BI CONSULT d.o.o. Varaždin

Najljepša hvala 🍀 Najljepša hvala Agenciji za zaštitu osobnih podataka na pozivu da autor i urednik GDPR Croatia, Igor Barlek CIPP/E održi 26. listopada 2023. radionicu za svu zainteresiranu javnost naziva „Sigurnosti - ključ GDPR usklađenosti“, u okviru međunarodnog EU ARC II projekta i povodom mjeseca kibernetičke sigurnosti. Najljepša hvala i brojnoj publici koja je uložila 3 sata pune pažnje, kao i na brojnim dodatnim pitanjima koja ste nam uputili. Nadamo se da je predavač opravdao vaše povjerenje i da je uspio pojasniti zašto bez osiguranja sigurnosnih mjera i povjerljivosti nema GDPR usklađenosti te zašto su nam „badava svi GDPR papiri ovog svijeta“ ako prethodno navedeno ne ispunimo. Do slijedeće prilike nastavljamo i dalje u dinamičnom ritmu na GDPR Croatia 😉 #gdprcroatia

Za mnoge vlasnike web stranica ovo možda nisu dobre vijesti 🔔 Ali su ove vijesti dobre za sve nas koji želimo provjeriti je li neka web stranica u skladu s GDPR-om i ePrivacy Direktivom, a posebno je ova vijest dobrodošla za nadzorna tijela za zaštitu osobnih podataka. EDPB (European Data Protection Board) objavio je novu verziju tzv. website auditing alata, koji se u ovoj najnovijoj verziji može lako instalirati na svako Windows, MacOS i Linux računalo i show može početi. Uporaba alata je jednostavna, dostupan je na ovoj stranici, na linku „Download the EDPB website auditing tool“: https://lnkd.in/dRjv9Wif Isprobali smo ga na službenoj web stranici GDPR Croatia www.biconsult.hr za početak ✅ Nakon toga smo testirali više web stranica u Hrvatskoj koje nas tekstovima u njihovim pravilima privatnosti i pravilima kolačića uvjeravaju da poštuju odabir posjetitelja na pristanak ili odbijanje kolačića i da ne koriste Google Fonts, sveopće prisutne Google Analytics kolačiće unatoč odbijanju privole, FB pixele, beacone i ostale trackere. Jaaako zanimljivi rezultati 😉 #gdprcroatia

Agencija za zaštitu osobnih podataka i Hrvatska udruga poslodavaca nas pozivaju na besplatno savjetovanje pod nazivom “6. rođendan GDPR-a: jesmo li konačno svladali GDPR i kako se suočiti s novim izazovima?” koje će se održati 10. lipnja 2024. godine na adresi Hrvatska udruga poslodavaca, Radnička cesta 37a, Zagreb. Izdvajamo iz teksta AZOP poziva: “Iako je prošlo 6 godina od početka pune primjene Opće uredbe o zaštiti podataka, stanje usklađenosti u organizacijama u Hrvatskoj i dalje nije na zadovoljavajućoj razini.” “Krajnje je vrijeme je da poduzeća, tijela javne vlasti i svi voditelji/izvršitelji obrade shvate da je rok za prilagodbu odavno prošao te kako nakon 6 godina od početka pune primjene GDPR-a, neinformiranost i neznanje ne mogu predstavljati opravdanje i izgovor za kršenje temeljnih prava hrvatskih i europskih građana - prava na zaštitu osobnih podataka.” Vidimo se uživo 🍀 Svi detalji su ovdje: https://lnkd.in/enj5tM2E #gdprcroatia

Podatke iz javnih registara ne možemo koristiti za prodaju kuhinjskih lonaca Osobni podaci u javno objavljenim registrima objavljeni su temeljem zakona kojim se regulira zakonita i opravdana svrha te način objave javnog registra i upravljanja njime. Za primjer pogledajmo svima dobro poznate javne registre kao što su sudski registar trgovačkih društava, registar udruga ili obrtni registar, u njima možemo pronaći jako puno osobnih podataka. Osobni podaci autora ovog teksta javno su objavljeni u sva tri spomenuta registra sa svojom zakonitom svrhom, ali to ne znači da se javno objavljena email adresa ili adresa stanovanja smiju koristiti za dostavu oglasa, izravni marketing ili prodaju. Nemali broj puta smo čuli izjavu „To su javni podaci pa ih možemo slobodno koristiti.“ Bez obzira što su javno dostupni, osobni se podaci ne mogu koristiti kako se kome prohtije, već načela i pravila njihovog korištenja utvrđuje GDPR. Gdje se to nalazi u GDPR-u, pitaju nas. Uvodna izjava 50. „Obrada osobnih podataka u svrhe različite od svrha za koje su podaci prvotno prikupljeni smjela bi se dopustiti samo ako je obrada usklađena sa svrhama za koje su osobni podaci prvotno prikupljeni. U takvom slučaju nije potrebna pravna osnova zasebna od one kojom je dopušteno prikupljanje osobnih podataka. Ako je obrada potrebna za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade, pravom Unije ili pravom države članice mogu se utvrditi i odrediti zadaće i svrhe za koje će se nastavak obrade smatrati usklađenim i zakonitim. Nastavak obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi smatrati usklađenom zakonitom obradom. Radi utvrđivanja je li svrha nastavka obrade usklađena sa svrhom prvotnog prikupljanja osobnih podataka, voditelj obrade nakon ispunjavanja svih zahtjeva zakonitosti izvorne obrade trebao bi uzeti u obzir, među ostalim, svaku vezu između te svrhe i svrhe planiranog nastavka obrade, kontekst u kojem su prikupljeni osobni podaci posebno opravdana očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade u pogledu daljnje uporabe podataka, prirodu osobnih podataka, posljedice planiranog nastavka obrade za ispitanike i postojanje primjerenih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi.“ Jasno je da se za marketing ili prodaju kuhinjskih lonaca ne smiju koristiti javno objavljeni osobni podaci u registrima bez privole konkretnog pojedinca ili temeljem dokazanog legitimnog interesa kad možemo dokazati da je to u interesu pojedinca o čijim se osobnim podacima radi i očekuje li razumno pojedinac daljnju obradu njegovih osobnih podataka. Više o temi na: https://lnkd.in/dXWarequ Image by Stefano Ferrario from Pixabay #gdprcroatia

USB ili DLP? Kako pametno odgovoriti na ovo pitanje kad znamo što je USB, a nemamo pojma što znači DLP. Prisjetimo se zadnjih nekoliko najvećih curenja osobnih podataka: 🥉B2 Kapital d.o.o. - ukupno 77.317 fizičkih osoba 🥈EOS Matrix d.o.o. – 181.641 osobnih podataka fizičkih osoba 🥇i ovo zadnje aktualno s podacima više od milijun fizičkih osoba vlasnika vozila Svima je zajednički – USB stick. Da, baze podataka su u sva tri slučaja, kako razaznajemo, izvučene iz poslovnih sustava i prebačene na USB stick i odnesene izvan organizacije. Nekad smo u počecima imali metode onemogućavanja USB portova na računalima svim zaposlenicima u organizaciji, a danas postoje i cijeli sustavi prevencije izlaska sadržaja baza podataka koje struka naziva DLP ili Data Protection Loss. Da budemo skroz jednostavni i čitljivi, DLP je softversko rješenje dizajnirano za zaštitu osjetljivih informacija organizacije od neovlaštenog pristupa, gubitka ili curenja podataka. Svaka ozbiljna organizacija treba poduzeti sljedeće korake: 🏵️Implementiran DLP sustav, uključujući enkripciju, autentifikaciju i analitiku ponašanja. 🏵️Enkripcija podataka, kako u mirovanju, tako i u pokretu. 🏵️Ograničenje pristupa osjetljivim podacima samo ovlaštenim korisnicima. 🏵️Kontinuirano nadziranje upotrebe podataka i uređaja, kao što su USB stickovi. 🏵️Redovita edukacija zaposlenike o sigurnosnim prijetnjama i pravilnom rukovanju podacima. 🏵️Sigurnosne politike za upravljanje podacima i rukovanje incidentima. Ove mjere pomažu u zaštiti osjetljivih informacija i smanjenju rizika od gubitka podataka, a posebno je zanimljiva analitika ponašanja zaposlenika u organizaciji, ključna za pravovremeno onemogućavanje otkrivanja sadržaja naših baza podataka. Analitika ponašanja osigurava se korištenjem naprednih tehnologija koje analiziraju aktivnosti korisnika u stvarnom vremenu: 🛡️Prikupljanje podataka o svim aktivnostima korisnika, uključujući pristup datotekama, prijenos podataka i korištenje aplikacija 🛡️Primjena algoritama strojnog učenja za prepoznavanje obrazaca u korisničkom ponašanju 🛡️Identifikacija neuobičajenih ili sumnjivih aktivnosti 🛡️Upozorenja i izvještaji za sigurnosne timove 🔔No, isto tako, ne smijemo zaboraviti GDPR, koji traži transparentnost, odnosno, da svojim zaposlenicima objasnimo da ih pratimo, da analiziramo njihovo neuobičajeno ili neželjeno postupanje prilikom pristupa bazama podataka, poslovnoj dokumentaciji, aplikacijama i poslovnim sustavima, a posebice ako sukladno svojim ovlastima pokušavamo izvući sadržaj baza podataka. Moramo o tome unaprijed obavijestiti sve svoje zaposlenike, samim time ćemo umanjiti mogućnost nastanka ovakvih sigurnosnih incidenata. Image by rawpixel com on FreePik #gdprcroatia

Ukratko - ovisi o nadzornom tijelu za zaštitu podataka. Početkom 2021. godine je slovensko nadzorno tijelo utvrdilo da je registarska oznaka vozila osobni podatak gdje je vlasnik apartmana tražio od gostiju da mu daju registarske oznake vozila kako bi im omogućio parkiranje u garaži na način da putem video sustava prepoznaje registraciju vozila. Slovensko nadzorno tijelo potvrdilo je da je registarska oznaka vozila osobni podatak i da spada u GDPR režim kojim vlasnik i iznamljivač apartmana postaje voditelj obrade što se tiče registarskih oznaka vozila svojih gostiju i može povezati registarsku oznaku vozila sa samim gostom. https://lnkd.in/dD6KUEnU No, slučaj iz Poljske ide u drugom smjeru. Tamošnji je sud presudio da registarska oznaka vozila sama po sebi nije osobni podatak prema članku 4. točki 1. GDPR-a ako je identifikaciju vlasnika vozila moguće vršiti samo uvidom u službene registre vozila. https://lnkd.in/d_fzqeGs Ovo je primjer koji zorno pokazuje da je praksu nadzornih tijela zemalja članica EU i njihovih sudova neophodno uskladiti i učiniti praktičnijom za daljnju primjenu, jer ovakvo tumačenje može samo dovesti do daljnjih nekonzistentnosti u primjeni GDPR-a, koja je više nego ikad nužna sad i odmah. Mi smo skloniji stajalištu iz Slovenije, s obzirom na definiciju osobnog podatka iz članka 4. točke 1. GDPR-a: 1. „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Naime, naglasak ove odredbe je na izravnoj i neizravnoj identifikaciji, bez obzira na izvor dodatnih informacija. #gdprcroatia

Obrada genetskih podataka u RH i GDPR Članak 20. Zakona o provedbi Opće uredbe o zaštiti podataka bavi se ovim pitanjem i glasi, citiramo: (1) Zabranjena je obrada genetskih podataka radi izračuna izgleda bolesti i drugih zdravstvenih aspekata ispitanika u okviru radnji za sklapanje ili izvršavanje ugovora o životnom osiguranju i ugovora s klauzulama o doživljenju. (2) Privolom ispitanika ne može se ukinuti zabrana iz stavka 1. ovoga članka. (3) Odredba stavka 1. ovoga članka primjenjuje se na ispitanike koji u Republici Hrvatskoj sklapaju ugovore o životnom osiguranju i ugovore s klauzulama o doživljenju ako obradu provodi voditelj obrade s poslovnim nastanom u Republici Hrvatskoj ili koji pruža usluge u Republici Hrvatskoj. (4) Postupanje suprotno odredbama ovoga članka smatra se kršenjem članka 9. Opće uredbe o zaštiti podataka i podliježe sankcioniranju sukladno članku 83. stavku 5. Opće uredbe o zaštiti podataka. Iz ovog teksta je jasna namjera zakonodavca da spriječi prikupljanje i obradu genetskih podataka pojedinaca radi komercijalnih interesa u području životnog osiguranja i drugih ugovornih odnosa čije se odredbe odnose na genetske predispozicije za kraćim ili duljim životnim vijekom, pa čak i pod uvjetom da pojedinac osobno pristane na takvu obradu njegovih genetskih podataka. Istraživanja ovisnosti trajanja životnog vijeka s genetskim predispozicijama, na koja nailazimo u javno dostupnim izvorima, ukazuju da genetika ima značajan utjecaj na doživljenje. Nismo nimalo stručni u tom području, pa konačni sud ostavljamo liječnicima. No, ono što sami nalazimo u javno dostupnim izvorima, da budemo praktični, ukazuje da su obiteljske anamneze iznimno važne u procjeni rizika oboljenja ili prerane smrti. Vjerujemo da smo se mnogi od nas susreli s pitanjima liječnika je li tko u našoj obitelji bolovao od povišenog tlaka, tumora, bolesti srca, mentalnih poremećaja i slično. Takve informacije su zlata vrijedne liječnicima za naše dobro, ali su zabranjene za prikupljanje i daljnju obradu od strane onih koji ih žele iskoristiti u komercijalne svrhe. Zakon o provedbi Opće uredbe o zaštiti podataka (NN42/18) je ovdje: https://lnkd.in/dZm2SkxY Image by DC Studio on Freepik #gdprcroatia