GDPR Croatia

Najljepša hvala 🍀 Najljepša hvala Agenciji za zaštitu osobnih podataka na pozivu da autor i urednik GDPR Croatia, Igor Barlek CIPP/E održi 26. listopada 2023. radionicu za svu zainteresiranu javnost naziva „Sigurnosti - ključ GDPR usklađenosti“, u okviru međunarodnog EU ARC II projekta i povodom mjeseca kibernetičke sigurnosti. Najljepša hvala i brojnoj publici koja je uložila 3 sata pune pažnje, kao i na brojnim dodatnim pitanjima koja ste nam uputili. Nadamo se da je predavač opravdao vaše povjerenje i da je uspio pojasniti zašto bez osiguranja sigurnosnih mjera i povjerljivosti nema GDPR usklađenosti te zašto su nam „badava svi GDPR papiri ovog svijeta“ ako prethodno navedeno ne ispunimo. Do slijedeće prilike nastavljamo i dalje u dinamičnom ritmu na GDPR Croatia 😉 #gdprcroatia

Dostavnom službom poslali smo dokumente s osobnim podacima i izgubljeni su? Najuobičajeniji način kojim tvrtke, udruge, ustanove, tijela javne vlasti i ostale organizacije dostavljaju svoje pakete, dokumentaciju ili pisma jest angažiranjem dostavnih službi. Nećemo ih nabrajati, ali ima ih na izbor. Kad je u pitanju dostava dokumentacije koja sadrži osobne podatke ili poslovne tajne, zasigurno je dostava putem dostavnih službi dobro rješenje. Štoviše, ovakvo rješenje je puno bolje od slanja običnim mailom ako dokumenti priloženi mailu nisu zaštićeni enkripcijom. No, nije tajna da se ponekad takve pošiljke izgube. Ozbiljan problem nastaje ako se povjerljivi i osjetljivi dokumenti s osobnim podacima, npr. zdravstvenom dokumentacijom zaposlenika, sudskim rješenjem ili isplatnom listom, izgube, nestanu, ili budu isporučeni na krivu adresu i otvoreni od strane neovlaštene osobe. U takvom slučaju imamo povredu osobnih podataka i ozbiljne obveze prema člancima 33. i 34. GDPR-a. GDPR definicija povrede osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani. Organizacija koja je angažirala dostavnu službu, po saznanju o takvom incidentu kojim se kompromitira osobne podatke, kao voditelj obrade, mora: - izvijestiti nadzorno tijelo (AZOP) u roku 72 sata po saznanju, sa svim detaljima o incidentu iz članka 33. GDPR-a, - obavijestiti osobu čiji su osobni podaci kompromitirani, ako bi gubitak osobnih podataka ili njihovo neovlašteno otkrivanje moglo osobi nanijeti ozbiljnu štetu, kao npr. otkrivanje zdravstvenih podataka, sudskog rješenja iz obiteljske parnice, otkrivanje podataka o bankovnoj kartici ili financijskim problemima, podataka kojima se omogućuje krađa identiteta ili prijevara... - poduzeti sve moguće mjere umanjivanja mogućih štetnih posljedica povrede. Da su ovakvi slučajevi vrlo osjetljivi i vrlo kažnjivi, pokazuje slučaj iz Poljske u kojem je tvrtka kažnjenja s čak 250.000 EUR zbog: - bitno zakašnjelog izvješćivanja nadzornog tijela o višestrukim takvim povredama podataka - bitno zakašnjelog obavještavanja kompromitiranih osoba kojima je mogla biti nanesena ozbiljna šteta u razdoblju od 2-3 mjeseca zbog izostanka obavijesti - izostanka poduzimanja mjera za smanjenje šteta za osobe čiji su osobni podaci kompromitirani Više o slučaju iz Poljske: https://lnkd.in/d-QtQ-k Image from FreePik #gdprcroatia

Prenosimo iz stručnih medija: “Prema dostupnim informacijama radi se o podacima koje prikuplja Hrvatski ured za osiguranje, potvrđuju izvori ICTbusiness.info jer njima i MUP dostavlja podatke koji su im potrebni za rad koji je inačer reguliran s nekoliko zakonskih i podzakonskih akata i to Zakonom o osiguranju, Zakonom o obveznim osiguranjima u prometu te drugim propisima.” https://lnkd.in/d_e5JeCp

Za mnoge vlasnike web stranica ovo možda nisu dobre vijesti 🔔 Ali su ove vijesti dobre za sve nas koji želimo provjeriti je li neka web stranica u skladu s GDPR-om i ePrivacy Direktivom, a posebno je ova vijest dobrodošla za nadzorna tijela za zaštitu osobnih podataka. EDPB (European Data Protection Board) objavio je novu verziju tzv. website auditing alata, koji se u ovoj najnovijoj verziji može lako instalirati na svako Windows, MacOS i Linux računalo i show može početi. Uporaba alata je jednostavna, dostupan je na ovoj stranici, na linku „Download the EDPB website auditing tool“: https://lnkd.in/dRjv9Wif Isprobali smo ga na službenoj web stranici GDPR Croatia www.biconsult.hr za početak ✅ Nakon toga smo testirali više web stranica u Hrvatskoj koje nas tekstovima u njihovim pravilima privatnosti i pravilima kolačića uvjeravaju da poštuju odabir posjetitelja na pristanak ili odbijanje kolačića i da ne koriste Google Fonts, sveopće prisutne Google Analytics kolačiće unatoč odbijanju privole, FB pixele, beacone i ostale trackere. Jaaako zanimljivi rezultati 😉 #gdprcroatia

Kako uskladiti web trgovinu s GDPR obvezama? Pisali smo o tome puno puta, ali moramo pohvaliti tekst na ovoj stranici s jasnim i izvrsno objašnjenim koracima i obrazloženjima. Vrijedi čitanja 🍀 a i znamo da je ove upute pisala izrazito stručna osoba Tekst je ovdje: https://lnkd.in/d6xDxnuE?

Istina 🔔

Agencija za zaštitu osobnih podataka i Hrvatska udruga poslodavaca nas pozivaju na besplatno savjetovanje pod nazivom “6. rođendan GDPR-a: jesmo li konačno svladali GDPR i kako se suočiti s novim izazovima?” koje će se održati 10. lipnja 2024. godine na adresi Hrvatska udruga poslodavaca, Radnička cesta 37a, Zagreb. Izdvajamo iz teksta AZOP poziva: “Iako je prošlo 6 godina od početka pune primjene Opće uredbe o zaštiti podataka, stanje usklađenosti u organizacijama u Hrvatskoj i dalje nije na zadovoljavajućoj razini.” “Krajnje je vrijeme je da poduzeća, tijela javne vlasti i svi voditelji/izvršitelji obrade shvate da je rok za prilagodbu odavno prošao te kako nakon 6 godina od početka pune primjene GDPR-a, neinformiranost i neznanje ne mogu predstavljati opravdanje i izgovor za kršenje temeljnih prava hrvatskih i europskih građana - prava na zaštitu osobnih podataka.” Vidimo se uživo 🍀 Svi detalji su ovdje: https://lnkd.in/enj5tM2E #gdprcroatia

Podatke iz javnih registara ne možemo koristiti za prodaju kuhinjskih lonaca Osobni podaci u javno objavljenim registrima objavljeni su temeljem zakona kojim se regulira zakonita i opravdana svrha te način objave javnog registra i upravljanja njime. Za primjer pogledajmo svima dobro poznate javne registre kao što su sudski registar trgovačkih društava, registar udruga ili obrtni registar, u njima možemo pronaći jako puno osobnih podataka. Osobni podaci autora ovog teksta javno su objavljeni u sva tri spomenuta registra sa svojom zakonitom svrhom, ali to ne znači da se javno objavljena email adresa ili adresa stanovanja smiju koristiti za dostavu oglasa, izravni marketing ili prodaju. Nemali broj puta smo čuli izjavu „To su javni podaci pa ih možemo slobodno koristiti.“ Bez obzira što su javno dostupni, osobni se podaci ne mogu koristiti kako se kome prohtije, već načela i pravila njihovog korištenja utvrđuje GDPR. Gdje se to nalazi u GDPR-u, pitaju nas. Uvodna izjava 50. „Obrada osobnih podataka u svrhe različite od svrha za koje su podaci prvotno prikupljeni smjela bi se dopustiti samo ako je obrada usklađena sa svrhama za koje su osobni podaci prvotno prikupljeni. U takvom slučaju nije potrebna pravna osnova zasebna od one kojom je dopušteno prikupljanje osobnih podataka. Ako je obrada potrebna za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade, pravom Unije ili pravom države članice mogu se utvrditi i odrediti zadaće i svrhe za koje će se nastavak obrade smatrati usklađenim i zakonitim. Nastavak obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi smatrati usklađenom zakonitom obradom. Radi utvrđivanja je li svrha nastavka obrade usklađena sa svrhom prvotnog prikupljanja osobnih podataka, voditelj obrade nakon ispunjavanja svih zahtjeva zakonitosti izvorne obrade trebao bi uzeti u obzir, među ostalim, svaku vezu između te svrhe i svrhe planiranog nastavka obrade, kontekst u kojem su prikupljeni osobni podaci posebno opravdana očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade u pogledu daljnje uporabe podataka, prirodu osobnih podataka, posljedice planiranog nastavka obrade za ispitanike i postojanje primjerenih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi.“ Jasno je da se za marketing ili prodaju kuhinjskih lonaca ne smiju koristiti javno objavljeni osobni podaci u registrima bez privole konkretnog pojedinca ili temeljem dokazanog legitimnog interesa kad možemo dokazati da je to u interesu pojedinca o čijim se osobnim podacima radi i očekuje li razumno pojedinac daljnju obradu njegovih osobnih podataka. Više o temi na: https://lnkd.in/dXWarequ Image by Stefano Ferrario from Pixabay #gdprcroatia

AZOP nam i u lipnju 2024. nudi niz besplatnih i nazobilaznih edukacija koje nikako ne valja propustiti. Posjetimo stranicu https://azop.hr/ i prijavimo se ✅

Nova besplatna AZOP edukacija za ne propustiti ✅