A c a d e m y

Image description
Image description

Kliknite na fotografiju da se vratite

na početnu IST web stranu

INSTITUT ZA STANDARDE I TEHNOLOGIJE DOO BEOGRAD

Bulevar Mihajla Pupina 6, 11070 NOVI BEOGRAD


Data Protection Officer &

Menadžer bezbednosti informacija:

E-mail: data.protection@institutbi.info


Web site: www.instate.biz


Phones: 

+381 63 77 09389

+381 64 11 689 15

Image description

Počevši od 25. maja 2018. godine, nova Opšta uredba o zaštiti podataka (General Data Protection Regulation - GDPR) stupila je na snagu u Evropskoj Uniji.

 

Ova uredba zamenjuje Data Protection Directive i rezidentima EU daje mogućnost da sami opredele na koji način kompanije i organizacije mogu da raspolažu njihovim podacima i kako da se podaci o ličnosti upotrebljavaju prilikom pružanja raznih proizvoda i usluga.

 

Zakon o zaštiti podataka o ličnosti u Republici Srbiji nije usaglašen sa GDPR uredbom, ali se to očekuje u narednom periodu.

 

IST će, pored usklađivanja sa domicilnim zakonima nastojati da svoje poslovanje uskladi sa GDPR u najvećoj mogućoj meri i u skladu sa tim uskladi odnos prema podacima o ličnosti svih svojih korisnika, bez obzira da li su oni iz EU ili nisu, ukoliko to nije u suprotnosti sa domaćim propisima.

 

Na sledećim linkovima saznajte više o tome kako IST upravlja Vašim podacima o ličnosti i koja su Vaša prava nakon primene GDPR:

Kako se ophodimo prema Vašim podacima o ličnosti

Vaša prava u vezi sa Vašim podacima o ličnosti

Image description

Vaše GDPR obaveze

VAŠE GDPR OBAVEZE


Ukoliko vodite firmu i imate klijente iz EU, imate iste obaveze kao i IST, a i sve ostale firme, u vezi sa načinom rukovanja podacima o ličnosti Vaših klijenata.


U nastavku su dati saveti o tome šta treba imati u vidu kako bi Vaša firma poštovala uredbu General Data Protection Regulation (GDPR).

Za više informacija prijavite se za pohađanje obuke za sticanje kredencijala PECB Certified Data Protection Officer u trajanju od pet dana u prostoru IST Academy.

Da li su svi u Vašoj organizaciji upoznati sa novim pravilima EU o zaštiti podataka?
  • Potrudite se da sve zaposlene u Vašoj organizaciji upoznate sa opštim značenjem GDPR uredbe.
  • Uverite se da svi donosioci odluka i ključni ljudi znaju da GDPR menja prethodni Data Protection Directive o podacima o ličnosti i da znaju razlike između njih.
  • Istražite kako će Vaša organizacija biti pogođena i identifikujte područja na kojima treba raditi.

 

Koje podatke o ličnosti obrađujete?
Istražite i napravite listu ili mapu podataka o ličnosti koje prikupljate i obrađujete trenutno, kao i sa kim delite te podatke i zašto.

 

Da li trenutno koristite izuzetke od pravila?
Direktiva o zaštiti podataka je dozvoljavala obradu nestrukturiranih podataka o ličnosti (kao što je npr. tekst na sajtu) sve dok obrada tih podataka ne predstavlja kršenje integriteta subjekta čiji su podaci. Ovaj izuzetak je nestao primenom GDPR uredbe. Važno je sagledate kako ste se ranije bavili ovim i da izvršite promene, ukoliko je potrebno.
Koje informacije pružate kod prikupljanja podataka o ličnosti?
Prema GDPR uredbi, u obavezi ste da pružite informacije o podacima koje prikupljate, kao npr:
  • zašto prikupljate podatke?
  • koliko dugo se podaci čuvaju?
  • koju pravnu osnovu imate za prikupljanje podataka? 
Kako ćete ispuniti prava Vaših klijenata/korisnika?
Vaši klijenti/korisnici imaju prava koja morate biti u mogućnosti da ispunite prema GDPR-u.
Najvažniji delovi su da oni imaju pravo na:
  • pristup svojim podacima o ličnosti.
  • ispravku netačnih podataka o ličnosti.
  • brisanje svojih podataka o ličnosti.
  • protivljenje korišćenju podataka o ličnosti za direktni marketing.
  • protivljenje korišćenju podataka o ličnosti za automatizovano donošenje odluka i profilisanje.
  • premeštanje podataka o lličnosti (prenosivost podataka). 
Da li obrađujete lične podatke bez pravne osnove?
Istražite pravni osnov za obradu ličnih podataka i obrišite sve podatke za čiju obradu nemate pravni osnov.
GDPR Vas obavezuje da obavestite korisnike prema kojoj pravnoj osnovi prikupljate lične podatke. To takođe znači da ne možete koristiti lične podatke za bilo šta drugo van zakonske osnove koju ste naveli, a bez dobijanja saglasnosti korisnika.
To znači da čak i ako Vam kupac/korisnik da email adresu kako bi postao kupac ili napravi porudžbinu, nećete moći da šaljete promotivne materijale klijentu putem te email adrese, ukoliko to eksplicitno klijent ne odobri.
Kako dobijate saglasnost?
Istražite kako dobijate saglasnost klijenata, koje informacije pružate i kako čuvate informacije o dobijenoj saglasnosti od strane klijenata/korisnika.
Ne sme biti nikakve sumnje da je Vaš korisnik/klijent aktivno dao saglasnost za obradu podataka o ličnosti. Na primer, nije dozvoljeno koristiti “tihu” saglasnost ili unapred selektovano polje na sajtu za dobijanje saglasnosti.
Da li obrađujete lične podatke dece?
GDPR donosi jaču zaštitu podataka o ličnosti dece. Na primer, ukoliko nudite Internet servise deci, morate da dobijete saglasnost staratelja kako biste obrađivali podatke o ličnosti deteta. 
Šta ćete preduzeti u slučaju incidenata koji uključuju podatke o ličnosti?
Ukoliko ste bili izloženi krađi podataka ili ste na bilo koji drugi način izgubili kontrolu nad podacima koje obrađujete, morate u roku od 72 sata dokumentovati i prijaviti incident nadležnom organu. Kreirajte procedure i odredite ko je odgovoran za izradu takvih obaveštenja.
Da li postoje neki posebni rizici prilikom obrade podataka o ličnosti?
Ukoliko obrađujete lične podatke koji mogu dovesti do ozbiljnih rizika po privatnost, kao što je čuvanje osetljivih ličnih podataka, profilisanje ili sveobuhvatni nadzor kamerama na javnom mestu, zahtevi su visoki. Morate se konsultovati sa nadležnim organima pre nego što započnete proces obrade tih podataka.
Kako štitite podatke o ličnosti u Vašem IT okruženju?
Neki osnovni principi zaštite privatnosti su:
  • ne prikupljajte više informacija osim onih koje su neophodne.
  • ne čuvajte informacije duže nego što je neophodno.
  • ne koristite podatke u druge svrhe osim onih koje ste definisali prilikom prikupljanja.
Pridržavajući se ovih principa kod razvoja novih ili izmena postojećih IT sistema, Vašoj organizaciji/kompaniji će biti lakše da ispuni obaveze propisane GDPR uredbom.
Takođe ste obavezni da zaštitite podatke o ličnosti koristeći odgovarajuće tehničke i organizacione mere, a na osnovu osetljivosti podataka i njihove upotrebe.
Ko je odgovoran za zaštitu podataka u Vašoj organizaciji?
Odredite lice zaduženo za zaštitu podataka u Vašoj organizaciji/kompaniji.
Neke vrste organizacija moraju imati lice zaduženo za zaštitu podataka, tzv. Data Protection Officer-a. Ovo npr. važi za organizacije koje vrše obimnu obradu osetljivih ličnih podataka.
Da li poslujete u više zemalja?
Ukoliko je Vaša organizacija aktivna u nekoliko zemalja, uključujući zemlje EU, trebali biste da saznate koji organi su zaduženi za nadzor nad obradom podataka o ličnosti u svakoj od zemalja.
GDPR pravila o ovome su komplikovana, ali pojednostavljeno gledajući, nadležni organi zaduženi za zaštitu podataka se određuju na osnovu sedišta Vaše organizacije, odnosno na osnovu lokacije na kojoj se donose odluke u vezi sa obradom podataka o ličnosti.
Da li imate ugovor o obradi podataka sa onima koji podatke obrađuju u Vaše ime?
Ukoliko koristite servis ili imate partnera koji obrađuje podatke o ličnosti u Vaše ime, taj partner je u ulozi obrađivača podataka. To znači da će obrađivati podatke o ličnosti u skladu sa instrukcijama koje ste mu dali Vi kao rukovalac podataka.
U slučaju kada ste Vi rukovalac podataka i kada je IST obrađivač podataka, obrada podataka o ličnosti Vaših korisnika se reguliše posebnim Aneksom u okviru tzv. Sporazuma o obradi podataka. Ovo važi, na primer, ukoliko imate ugovoren kompletan Pentesting service, sprovođenje ISO trening kurseva, eksterni ISO audit ili IT reviziju kod IST, gde se zahtevi za izvođenje ovih servisa Vaših klijenata čuvaju i obrađuju na našim serverima, zatim za email naloge koje imate kod nas ili za podatke koje čuvate u bazama podataka smeštenim kod nas.