1. General Data Protection
Regulation s apekta revizora
IS-a
Ime i prezime: Luka Čirjak
Organizacija: OTP banka Hrvatska d.d.
“Doprinos interne revizije korporativnom upravljanju”, Zadar 10.–12. travnja 2014.

2. 2
SADRŽAJ:
• Postojeća regulativa
• Zahtjevi za novom regulativom
• Na što obratiti pažnju – s aspekta revizora IS-a
• Zaključno

3. Postojeća regulativa
• EU Directive 95/46/EC – Protection of individuals with regard to the processing of
personal data and on the free movement of such data, 1995
• Framework Decision 2008/977/JHA – Protection of personal data in the areas of
police co-operation and judicial co-operation in criminal matters, 2008
3

4. Zahtjevi za novom regulativom
• Strelovit tehnološki razvoj
• Drastično povećanje obujma prikupljanja i dijeljenja podataka
• Povećano javno i globalno dijeljenje osobnih podataka pojedinaca
• Nedostatci postojeće regulative:
o Fragmentacija načina implementacije zaštite podataka u članicama Unije
o Legalne nejasnoće
o Javna percepcija o postajanju velikih rizika u dijelu zaštite pojedinaca
prvenstveno povezano sa online aktivnostima
4

5. Na što obratiti pažnju – s aspekta revizora IS-a:
• Članak 6. Zakonitost obrade osobnih podataka
1. Na određenom uzorku ustanoviti je li zadovoljen barem jedan od sljedećih zahtjeva
koji omogućuju zakonito obrađivanje osobnih podataka:
(a) Ispitanik je dao pristanak za obradu svojih osobnih podataka za jednu ili više
specifičnih svrha;
(b) Obrađivanje je nužno za obavljanje ugovora u kojem je ispitanik ugovorna
stranka ili radi poduzimanja mjera na zahtjev ispitanika prije sklapanja ugovora;
(c) Obrađivanje je nužno radi ispunjavanja zakonske obveze primatelja;
(d) Obrađivanje je nužno radi zaštite ključnih interesa ispitanika;
(e) Obrađivanje je nužno za obavljanje zadatka javnog interesa ili u izvršavanju
javnih ovlasti koje ima primatelj;
(f) Obrađivanje je nužno za potrebe legitimnih interesa koje ostvaruje primatelj,
osim kad su ti interesi nadjačani interesima ili temeljnim pravima i slobodama
ispitanika koji zahtijevaju zaštitu osobnih podataka, posebice kada je ispitanik
dijete.
5

6. Na što obratiti pažnju – s aspekta revizora IS-a:
Utvrditi je li primatelj definirao sljedeća prava ispitanika:
• Članak 7. Uvjeti za suglasnost
3. pravo povlačenja svoje privole u svakom trenutku
• Članak 15. Pravo pristupa ispitanika
1. pravo dobivanja od primatelja u bilo koje vrijeme, na zahtjev, potvrdu o tome obrađuju li se
ili ne osobni podataci koji se odnose na njega.
• Članak 16. Pravo na ispravak
1. pravo dobivanja od primatelja ispravku osobnih podataka koji se odnose na njega, a koji su
netočni.
• Članak 17. Pravo na zaborav i na brisanje
1. pravo na brisanje osobnih podataka koji se odnose na njega i na suzdržavanje od daljnjeg
širenja takvih podataka, pogotovo osobnih podatak koji su bili dati primatelju dok je ispitanik
bio dijete, a gdje je ispunjen jedan od sljedećih uvjeta:
(a) podaci više nisu potrebni s obzirom na svrhu za koju su prikupljeni;
(b) Ispitanik povlaći privolu na kojoj se temelji obrada prema točki (a) članka 6.(1), ili
kada je istekao ugovoreni rok za pohranu, a gdje ne postoji druga pravna
osnova za obradu podataka;
(c) Ispitanik se protivi obradi osobnih podataka u skladu s člankom 19.;
(d) obrada podataka nije u skladu s ovom regulativom iz drugih razloga.
6

7. Na što obratiti pažnju – s aspekta revizora IS-a:
• Članak 18. Pravo na prenosivost podataka
1. pravo, gdje se osobni podaci obrađuju elektronički
na strukturiran i uobičajeno korišten format, dobivanja
od primatelj kopije podataka koja se obrađuje u
elektroničkom i uobičajeno strukturiranom formatu koji
omogućuje daljnje korištenje od njegove strane.
2. pravo prenošenja osobnih podataka i ostalih
informacija pruženih od njega i zadržanih od
automatiziranog sustava za obradu, u drugi sustav,
u elektroničkom formatu uobičajeno korištenom, bez ograničenja od primatelja od
kojeg su osobni podaci i povučeni.
• Članak. 19 Pravo na prigovor
1. pravo na prigovor, na temelju njegove specifične situacije, u bilo koje vrijeme obrade
osobnih podataka koja se temelji na točkama (d), (e) i (f) članka 6.(1), osim ukoliko
primatelj dokaže uvjerljive legitimne osnove za obradu koja nadjačava njegove
interese ili temeljna prava i slobodu.
2. pravo na prigovor, gdje se osobni podaci obrađuju u direktne svrhe marketinga,
obrade svojih osobnih podataka za takav marketing.
7

8. Na što obratiti pažnju – s aspekta revizora IS-a:
• Članak 8. Obrađivanje osobnih podataka djeteta
1. Kako bi obrada osobnih podataka djece mlađe od 13 godina bila zakonita, potrebno
je utvrditi na uzorku je li privola dana ili odobrena od strane roditelja ili skrbnika.
• Članak 9. Obrađivanje posebnih kategorija osobnih podataka
1. Utvrditi je li zabranjena obrada osobnih podataka koji otkrivaju rasno ili etničko
podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, te
obrada generičkih podataka ili podataka koji se tiču zdravlja ili spolnog života te
osobnih podataka o kaznenom ili prekršajnom postupku.
• Članak 11. Transparentnost informacija i komunikacije
1. Provjeriti jeli postoje transparentni i lako dostupni akti u vezi s obradom osobnih
podataka i ostvarivanja prava ispitanika
8

9. Na što obratiti pažnju – s aspekta revizora IS-a:
• Članak 12. Procedure i mehanizmi za ostvarivanje prava ispitanika
1. Provjeriti jesu li:
- uspostavljene procedure za pružanje informacija i za ostvarivanje prava
ispitanika;
- pruženi mehanizmi za upravljanje zahtjevima vezanim uz aktivnosti ostvarivanja
prava ispitanika;
- gdje se osobni podaci obrađuju automatskim putem, osigurani načini podnošenja
zahtjeva elektronskim putem.
2. Na uzorku povjeriti je li ispitanik pravovremeno (unutar mjesec dana od primljenog
zahtjeva) obaviješten o poduzetim aktivnostima te je li obaviješten na pravilan način
(pismeni putem ili u elektroničkoj formi ako je na taj način primljen i zahtjev).
3. Ako je odbijeno poduzimanje aktivnosti na zahtjev ispitanika, potrebno je utvrditi
na uzorku je li ispitanik obaviješten o razlozima za odbijanje i mogućnostima
podnošenja prigovora nadzornom tijelu.
9

10. Na što obratiti pažnju – s aspekta revizora IS-a:
• Članak 14. Informacije za ispitanika
1. Gdje se prikupljaju osobni podaci koji se odnose na ispitanika, utvrditi na uzorku jesu
li mu pružene sljedeće informacije:
(a) identitet i kontakt podaci primatelja, te predstavnika primatelja i voditelja
zaštite podataka;
(b) svrha obrade za koju su namjenjeni osobni podaci;
(c) period na koji će se osobni podaci spremati;
(d) postojanju prava da se od primatelja zatraži pristup, ispravak ili brisanje
osobnih podataka u svezi njega ili prigovori obradi takvih osobnih podataka;
(e) pravo na ulaganje žalbe nadzornom tijelu te kontakt podaci nadzornog tijela;
(f) primatelji/kategorije primatelja osobnih podataka;
(g) gdje je primjenjivo, da primatelj namjerava prenijeti podatke kod treće
države ili internacionalne organizacije te nivo pružene zaštite od njihove
strane.
10

11. Na što obratiti pažnju – s aspekta revizora IS-a:
• Članak 26. Procesor podataka
2. Ukoliko je primatelj obradu prepustio trećoj strani (procesoru) potrebno je provjeriti je li
isto definirano ugovorom koji navodi da će procesor :
(a) djelovati samo prema uputama dobivenim od primatelja, posebno gdje je
zabranjen prijenos osobnih podataka koji se koriste;
(b) zapošljavati samo one zaposlenike koji su se obvezali na tajnost ili su pod
zakonskom obvezom povjerljivosti;
(d) upisati dodatnog procesora podataka samo uz prethodno odobrenje regulatora;
(g) predati sve rezultate primatelju nakon završetka obrade, te ne obrađivati osobne
podatke na drugi način.
11

12. Na što obratiti pažnju – s aspekta revizora IS-a:
• Članak 28. Dokumentacija
2. Potrebno je provjeriti je li primatelj i procesor održavaju
dokumentaciju o svima obradama, a koja sadržava namanje
sljedeće informacije:
(a) ime i kontakt podatke primatelja, zajedničkog primatelja ili procesora;
(b) ime i kontakt podatke službenika za zaštitu podataka;
(c) svrhu obrade;
(d) opis kategorija ispitanika i kategorija osobnih podataka koji se odnose na njih;
(e) primatelje ili kategorije primatelja osobnih podataka, uključujući i primatelja
kojemu su osobni podaci objavljeni;
(f) gdje je to moguće, dokumentaciju odgovarajuće zaštite prijenosa podataka u
treće zemlje ili međunarodne organizacije, uključujući i identifikaciju te treće
zemlje ili međunarodne organizacije;
(g) opće pokazatelje rokova za brisanje različitih kategorija podataka.
12

13. Na što obratiti pažnju – s aspekta revizora IS-a:
• Članak 30. Sigurnost obrade
Potrebno je provjeriti koje su tehničke i organizacijske mjere primatelj i procesor
implemetirali kako bi osigurali nivo sigurnosti u skladu s rizikom koji predstavlja obrada i priroda
osobnih podataka koji trebaju biti zaštićeni, a u cilju zaštite osobnih podataka naspram
slučajnog ili nezakonitog uništenja ili slučajnog gubitka te s ciljom sprečavanja nezakonitog
oblika obrade, osobito neautoriziranog otkrivanja, pružanja ili pristupa te mijenjanja osobnih
podataka.
• Članak 31. Obaviještavanje nadzornog tijela o povredi osobnih podataka
1. Ako se utvrdi da bilo slučajeva u kojima je došlo do povrede osobnih podataka, potrebno je
provjeriti jeli procesor obavijestio primatelja odmah po saznanju za povredu osobnih
podataka te je li primatelj unutar 24 sata o saznanju istoga obavijestio nadzorno tijelo;
3. Potrebno je provjeriti je li obavijest sadržava najmanje sljedeće:
(a) opis prirode povrede osobnih podataka, uključujući kategorije i broj ispitanika o kojima
je riječ, kao i kategoriju i broj podataka o kojima je riječ;
(b) identitet i kontakt podatke službenika za zaštitu podataka ili druge kontakt točke u
kojoj se može dobiti više informacija;
(c) preporučene mjere za ublažavanje mogućih negativnih posljedica povrede osobnih
podataka;
(d) opis posljedica povrede osobnih podataka;
(e) opis predloženih ili poduzetih mjera od strane primatelja za rješavanje povrede
osobnih podataka 13

14. Na što obratiti pažnju – s aspekta revizora IS-a:
• Članak 32. Obaviještavanje ispitanika o nastanku povrede osobnih podataka
U slučaju nastalih povreda osobnih podataka potrebno je provjeriti:
1. je li primatelj nakon obavljenog obaviještavanja prema članku 31., obavijestio o istome
bez odgađanja i ispitanika;
2. je li obavijest iz stavka 1. ovog Članka opisala prirodu povrede osobnih podataka te
sadržavala li najmanje informacije i preporuke opisane u točkama (b) i (c) Članka
31(3).
• Članak 33. Procjena utjecaja na zaštitu podataka
1. Potrebno je provjeriti jesu li primatelj ili procesor, proveli procjenu utjecaja predviđenih
aktivnosti obrade na zaštitu osobnih podataka, tamo gdje aktivnosti obrade
predstavljaju specifični rizik, što je navedeno u stavku 2. ovoga članka, na prava i
slobode ispitanika svojom prirodom, opsegom ili svojom svrhom.
3. Potrebno je provjeriti je li procjena sadržava barem:
- opći opis predviđenih radnji,
- procjenu rizika prava i sloboda ispitanika,
- predviđene mjere za rješavanje rizika,
- mjere zaštite,
- sigurnosne mjere i mehanizme kako bi se osigurala zaštita osobnih
podataka i dokazala usklađenost s ovom regulativom, uzimajući u obzir prava i
legitimne interese ispitanika i drugih zainteresiranih osoba
14

15. Na što obratiti pažnju – s aspekta revizora IS-a:
• Članak 34. Prethodna autorizacija i konzultacije
2. Provjeriti jesu li primatelj ili procesor konzultirali nadzorno tijelo prije obrade osobnih
podataka, u cilju osiguravanja usklađenosti namjeravane obrade s ovom regulativom,
a posebno kako bi se ublažile opasnosti za ispitanika gdje:
(a) procjena utjecaja na zaštitu podataka, koja je predviđena člankom 33., navodi
da aktivnosti obrade po svojoj prirodi, opsegu ili svrsi, predstavljaju visok stupanj
specifičnih rizika, ili
(b) nadzorno tijelo smatra da je potrebno provesti prethodnu konzultaciju o
aktivnostima obrade koje predstavljaju specifične rizike za prava i slobode
ispitanika temeljem svoje prirode, opsegom i/ili svrhe, a navedene su u stavku 4.
ovog članka
15

16. Na što obratiti pažnju – s aspekta revizora IS-a:
• Članak 35. Imenovanje službenika za zaštitu podataka
1. Utvrditi jesu li primatelj i procesor imenovali službenika za zaštitu podataka u
slučajevima kada se:
(a) obrada provodi od strane javne vlasti ili tijela,
(b) obrada provodi od poduzeća koje zapošljava 250 ili više osoba,
(c) temeljne aktivnosti primatelja ili procesora sastoje od aktivnosti obrada koje, po
svojoj prirodi, njihovom opsegu i/ili njihovoj svrsi, zahtjevaju redovno i sustavno
nazdiranje ispitanika.
6. Utvrditi jesu li primatelj ili kontroler osigurali da su ostale profesionalne dužnosti
službenika za zaštitu podataka u skladu sa njegovim dužnostima kao službenika za
zaštitu podataka te da ne rezultiraju konfliktom interesa.
7. Utvrditi jesu li primatelj ili procesor imenovali službenika za zaštitu podataka u trajanju
od najmanje dvije godine. U slučaju da je tijekom svog mandata, službeniku za
zaštitu podataka otkazan mandat, utvrditi je li se u tom slučaju dogodilo da službenik
za zaštitu podataka više nije ispunjavao uvjete koji su potrebni za izvođenje
dužnosti službenika, pošto mu se jedino u tom slučaju može otkazati mandat.
16

17. Na što obratiti pažnju – s aspekta revizora IS-a:
Članak 36. Položaj službenika za zaštitu podataka
1. Utvrditi jesu li, i na koji način, primatelj ili procesor osigurali da je službenik za zaštitu
podataka ispravno i pravodobno uključen u sva pitanja koja se odnose na zaštitu
osobnih podataka.
2. Utvrditi je li službenik za zaštitu podataka izvještava izravno menadžment primatelja
ili procesora.
• Članak 37. Zadaci službenika za zaštitu podataka
1. Utvrditi jesu li primatelj ili procesor povjerili službeniku za zaštitu podataka najmanje
sljedeće zadatke :
(a) obavijestiti i savjetovati primatelja ili procesor o njihovim obvezama na temelju
ove regulative te dokumentirati tu aktivnost i primljene odgovore;
(b) nadzirati provedbu i primjenu politika primatelja ili procesor koje se odnose na
zaštitu osobnih podataka, uključujući i dodjelu odgovornosti, osposobljavanje
kadrova koji su uključeni u aktivnostima obrada, te povezanih revizija;
17

18. Na što obratiti pažnju – s aspekta revizora IS-a:
(c) nadzirati provedbu i primjenu ove regulative, posebice u zahtjevima vezanim za
zaštitu podataka po dizajnu (data protection by design), zaštitu podataka po
defaultu (data protection by default), sigurnosti podataka te informacija
ispitanika i njihovih zahtjeva u ostvarivanju svojih prava na temelju ove
regulative;
(d) održavanje dokumentacije iz članka 28.;
(e) praćenje dokumentacije, obavijesti i komunikacije povrede osobnih podataka u
skladu s člancima 31. i 32.;
(f) praćenje provedbe procjene utjecaja na zaštitu podataka od strane primatelja ili
procesora te zahtjeva za prethodno odobrenje ili prethodne konzultacije, ako je
potrebno sukladno člancima 33. i 34.;
(g) praćenje odgovora na zahtjeve nadzornog tijela, i u sferi nadležnosti službenika
za zaštitu podataka, surađivanje s nadzornim tijelom na njegov zahtjev ili na
inicijativu samog službenika za zaštitu podataka;
(h) djelovanje kao kontakt osoba za nadzorno tijelo o pitanjima koja se odnose na
obradu.
18

19. Zaključno
• 25. siječnja 2012.godine Europska komisija objavila je General Data
Protection Regulation te je njegova primjenja trebala početi u roku dvije
godine od objave,
• 21. listopada 2013.godine Odbor Europskog parlamenta za građanska
prava, pravosuđa i unutarnjih poslova je glasovao o njegovu nacrtu te
usvojio mandat za početak pregovora s Europskim vijećem kako bi se
probalo doći do zajedničkog dogovora o reformi zaštiti podataka prije
europskih izbora u svibnju 2014.godine,
• Početkom 2014.godine rok za finalno usvajanje je prebačen na početak
2015.godine
• Kazne: od upozorenja do 1 000 000 EUR
19

20. 20
Zahvaljujem na pažnji!
E-mail: luka.cirjak@otpbanka.hr