« Povratak na sadržaj Broj 2 | Godina 2019

Fina GS o GDPR-u u tehničkoj zaštiti

Provođenje procjene rizika ključno je prije obrade osobnih podataka

Posebno osjetljive obrade su one koje odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, koje se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela
O procjeni učinaka na zaštitu podataka na seminaru o GDPR-u govorila je Renata Biondić iz tvrtke Fina gotovinski servisi. Rekla je da obrada osobnih podataka može dovesti do rizika koji mogu prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete ili ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima.

Biondić je naglasila da su posebno osjetljive obrade one koje odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetičkih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili povezane sigurnosne mjere; obrade koje uključuju procjenu osobnih aspekata, osobito analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; obrade koje uključuju osobne podatke osjetljivih pojedinaca, a osobito djece ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

Biondić je dala primjer da su u jednom vrtiću djeci doneseni papri za crtanje, a s druge strane je bila medicinska dokumentacija osobe koja je u procesu promjene spola.

Usklađenost
Provođenje procjene učinka na zaštitu podataka nije obvezno za svaki postupak obrade već samo za onaj za koji je vjerojatno da će prouzročiti visoki rizik za prava i slobode pojedinca. Jedna procjena učinka na zaštitu podataka može se upotrijebiti za procjenu višestrukih postupaka obrade koji su slični s obzirom na prirodu, opseg, kontekst, svrhu i rizike.

Dokazivanje usklađenosti pomaže voditeljima obrade da se usklade sa zahtjevima GDPR-a i da dokažu da su poduzete potrebne mjere za osiguravanje usklađenosti s Uredbom. Biondić je dodala da Smjernice o procjeni učinaka na zaštitu podataka Radne skupine za zaštitu podataka navode da se koncept procjene učinka na zaštitu podataka preklapa s dobro definiranim dijelovima upravljanja rizicima prema normi ISO 31000.

Procjena učinaka na zaštitu podataka temelji se na procesnom pristupu, koji uključuje dosljednu primjenu PDCA ciklusa koji potiče na metodičan pristup i omogućuje učinkovito upravljanje i stalno poboljšanje upravljanja rizicima. PDCA je neprekidan krug planiranja, realizacije, provjere i djelovanja kojim se iznalaze još kvalitetnija rješenja problema, tj. poboljšanje procesa upravljanja rizicima. Upravljane rizicima podrazumijeva usklađene aktivnosti s ciljem vođenja i nadzora organizacije s obzirom na rizik. Upravljanje rizicima odnosi se na arhitekturu (načela, okvir i proces) za učinkovito upravljanje rizicima, te primjenu te arhitekture na pojedine rizike.

Kriteriji rizika
Načela predstavljaju temelj za upravljanje rizikom i treba ih uzeti u obzir pri uspostavljanju okvira i procesa upravljanja rizicima. Uz to, potrebno je uspostaviti i okvir za procjenu učinka na zaštitu podataka specifičan za pojedinu organizaciju, sektor, djelatnost, usluge ....To će omogućiti da se procjenom učinka na zaštitu podataka mogu obuhvatiti pojedinosti određene vrste postupka obrade (vrste podataka, imovina, tehnologija, prijetnje, mjere).To osigurava da se prepoznaju rizici koja se javljaju u određenom sektoru ili pri upotrebi određenih tehnologija ili pak provedbi određenih vrsta postupaka obrade odnosno u pojedinoj organizaciji.

Proces upravljanja rizicima uključuje sustavnu primjenu politika, postupaka i praksi za aktivnosti komuniciranja i savjetovanja, uspostavljanja konteksta procjene i obrade rizika, praćenja, pregleda, evidentiranja i izvješćivanja o riziku. Integralni je dio procesa upravljanja i donošenja odluka te integriran u strukturu, operacije i procese organizacije. Revizija procjene učinka na zaštitu podataka nije korisna samo za kontinuirana poboljšanja, nego je i ključna za održavanje razine zaštite podataka u okruženju koje se s vremenom mijenja.

S provođenjem procjene rizika potrebno je započeti prije nego se započne s postupcima obrade osobnih podataka, još tijekom planiranja postupka obrade, čak i ako su neki postupci obrade još uvijek nepoznati. (N. G. K.)
 

PREGLED NAJNOVIJEG BROJA

2019.
XIX. godina, broj V. 2019.