, odgovornosti, službenik za zaštitu osobnih podataka.

• Procesi - područja ulaza, izlaza i obrade osobnih podataka, kontrole, transparentnost i nadzor,
dokazi provođenja aktivnosti, prijava povreda osobnih podataka, procjena rizika.

• Podaci - konsolidacija podataka u smislu količine, vrste, lokacije i distribucije, utvrđivanje

relevantnih izvora podataka.

• IT sustav - primjena mjera zaštite osobnih podataka, kontrola pristupa, brisanje podataka.

• Infrastruktura - kontrola fizičkog pristupa, pohrana i arhiviranje osobnih podataka, uništavanje

fizičkih medija.

• Ugovorni odnosi i dobavljači - propisati obveze i detalje obrade podataka.

• Korisnici - upućivanje u njihova prava.

Na što utječe GDPR
Zahtjevi GDPR-a

Zahtjevi GDPR-a

Usklađenost Zaštita prava i sloboda

Dokumentirani dokaz Sposobnost obrade Adekvatna zaštita Jamčiti prava

Priprema, Upravljačke kontrole Informiranje Pristup

Procedure,
Evidencija Narušavanje Odgovor;
Privole i drugi
obrade sigurnosti Praćenje;
zapisi
Komunikacija
Ispravak Brisanje
Fizičke kontrole

Prijenos Ograničenje
Logičke kontrole

Prigovor Donošenje odluka

Zahtjevi GDPR-a

Zahtjevi GDPR-a

Usklađenost Zaštita prava i sloboda

Dokumentirani dokaz Sposobnost obrade Adekvatna zaštita Jamčiti prava

Procesi povezani s Procesi povezani s Procesi povezani s Procesi kojima se jamče

dokumentiranim dokazima narušavanjem zaštite adekvatnom zaštitom prava

Aktivnosti povezane s Aktivnosti povezane s Aktivnosti povezane s Aktivnosti povezane s

dokumentiranim dokazima narušavanjem zaštite adekvatnom zaštitom jamčenjem prava
Projektni zadaci

GDPR Projekt

Projektno
Proces Organizacija Tehnologija Informacije
upravljanje

Zahtjevi sustava upravljanja Upitnik za procjenu

Mapiranje toka podataka Klasifikacija informacija Materijali za edukaciju Opseg toka podataka
zaštitom podataka Pravni i IS

Procedura korištenja
DPIA Treneri Definiranje internih kontrola Upravljanje rizicima Strategija zaštite podataka
podataka

Procedure prikupljanja Procedura upravljanja Implementacija internih

Projektni tim Politika zaštite podataka Politika upravljanja zapisima
podataka incidentima kontrola

Procedura praćenja i Plan zapošljavanja i Politika upravljanja

Procedura pohrane podataka Politika revizije i usklađenosti
izvještavanja edukacije informacijama

Postupak obavješćivanja o Edukacija temeljena na

Postupci obavješćivanja Politika upravljanja zapisima Standardi usklađenosti
prekršajima ulogama

Procedura upravljanja Sporazum o razmjeni

Procedura revizije Popis osobnih podataka
pritužbama podataka s 3. stranom

Obvezujuća korporativna
Registar rizika
pravila
 PITANJA I
ODGOVORI
Pravna usklađenost s Dijana Kladar - Pravna konzultantica za zaštitu osobnih podataka

GDPR-om
Kvalifikacije službenika

Imenuje se temeljem stručnih kvalifikacija

• stručno znanje o pravu i praksama u području zaštite podataka

• sposobnost izvršavanja zadataka propisanih Uredbom

Imenuje se sposobnosti
temeljem stručnog pravnog
znanja o zaštiti
praksama u
području zaštite
izvršavanja
zadataka
stručnih osobnih podataka podataka propisanih
kvalifikacija Uredbom
Tko može biti službenik za zaštitu osobnih podataka

Zaposlenik Ugovor o djelu

Obveznici imenovanja

Voditelj obrade i izvršitelj obrade

javna tijela ili tijela osobni podaci o

javne vlasti
kaznenim osudama
izuzeti sudovi u okviru sudske
nadležnosti i kažnjivim djelima
osnovna djelatnost
opsežna obrada
je redovito i
posebnih
sustavno praćenje
kategorija
ispitanika u velikoj
podataka
mjeri
Zadaće službnika

Informiranje i savjetovanje o
obvezama pri prikupljanju i
obradi osobnih podataka.

Praćenje poštivanja pravila

o zaštiti osobnih podataka
i politika voditelja ili
Kontaktna točka za izvršitelja obrade osobnih
nadzorno tijelo o pitanjima podataka u odnosu na
u pogledu obrade, zaštitu osobnih
uključujući prethodno podatka/raspodjela
savjetovanje te savjetovanje odgovornosti, podizanje
o svim drugim pitanjima. svijesti i osposobljavanje
osoblja koje sudjeluje u
obradi osobnih podataka.

Suradnja s nadzornim
tijelom.
Pružanje savjeta u pogledu
procjene učinka na zaštitu
podataka i praćenje njezina
izvršavanja.
 LJUDSKI
Zadaće službnika

RESURSI
GDPR u radnim odnosima

• ugovor o radu

• obveze iz mirovinskog i zdravstvenog osiguranja

• psihološka testiranja

• selekcijski postupak

• životopis i natječajna dokumentacija

• registracija ulazaka i izlazaka radnika

• bolovanje radnika

• zdravstveno stanje radnika

• e-mail komunikacija
Pravni temelj obrade podataka

Privola – iznimke
većinom propisano pravom
Unije ili Republike Hrvatske

?
Može li bivši zaposlenik zahtjevati brisanje svih podataka
koje je dao poslodavcu u radnom odnosu?
Bitno za HR

• utvrditi sve baze podataka

• pravilno voditi evidenciju aktivnosti obrade,

ako primjenjivo

• educirati kadrove

• organizacijska zaštita podataka

• tehnička zaštita podataka

• procjena učinka na zaštitu podataka i

prethodno savjetovanje, ako primjenjivo
Zadaće službnika

INTERNI AKTI
VODITELJA I
IZVRŠITELJA OBRADE
Interni akti

• Tko piše interne akte?

• Što reguliraju interni akti?
• Koga obvezuju?
• Imaju li učinka na kažnjavanje?
 PITANJA I
ODGOVORI
Tehnološka rješenja za GDPR Ivan Kleković - Konzultant za sigurnost, Span

sukladnost
Ciklus aktivnosti

1. 2.
Pretraga Upravljanje

3. Zaštita
4. Nadzor i
izvještavanje
Prob...izazovi GDPR implementacije

1. Pretraga osobnih podataka

• proširena definicija
• strukturirani, nestrukturirani podaci
• data in use/transit/at rest, physical/virtualized, on-premise/cloud/hybrid
• poslužitelji, DMS, baze podataka, e-mail, računala...

2. Upravljanje zbirkama i prijenosom osobnih podataka

• označavanje podatkovnih medija/formata – vizualno i strojno

3. Zaštita osobnih podataka

• ovisno o svrsi korištenja i ranjivostima/prijetnjama

4. Nadzor i izvještavanje nad obradama osobnih podataka

• sistemski zapisi
• curenje povjerljivih/osjetljivih podataka
Rješenja = (i) tehnologija

1. Pretraga osobnih podataka

• automatizacija – e-discovery

2. Upravljanje zbirkama i prijenosom osobnih podataka

• klasifikacija osobnih podataka

3. Zaštita osobnih podataka

• šifriranje (enkripcija) podataka
• maskiranje (pseudonimizacija) podataka

4. Nadzor i izvještavanje nad obradama osobnih podataka

• Security Incident & Event Management (SIEM)
Personally Identifiable Information (PII) e-discovery

Pretraga osobnih podataka

• ŠTO • GDJE
• ime, prezime, OIB, e-mail, datum rođenja... • nestrukturirani podaci → kritičan resurs
• + fotografije, financijski podaci, društvene mreže, • poslovni sustavi, krajnji i prijenosni uređaji, e-mail,
online identifikatori, identifikatori uređaja, geolokacija... cloud
• Izvještavanje
• KAKO • cjelokupan GDPR opseg
• vanity search
• strukturirani podaci (dio)
• poznati izvor informacija (HR, CRM, ERP, Excel...)
• algoritam za osobne identifikatore
• SSN, CCN, IP, MAC; HR: OIB, JMBG, OI, putovnica,
porezni broj, vozačka dozvola, HZZO MBO…
• document fingerprinting + strojno učenje
Klasifikacija (osobnih) podataka

• označavanje/metatagiranje većinom nestrukturiranih podataka: datoteke, e-mailovi

• više razina klasifikacije:

• tajnost: javno, ograničeno, povjerljivo, tajno, vrlo tajno
• privatnost podataka: non-PII, osobni podatak, osobni podatak posebne kategorije
• orijentacija: interna / vanjska upotreba; OJ

• lako korištenje – OS shell, mail klijent add-on, DMS modul...

• vizualne oznake → osviještenost

• metapodaci → integracija s rješenjima za e-discovery, DLP, IRM, enkripciju, dig. potpis, backup...
 Ograničavanje opsega – šifriranje i maskiranje podataka

Maskiranje
Šifriranje
Anonimizacija Pseudonimizacija

„Promjena (osobnih) podataka u oblik nerazumljiv „Promjena (osobnih) podataka na način oduzimanja atributa identifikacije određene fizičke osobe (bez
neovlaštenim osobama” korištenja dodatnih informacija)”

Zaštita putem transformacije Zaštita putem zamjene

Reverzibilnost je neophodna Reverzibilnost je slabost Reverzibilnost može biti potrebna

Matematička poveznica (algoritam + ključ) Bez matematičke poveznice (random zamjena) Bez matematičke poveznice (zamjena putem pravila)

Nečitki/neupotrebljivi podaci Podaci upotrebljivi, ali netočni

Promjena veličine (i tipa) podataka Bez promjene veličine (i tipa) podataka

Potrebna prilagodba aplikacija Nije potrebna prilagodba aplikacija
Neupotrebljivo prije dešifriranja Iskoristivo za obradu (testiranje, statistička analiza)

Korištenje: Korištenje:
- zaštita datoteka (lokalne/mrežne/cloud mape), - kada je potrebna daljnja obrada na osjetljivim podacima
mrežni promet, web/e-mail promet - za testiranje SW
- strukturirani i nestrukturirani podaci - strukturirani podaci
Nadzor obrada osobnih podataka

GDPR – ŠTO:
- čl. 25: Data protection by design and default: kontrola izloženosti podataka
• kontrola i nadzor pristupa – tko je ovlašten i tko stvarno pristupa podacima
- čl. 30: Zapisi aktivnosti obrade podataka: logiranje i nadzor
• osiguravanje zapisa prikupljanja, obrade, prijenosa, pohrane... osobnih podataka
• nadzor pristupa svim sustavima u sklopu obrade

ICT (sigurnost) – KAKO:

- native (ugrađeni) nadzor
- upravljanje sistemskim zapisima
- korelacija zapisa
- obavještavanje i blokiranje
= Security Incident & Event Management (SIEM)
General Data Protection Regulation (GDPR)

• Enkripcija i maskiranje podataka

• Upravljanje zakrpama
• Sustavi identifikacije i sigurne prijave, Privilege Access Management
Prevencija
• Testiranja ranjivosti i penetracijski testovi
• Security awareness edukacija, simulated phishing

• Zaštita mrežnog perimetra (NGFW/WAF/ISFW, IDS/IPS, NAC)

• Secure Mail/Web GW
• Anti-malware rješenja (AV, ATP/Sandboxing/EDR)
• Insider Threat Management

• Analiza DNS prometa

Detekcija • Upravljanje zapisima sustava (SIEM)
i korekcija • User Behaviour Analysis (UBA)
 PITANJA I
ODGOVORI
HVALA NA SUDJELOVANJU!

info@gdpr2018.eu