GDPR ZAŠTITA PODATAKA O LIČNOSTI PIA.pptx
IgorCika1
28 views
23 slides
Sep 15, 2025
Slide 1 of 23
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
About This Presentation
GDPR PIA
Slide Content
DPIA (Data Protection Impact Assessment) Članovi GDPR Član . 5 principi vezani za obradu ličnih podataka Član . 35 procena uticaja zaštite podataka Član . 36 Predkonsultacija Član . 57 zadaci О deljak. 3
Procena uticaja na zaštitu podataka i prethodne konsultacije
Član 35.
Procena uticaja zaštite podataka
Procena uticaja na zaštitu podataka i prethodne konsultacije
Član 35.
Procena uticaja zaštite podataka
DPIA (Data Protection Impact Assessment) VAŽNA NAPOMENA: Zbog njihove sličnosti i kako bi se održala konzistentnost sa ISO / IEC 29134 koji se koristi kao referenca , akronim „PIA“ Procena uticaja na privatnost se koristi naizmenično sa Procena uticaja na zaštitu podatka (DPIA). Iako GDPR opisuje uslove pod kojima se DPIA mora voditi i utvrđuje minimum elemenata koje mora da sadrži ( član 35, stav 5), on ne objašnjava kako sprovesti DPIA. Stoga , PECB je odlučila da predloži upotrebu međunarodnog standarda ISO / IEC 29134, koji daje smernice za procenu uticaja na privatnost . Međutim , kako upotreba ovog međunarodnog standarda nije obavezna i zbog činjenice da PIA može biti prilično opsežna , na kraju je na DPO i organizaciji da izaberu metodu putem koje će sprovoditi DPIA ( bilo razvijen metod interno , na osnovu smernica iz spoljnih izvora , ili njihove kombinacije ). Glavni cilj PIA je da podrži organizacije u merenju nivoa privatnosti . Kao rezultat toga, PIA pomažu organizacijama da dizajniraju svoje sisteme sa odgovarajućim nivoima zaštite podataka . U osnovi , procene uticaja na privatnost se mogu smatrati sredstvom zasnovanim na riziku za merenje i preispitivanje nivoa privatnosti i, kada je potrebno , predlaganje različitih promena dizajna .
Dobro utemeljena DPIA će biti zasnovana na informacijama prikupljenim na načinu obrade , zaštitnih mera , vrsti i količini obrađenih podataka , prava pristupa podacima , razlozi obrade i drugih informacija koje na bilo koji način mogu uticati na bezbednost obrade i uticaja na ličnosti .
PII - Personally Identifiable Information ( informacije za ličnu identifikaciju ) Rukovalac može biti u obavezi da obavi PIA i može da zatraži pomoć od procesora PII, koji deluje u ime Rukovalaca .
Dobro utemeljena DPIA će biti zasnovana na informacijama prikupljenim na načinu obrade , zaštitnih mera , vrsti i količini obrađenih podataka , prava pristupa podacima , razlozi obrade i drugih informacija koje na bilo koji način mogu uticati na bezbednost obrade i uticaja na ličnosti .
PII - Personally Identifiable Information ( informacije za ličnu identifikaciju ) Rukovalac može biti u obavezi da obavi PIA i može da zatraži pomoć od procesora PII, koji deluje u ime Rukovalaca .
DPIA (Data Protection Impact Assessment Kako opisati obradu ?
U skladu sa zahtevima GDPR-a, verovatnoća i ozbiljnost rizika za prava i slobode subjekta podataka treba da se odrede u odnosu na prirodu , obim , kontekst i namenu obrade [ resital 90]. To znači da organizacija mora biti u stanju da objasni kako i zašto planira da koristi lične podatke . Priroda obrade je ono što organizacija planira da uradi sa ličnim podacima . Na osnovu smernica koje je dala ICO, to bi trebalo da obuhvata i između ostalog : Kako se prikupljaju podaci ; Kako se podaci zadržavaju ; Način korišćenja podataka ;
Ko ima pristup podacima ;
Sa kojima organizacija deli podatke ;
Da li organizacija koristi obrađivače ;
Period zadržavanja ;
Mere bezbednosti ;
Da li se koriste nove tehnologije ;
Koji su kriterijumi za skrining označeni kao potencijalno visoki rizik od strane organizacije .
U skladu sa zahtevima GDPR-a, verovatnoća i ozbiljnost rizika za prava i slobode subjekta podataka treba da se odrede u odnosu na prirodu , obim , kontekst i namenu obrade [ resital 90]. To znači da organizacija mora biti u stanju da objasni kako i zašto planira da koristi lične podatke . Priroda obrade je ono što organizacija planira da uradi sa ličnim podacima . Na osnovu smernica koje je dala ICO, to bi trebalo da obuhvata i između ostalog : Kako se prikupljaju podaci ; Kako se podaci zadržavaju ; Način korišćenja podataka ;
Ko ima pristup podacima ;
Sa kojima organizacija deli podatke ;
Da li organizacija koristi obrađivače ;
Period zadržavanja ;
Mere bezbednosti ;
Da li se koriste nove tehnologije ;
Koji su kriterijumi za skrining označeni kao potencijalno visoki rizik od strane organizacije .
DPIA (Data Protection Impact Assessment Obim obrade je ono što obrada pokriva . Prema smernicama koje je objavila ICO, ovo treba da uključi : priroda ličnih podataka ; obim i raznolikost ličnih podataka ; osetljivost ličnih podataka ; obim i učestalost obrade ; trajanje obrade ; broj uključenih subjekata podataka ; geografsko područje koje pokriva .
DPIA (Data Protection Impact Assessment Kontekst obrade obuhvata širu sliku , uključujući unutrašnje i spoljašnje faktore koji mogu uticati na očekivanja ili uticaj . Ovo može uključivati , na primer: izvor podataka ; prirodu odnosa organizacije sa pojedincima ;
u kojoj mjeri pojedinci imaju kontrolu nad svojim podacima ;
u kojoj meri će pojedinci vjerovatno očekivati obradu ;
da li uključuju decu ili druge ugrožene osobe ; svako prethodno iskustvo sa ovom vrstom obrade ; bilo koji relevantni napredak u tehnologiji ili sigurnosti ; aktuelna pitanja od javnog interesa ; i
u dogledno vreme , da li se organizacija pridržava bilo kog kodeksa ponašanja GDPR ( nakon što je bilo odobreno prema članu 40) ili šema za sertifikaciju GDPR.
da li je organizacija razmotrila i poštovala odgovarajuće kodekse prakse .
u kojoj mjeri pojedinci imaju kontrolu nad svojim podacima ;
u kojoj meri će pojedinci vjerovatno očekivati obradu ;
da li uključuju decu ili druge ugrožene osobe ; svako prethodno iskustvo sa ovom vrstom obrade ; bilo koji relevantni napredak u tehnologiji ili sigurnosti ; aktuelna pitanja od javnog interesa ; i
u dogledno vreme , da li se organizacija pridržava bilo kog kodeksa ponašanja GDPR ( nakon što je bilo odobreno prema članu 40) ili šema za sertifikaciju GDPR.
da li je organizacija razmotrila i poštovala odgovarajuće kodekse prakse .
DPIA (Data Protection Impact Assessment Namena obrade je razlog zašto organizacija želi obraditi osobne podatke . Prema ICO-u, ovo bi trebalo da obuhvati : legitimni interesi organizacije , kada je to relevantno ; očekivani ishod za pojedince ; i očekivane koristi za organizaciju ili za društvo u celini .
DPIA (Data Protection Impact Assessment Prilikom sprovođenja PIA, organizacija treba da identifikuje bilo kakve rizike po privatnost za pojedince , rizike usaglašenosti i sve povezane rizike za organizaciju ; kao što su novčane kazne za nepoštovanje zakonodavstva ili šteta zbog reputacije koja dovodi do gubitka posla . Rizici privatnosti za pojedince obično imaju povezane rizike i rizike za organizaciju . Na primer, projekat koji javnost smatra nametljivim ili nesigurnim takođe povećava rizik od novčanih kazni , oštećenja reputacije , gubitka posla i neuspeha projekta . Rizici za pojedince mogu se kategorizirati na različite načine i važno je da se razmotre sve vrste rizika - od rizika fizičke sigurnosti pojedinaca , materijalnih uticaja ( kao što je finansijski gubitak ) ili moralnog ( na primer, uznemirenja ).
DPIA (Data Protection Impact Assessment Rizici za pojedince Neadekvatne kontrole obelodanjivanja povećavaju verovatnoću da se informacije dele neprikladno . Kontekst u kojem se informacije koriste ili objavljuju može se vremenom mijenjati , što dovodi do toga da se koristi za različite svrhe bez znanja ljudi . Nove metode nadzora mogu biti neopravdani upadi na njihovu privatnost .
Mere preduzete protiv pojedinaca kao rezultat prikupljanja informacija o njima mogu se smatrati nametljivim . Deljenje i spajanje skupova podataka može omogućiti organizacijama da prikupe mnogo širi skup informacija nego što bi pojedinci mogli očekivati . Identifikatori mogu biti sakupljeni i povezani što sprečava ljude da koriste usluge anonimno . Ugroženi ljudi mogu biti posebno zabrinuti zbog rizika identifikacije ili otkrivanja informacija . Prikupljanje informacija i povezivanje identifikatora može značiti da organizacija više ne koristi informacije koje su sigurno anonimne . Informacije koje se prikupljaju i pohranjuju nepotrebno , ili se ne upravlja na odgovarajući način tako da se stvaraju duplikati zapisa , predstavljaju veći sigurnosni rizik . Ako period čuvanja nije utvrđen , informacije se mogu koristiti duže nego što je potrebno .
Mere preduzete protiv pojedinaca kao rezultat prikupljanja informacija o njima mogu se smatrati nametljivim . Deljenje i spajanje skupova podataka može omogućiti organizacijama da prikupe mnogo širi skup informacija nego što bi pojedinci mogli očekivati . Identifikatori mogu biti sakupljeni i povezani što sprečava ljude da koriste usluge anonimno . Ugroženi ljudi mogu biti posebno zabrinuti zbog rizika identifikacije ili otkrivanja informacija . Prikupljanje informacija i povezivanje identifikatora može značiti da organizacija više ne koristi informacije koje su sigurno anonimne . Informacije koje se prikupljaju i pohranjuju nepotrebno , ili se ne upravlja na odgovarajući način tako da se stvaraju duplikati zapisa , predstavljaju veći sigurnosni rizik . Ako period čuvanja nije utvrđen , informacije se mogu koristiti duže nego što je potrebno .
DPIA (Data Protection Impact Assessment Korporativni rizici Problemi koji su identifikovani tek nakon što je projekat pokrenut , verovatno će zahtievati skupe popravke . Upotreba biometrijskih informacija ili potencijalno nametljivih tehnologija praćenja može izazvati povećanu zabrinutost i uzrokovati da ljudi izbegnu saradnju sa organizacijom . Informacije koje se prikupljaju i pohranjuju nepotrebno , ili se ne upravlja na odgovarajući način tako da se stvaraju duplikati zapisa , manje su korisne za poslovanje . Javno nepoverenje o tome kako se informacije koriste može oštetiti ugled organizacije i dovesti do gubitka posla . Gubici podataka koji štete pojedincima mogu dovesti do potraživanja za kompenzaciju .
DPIA (Data Protection Impact Assessment Rizici usklađenosti Nepoštovanje Akta o zaštiti ličnih podataka . Nepoštovanje pravila o privatnosti i elektronskim komunikacijama Neusklađenost sa sektorskim zakonodavstvom ili standardima . Nepoštovanje zakona o ljudskim pravima .
DPIA (Data Protection Impact Assessment Organizacije treba da razviju sopstvene načine da identifikuju rizike u vezi sa privatnošću i da to uključe u svoje postojeće metodologije za upravljanje rizikom ili upravljanje projektima . Oni treba da se oslanjaju na raniji rad na opisivanju projekta i tokova informacija . To će pomoći organizacijama da zauzmu temeljit i konzistentan pristup . Organizacije mogu imati svoju vlastitu kategorizaciju ili merenje rizika . Može biti korisno proceniti rizik u smislu verovatnoće i ozbiljnost . Organizacije takođe mogu da koriste sopstvene numeričke skale da bi zabeležile rizik . Ovo može biti od pomoći , ali organizacije treba da se stite od pretjeranog fokusiranja na bodove ili korišćenja sistema nepopustljivo , u svim scenarijima .
DPIA (Data Protection Impact Assessment Opisivanje tokova informacija : Objasnite koje se informacije koriste , za što se koriste , od koga se dobijaju i kome se otkrivaju , ko će im pristupiti , i sve druge potrebne informacije Identifikovati rizike vezane za pojedince - na primer, štete prouzrokovane netačnim podacima ili povredom sigurnosti ; Identifikovati rizike vezane za organizaciju - na primer oštećenje ugleda , ili finansijski troškovi ili povreda podataka . Identifikujte i procenite rešenja za privatnost : Objasnite kako možete da adresirate svaki rizik . Odlučiti da:
- Uklonite - Smanjite , ili - Prihvatiti neki nivo rizika Potpisati i zabeležiti rezultate PIA: Izvesti PIA izveštaj kako bi se rezimirao proces i koraci preduzeti kako bi se smanjili rizici za privatnost . Takođe zabeležite odluke koje su donete kako bi se eliminisali , ublažili ili prihvatili identifikovani rizici .
- Uklonite - Smanjite , ili - Prihvatiti neki nivo rizika Potpisati i zabeležiti rezultate PIA: Izvesti PIA izveštaj kako bi se rezimirao proces i koraci preduzeti kako bi se smanjili rizici za privatnost . Takođe zabeležite odluke koje su donete kako bi se eliminisali , ublažili ili prihvatili identifikovani rizici .
DPIA (Data Protection Impact Assessment NAPOMENA : " Nivo uticaja " kao što je navedeno u ISO / IEC 29134 je sinonim za « Ozbiljnost « - Severity kao što je navedeno u GDPR. Vrste uticaja : Fizički uticaji mogu uključivati gubitak prijatnosti , disfiguraciju ili ekonomski gubitak koji se odnosi na fizički integritet . Materijalni uticaji mogu uključivati nastale gubitke ili izgubljene prihode u odnosu na imovinu pojedinca . Moralni uticaji mogu uključivati fizičku ili emocionalnu patnju , štetu ili gubitak ugodnosti . Ozbiljnost uticaja Neznatno Primeri fizičkih uticaja : Nedostatak adekvatne brige o zavisnom licu ( maloletniku , osobi pod starateljstvom , osobi pod starateljstvom ), itd .; Primeri materijalnih uticaja : Gubitak vremena u ponavljanju formalnosti ili čekanje da se ispune , prijem nepoželjne pošte ( npr . Neželjene e- poruke ), ciljano oglašavanje , itd .; Primeri moralnih uticaja : uznemirenost , iritacije , gubitak vremena u konfigurisanju podataka , nepoštovanje slobode kretanja na internetu , iritacije , itd Ograničen Značajan Maksimalan
DPIA (Data Protection Impact Assessment Odabir najprikladnije opcije tretmana rizika za privatnost podrazumieva balansiranje troškova i napora implementacije u odnosu na obavezu organizacije da zaštiti privatnost svakog pojedinca čija privatnost može biti pod uticajem organizacije . Organizacije mogu razmotriti brojne opcije za tretman rizika i primeniti ih pojedinačno ili u kombinaciji ( gde je primenjivo ). Opcije za smanjenje rizika mogu uključivati , ali nisu ograničene na : odlučivanje da ne prikuplja određena vrste podataka ; smanjenje obima obrade i količine prikupljenih podataka ; smanjenje perioda zadržavanja ; preduzimanje dodatnih tehnoloških mera sigurnosti ; preduzmu mere za sigurno uništavanje podataka kada više nisu potrebni ; politike i procedure kontrole pristupa kako bi se minimizirao pristup ličnim podacima ; obuka osoblja kako bi se osiguralo da se rizici očekuju i upravljaju ; anonimizaciju ili pseudonimizaciju podataka gde je to moguće ; pisanje internih smernica ili procesa radi izbjegavanja rizika ; korišćenjem druge tehnologije ; stavljanje jasnih sporazuma o razmeni podataka ; izmene obaveštenja o privatnosti ; pružanje prilike pojedincima da se povuku tamo gde je to potrebno ; uvođenje novih sistema koji će pomoći pojedincima da ostvare svoja prava .
PRVI KORAK: Identifikovanje potrebe za Procenom rizika Objasniti ukratko : Šta konkretni poslovni proces ima za cilj da ostvari ? Koju vrstu obrade podataka o ličnosti uključuje ? Zašto je Rukovalac identifikovao potrebu za sprovođenjem Analize rizika ? U svrhe ispunjavanja ovog koraka , nije na odmet referisati na eksterne dokumente , poput predloga projekta ili ideje o uvođenju nekog novog poslovnog procesa koji uključuje obradu podataka o ličnosti .
DRUGI KORAK: Opisati samu radnju obrade podataka o ličnosti 1 . Opis prirode obrade podataka o ličnosti : Kako se prikupljaju podaci o ličnosti ? Kako se koriste , pohranjuju i brišu podaci o ličnosti ? Ko ili šta je je izvor podataka o ličnosti ? Da li se podaci o ličnosti dele sa bilo kim ? ( kao korisna može da posluži vizuelizacija protoka podataka o ličnosti – Data Flow) Koje su vrste obrade podataka o ličnosti identifikovane kao one koje bi mogle da prouzrokuju “ visok rizik za prava i slobode fizičkih lica ”? 2. Opis obima obrade podataka o ličnosti : Koje se vrste podataka o ličnosti obrađuju i da li obrada uključuje posebne kategorije podataka o ličnosti ( član 17 ZZPL) ili podatke u vezi sa krivičnim presudama i kažnjivim delima ( član 19 ZZPL)? Koliko podataka će biti prikupljano i korišćeno ? Koliko će se često prikupljati i koristiti ? Koliko će se dugo čuvati ? Na koliko pojedinaca se ti podaci odnose ? Koja je geografska dimenzija obrade podtaka o ličnosti ?
DRUGI KORAK: Opisati samu radnju obrade podataka o ličnosti 3. Opis koji se tiče konteksta obrade podataka o ličnosti : Koji je odnos lica čiji se podaci obrađuju i Rukovaoca ? Koliki je stepen kontrole lica čiji se podaci obrađuju u odnosu na konkretnu obradu ? Da li su pojedinci upoznati sa korišćenjem njihovih podataka na način kako podrazumeva konkretni projekat ili da li takvu obradu ti pojedinci mogu da očekuju ? Da li obrada uključuje i obradu podataka o ličnosti maloletnika ili posebno osetljivih kategorija lica ? Da li postoji razlog za zabrinutost u pogledu konkretne vrste obrade ili se mogu očekivati sigurnosni propusti ? Da li je konkretna obrada nešto što je novo, što nije do sada praktikovano kod Rukovaoca ? Kakvo je trenutno stanje razvoja tehnologije u konkretnoj obradi ? Da li je Rukovalac potpisao odobreni Kodeks postupanja u skladu sa članom 59 ZZPL i/ ili je pristupio sertifikaciji u skladu sa članom 61 ZZPL ( ako j primenjivo , odnosno ako su sertifikacioni mehanizmi uspostavljeni )? 4. Opis svrhe obrade : Šta Rukovalac želi da postigne konkretnom obradom podataka o ličnosti ? Kakav je planirani efekat na pojedince – lica čiji se podaci obrađuju ? Koje su pogodnosti ( benefiti ) koje obrada donosi Rukovaocu ili uopšteno ?
TREĆI KORAK: Sprovođenje konsultacija Razmatranje i pronalaženje načina konsultacija sa relevantnim zainteresovanim stranama : Opisati kada i na koji način će se Rukovalac konsultovati sa licem čiji se podaci obrađuju ili objašnjenje zašto takav vid konsultacije nije adekvatan / moguć ? Ko će iz poslovne organizacije biti uključen u proces konsultacija ? Da li postoji potreba da u procesu konsultacija Rukovaocu pruža podršku Obrađivač ( lic koje u ime i po nalogu Rukovaoca vrši određene radnje obrade )? Da li se planiraju konsultacije sa ekspertima iz oblasti ( informacione ) bezbednosti ili drugim ekspertima ?
ČETVRTI KORAK: Procena neophodnosti i srazmernosti Ukratko opisati način usklađenosti sa odredbama ZZPL i dokumentovati srazmernost obrade , a naročito objasniti : Šta je pravni osnov obrade podataka o ličnosti ? Da li obrada podataka o ličnosti ostvaruje svrhu koju je Rukovalac odredio ? Da li postoji drugi način da se pomenuta svrha ostvari bez obrade podataka o ličnosti ili na manje invazivni način ? Kako Rukovalac planira da obezbedi tačnost podataka i ispuni načelo minimizacije podataka ? Koje informacije se daju licima čiji se podaci obrađuju ? Na koji način Rukovalac pomaže licima čiji se podaci obrađuju u ostvarivanju njihovih prava iz ZZPL? Koje mere Rukovalac preduzima da obezbedi da i njegov Obrađivač bude usaglašen sa ZZPL? Koje mere zašite Rukovalac preduzima u kontekstu prekogranične obrade podataka ( iznošenja podataka iz RS)?
PETI KORAK: Identifikacija rizika
ŠESTI KORAK: Identifikacija mera za umanjenje rizika Rizik Mere preduzete da se rizik smanji ili eliminiše Efekat mere na rizik Eliminisan Smanjen Prihvatljiv Preostali rizik Nizak Srednji Visok Odobrene mere Da/Ne Identifikovati mere koje bi trebalo preduzeti da se rizik koji je u petom koraku definisan kao srednji ili visoki smanjio ili potpuno eliminisao .
SEDMI KORAK: Dokumentovanje rezultata i odjava Tačka Datum/vreme Beleške Mere odobrene od strane: Integrisati aktivnosti u plan projekta/procesa, sa datumom i odgovornošću za kompletiranje. Preostali rizik odobren od strane: U slučaju prihvatanja preostalog visokog rizika konsultovati Poverenika za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti Lice za zaštitu podataka o ličnosti (u smislu čl. 56-58 ZZPL - DPO) pružilo savet DA/NE DPO bi trebalo da posavetuje o usklađenosti , merama iz koraka 6, kao i o tome da li bi obrada trebalo da se nastavi Kratak opis saveta DPO Savet DPO prihvaćen ili odbijen od strane: U slučaju odbijanja saveta pojasniti razloge za odbijanje
SEDMI KORAK: Dokumentovanje rezultata i odjava Odgovori sa konsultacija pregledani od strane: Ako se odluka razlikuje od gledišta lica čiji se podaci obrađuju pojasniti razloge za takvo razlikovanje Komentari: Ova Procena rizika će biti pod nadzorom: DPO je ovlašćen da nadzire usklađenost sa ovom Procenom rizika Tačka Datum/vreme Beleške
Tags
Categories
TechnologyDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 28
- Slides 23
- Age 93 days
Related Slideshows
11
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx
JeroenErne2
82 views
10
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx
JeroenErne2
77 views
13
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx
JeroenErne2
74 views
11
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx
JeroenErne2
59 views
21
Know for Certain
DaveSinNM
33 views
17
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx
novasedanayoga46
37 views