Ines i Marko Krečak, bračni par, voditelji i strateški fokus Centra Feralis. Životu povezanost su proširili na poduzetništvo. U profesionalni razvoj su ugradili stručnost iz područja prava, zaštite osobnih podataka i informacijske sigurnosti, ali i komplementarna organizacijska i pravno-tehnološka znanja i vještine iz upravljanja kontinuitetom poslovnja i poslovnih procesa koja su oblikovali u javnom sektoru i korporacijama.
U nastavku našeg serijala „Jesmo li sigurni da smo sigurni?“, na pitanja urednika Alena Ostojića, odgovarali su Ines i Marko Krečak, iz Hrvatskog centra za zaštitu osobnih podataka Feralis.
Tko je Feralis?
Specijalizirano smo društvo za pružanje usluga u području zaštite osobnih podataka i privatnosti. Glavnu okosnicu čine usluge u području usklađivanja rada sa zahtjevima GDPR, usluge vanjskog službenika za zaštitu podataka i stručne edukacije.
Hrvatski centar za zaštitu osobnih podataka Feralis skr. Centar Feralis udruženje je osnovano 3.3.2018. godine kako bi djelovalo u interesu zaštite prava i sloboda ispitanika s obzirom na zaštitu njihovih osobnih podataka i okupljalo stručnjake u tom području.
Feralis čine renomirani stručnjaci u zemlji i inozemstvu a visoka stručnost i profesionalnost potvrđena je i statusom predstavnika Hrvatske u Europskoj federaciji službenika za zaštitu podataka – EFDPO kao i angažmanima u području zaštite osobnih podataka na projektima od nacionalnog interesa kao što su e-Građani, Andrija Digitalni Asistent (AI) i Detektivska iskaznica te više od 500 zadovoljnih korisnika usluga. Naša redovna suradnja sa COTRUGLI Business School i Veleučilištem u Rijeci osigurava profesionalnu edukaciju te program cjeloživotne edukaciju službenika za zaštitu podataka.
Koje su temeljne usluge koje nudite na tržištu?
Dvije su temeljne usluge koje nudimo. Prva je funkcija službenika za zaštitu podataka, a druga, usklađivanju poslovanja u skladu s GDPR-om.
Kada govorimo o GDPR usklađivanju onda moramo istaknuti da je Feralis u procesu prilagodbe poslovanja sa zahtjevima GDPR, razvio cjeloviti program usklađivanja, koje su dostupni i kao pojedinačni moduli po izboru. Osnovno usklađivanje rada sa zahtjevima GDPR predstavlja inicijalno uređenje organizacijskih mjera zaštite.
Primjer dokumentiranosti jednostavnog usklađivanja s GDPR:
• Identifikacija i analiza poslovnih procesa u kojima se podaci prikupljaju i obrađuju
• Organizacijske mjere zaštite:
– priprema potrebnih prijedloga politika, internih pravilnika, procedura i drugo
• Evidencija aktivnosti obrade:
– ustrojavanje
• Izvršitelji obrade:
– savjetovanje
– utvrđivanje izvršitelja obrade
– priprema prijedloga ugovora o zaštiti osobnih podataka temeljem standardnih ugovornih klauzula za izvršitelje
– ustrojavanje evidencije o voditeljima obrade za izvršitelje
• Radni odnosi
– obveza na povjerljivost obrade
– obavijesti o obradi osobnih podataka
– objava natječaja i prikupljanje životopisa, regulacija
– praćenje zaposlenika (internet, GPS ili drugo), regulacija
– biometrijski podaci, regulacija
• Osobnih podaci klijenata/članova/kupaca ili drugo
– regulacija prikupljanja i obrade
– provođenje potrebnih testova i dokumentiranost
– regulacija pružanja obavijesti o obradi
– uspostava evidencije aktivnosti obrade za obrade koje se vrše
• Web stranica
– priprema prijedloga Politike privatnosti web stranice
– priprema prijedloga Politike kolačića
– utvrđivanje koji se sve kolačići prikupljanju, izvještaj
• Marketing
– obrada osobnih podataka putem različitih kanala marketinga, uređenje
– prikupljanje osobnih podataka koji se obrađuju u marketinške svrhe, regulacija
– provođenje svih potrebnih testova razmjernosti
– priprema svih potrebnih obavijesti o obradi (dva sloja, QR code)
– uspostava evidencija obrada aktivnosti obrade za obrade koje se vrše
– stručno savjetovanje
• Videonadzor
– prijedlog politike videonadzora
– provođenje testa razmjernosti
– odluka o uvođenju videonadzora
– obavijest za zaposlenike sukladno članku 13. GDPR o provođenju videonadzora
– obavijest o obradi osobnih podataka putem videonadzora u 2 sloja za ispitanike
– priprema naljepnice o obavijesti o vršenju videonadzora za tisak
– ustrojavanje evidencije prigovora
– evidencija aktivnosti obrade putem sustava videonadzora
• Stručno savjetovanje
• Osnovna edukacija zaposlenika ili imenovanog službenika za zaštitu podataka
Kod funkcije službenika za zaštitu podataka potrebno je istaknuti da službenik za zaštitu podataka (DPO) predstavlja GDPR obvezu za mnoga poslovanja ali i nužnost za svaku organizaciju kojoj je važno osiguranje vlastitog poslovanja od mogućih kazni i naknada šteta u području zaštite osobnih podataka.
DPO je nova funkcija koja zahtjeva specijalizirana pravno-tehnološka znanja i vještine s posebnim naglaskom na razumijevanje poslovnih ciljeva. Istodobno je i veliki izazov svim organizacijama s obzirom na ulogu koju imenovana osoba ima u organizaciji a uzimajući u obzir činjenicu da osoba treba imati posebna znanja i iskustvo u radu kako bi mogla odgovoriti na postavljene zahtjeve.
Zbog potrebne širine znanja o zaštiti podataka koje nadilazi samo poznavanje Opće uredbe (GDPR), primjenjivih smjernica i mišljenja i iskustva u radu, teško je kvalitetno sve zahtjeve kvalitetnog DPO-a objediniti u jednoj osobi. Funkciju službenika za zaštitu podataka Feralis vrše profesionalni službenici za zaštitu podataka proširenu uslugama iz područja informacijske sigurnosti (CISO) i upravljanja kontinuitetom poslovanja u krizi (BCM) uz redovno praćenje i podršku odvjetnika specijaliziranog za zaštitu podataka te stručnjaka za veći broj ISO normi.
Prije dvije godine sa Veleučilištem u Rijeci pokrenuli ste program cjeloživotnog obrazovanja službenika za zaštitu podataka. Zašto ovaj program? Kome je program namijenjen i koliko traje?
Riječ je o prvom programu cjeloživotnog obrazovanja službenika za zaštitu podataka koji uključuje znanje i praksu profesionalnih službenika za zaštitu podatka RH predstavnika u Europskoj federaciji službenika za zaštitu podataka, članova istaknutijih europskih i svjetskih organizacija za privatnost (EADPP, IAPP) i priprema polaznike za praktičnu primjenu znanja u praksi. Program cjeloživotnog obrazovanja Edukacija službenika za zaštitu podataka izvodi se kao program usavršavanja raspoređen na teorijski I pratični dio nastave. Cilj programa je postizanje potrebne razine razumijevanja i usvajanja činjeničnog i teorijskog znanja iz područja zaštite osobnih podataka, kako bi polaznik stekao sposobnost i praktične vještine u samostalnom obavljanju funkcije službenika za zaštitu podataka.
Polaznici osim teorteskog znanja stječu znanja o praktičnoj primjeni Opće uredbe (GDPR) u praksi kao što je:
- ustrojavanje evidencije obrade osobnih podataka,
- pripremanje obavijesti o obradi osobnih podataka te kada istu i na koji način pružati
- postupak utvrđivanja legitimnog interes
- provoditi test razmjernosti,
- postupak procjene učinka na zaštitu podataka
- uskladiti radne odnose sa zahtjevima GDPR
- uskladiti marketinške aktivnosti u skladu s GDPR
- uskladiti videonadzor i biometrijske obrade u skladu s GDPR
- uskladiti web stranicu u skadu s GDPR i drugo.
Program u trajanju 15 nastavnih sati, namijenjen je imenovanim službenicima za zaštitu podataka i stručnjacima koji vode brigu o provedbi GDPR u poslovanju.
Peti forum urbane sigurnosti u organizaciji Hrvatske udruge menadžera sigurnosti, a održan u okviru Hrvatskih dana sigurnosti 2023 i pod visokim pokroviteljstvom Vlade Republike Hrvatske, bavio se primarno temom „Video nadzora javnih površina“. Na Forumu se govorilo i o obvezama gradova i općina koji razvijaju sustav video nadzora javnih površina naspram GDPR-u, iznijeli ste zanimljive primjere iz prakse i primjene pravnih regulativa
Kod video nadzora javnih površina iznimno je važno govoriti o kontroli pristupa i tko ima pravo pristupa video zapisima. Pristup video zapisima mora biti strogo ograničen i mora biti propisan. Važno je urediti način pristupa video zapisima kao i utvrditi rokove pohrane. Opravdanost rokova pohrane mora biti popraćena određenom dokumentacijom koja će imati podlogu zašto je taj rok utvrđen. Nekad je za kontrolu incidenta dovoljno 24 sata, dok je kod pohrane video zapisa javnih površina utvrđen minimalni rok od 168 sati. Važno je istaknuti da je bitan element uređivanje odnosa sa izvršiteljima obrade. Izvršitelji obrade su oni poslovni subjekti koji za gradove i općine provode video nadzor. Sa njima, osim što treba imati matični ugovor treba imati uređeno pitanje zaštite osobnih podataka.
Zvuči nevjerojatno, ali jedan od najčešćih propusta koje možemo vidjeti jest oznaka za videonadzor koja sadrži samo elemente propisane Zakonom o provedbi Opće uredbe: oznaku da je prostor pod videonadzorom, podatke o voditelju obrade, podatke za kontakt putem kojih ispitanik može ostvariti svoja prava.
Pisanu obavijest da se prostor štiti video nadzorom jedinica lokalne samouprave dužna je istaknuti na vidnom mjestu na javnoj površini, tako d aje mogu vidjeti osobe koje ulaze na štićeni prostor javne površine iz svih smjerova.
Obavijest mora udovoljavati odredbama Zakona o provedbi Opće uredbe i odredbama GDPR-a.
Međutim, kada bi se sve potrebne informacije pružale na samoj obavijesti o videonadzoru došlo bi do zagušivanja informacijama te ispitanik ne bi mogao jasno razlučiti koje informacije su za njega u tom trenutku najbitnije.
Na takav način onda se ne bi se mogao ostvariti zahtjev transparentnosti kao jednim od temeljnih zahtjeva obrade, smatra Radna skupina za zaštitu podataka u Smjernicama o transparentnosti.
Stoga Europski odbor za zaštitu podataka (EDPB) u Smjernicama o videonadzoru upućuje da se potrebne informacije o obradi osobnih podataka pružaju u dva sloja. Najvažnija bi se informacija trebala prikazati na samom znaku upozorenja (prvi sloj), dok se druge obvezne pojedinosti mogu pružiti na druge načine (drugi sloj).
Nakon prošlogodišnje uspješno održane #DPOconference2022, Centar Feralis je kao HR predstavnik u Europskoj federaciji službenika za zaštitu podataka (EFDPO) u Rijeci, početkom studenog ove godine održao drugu po redu godišnju edukaciju službenika za zaštitu podataka #DPOconference2023. Što je bila tema ovogodišnje konferencije?
Tema ovogodišnje konferencije bila je GDPR & moderne tehnologije s naglaskom na primjenu AI i ChatGPT-a a aktualnost teme potvrđuje i činjenica da se ovog puta za sudjelovanje tražila stolica više. Moderne tehnologije su posebice u zadnjih nekoliko godina napravile veliki utjecaj na razvoj poslovanja. Iako je AI već duže prisutan na tržištu, pojavom ChatGPT u masovnoj primjeni i njegovom sve bržem usavršavanju gotovo svim segmentima poslovanja predstoji period velikih transformacija. Nesumnjive prednosti novih tehnologija otvaraju sasvim novi prostor rizika i utjecaja na naše osobne podatke. Baš iz tih razloga su moderne tehnologije, s posebnim fokusom na AI i Chat GPT naslovna tema ovogodišnje godišnje edukacije službenika za zaštitu podataka.
Tko su bili predavači na konferenciji?
Konferenciju je svečano otvorio Zdravko Vukić, ravnatelj Agencije za zaštitu podataka. Gospodin Vukić istaknuo je važnost uloge službenika za zaštitu podataka u organizacijama te je prisutne sudionike informirao o ključnim izazovima koje donose nove tehnologije u kontekstu privatnosti i zaštite osobnih podataka. Prisutnima je pružio dublji uvid u dinamično okruženje vezano uz očuvanje privatnosti, ističući nužnost kontinuiranog prilagođavanja organizacija novim trendovima i standardima u području zaštite podataka. U nastavku konferencije je Zlatko Petrović, pomoćnik Glavnog tajnika Povjerenika za informiranje i zaštitu osobnih podataka Srbije održao iznimno zanimljivo predavanje s holističkim pristupom o izazovima i rješenjima za sigurnost podataka u doba umjetne inteligencije. Dr.sc. Bernard Vukelić, prodekan Veleučilišta u Rijeci za međunarodnu suradnju i voditelj Centra za sigurnost informacijskih sustava CSIS@Veler održao je predavanje o utjecaju AI-ja i ChatGPT-a na radno okruženje, oslikavajući ga kroz najčešće izazove i rizike ali i preporuke kako se zaštiti, uz primjere dobre prakse. Nastavno na otvorenu temu, dr.sc. Vukelić je demonstrirao simulaciju “Krađa podataka tvrtke uz pomoć lako dostupne AI tehnologije“, a prezentirane realne situacije su itekako zaokupile pažnju u cijeloj dvorani.
Posebnu znatiželju svih sudionika je privukao intervju sa najpoznatijim hrvatskim hakerom Denisom Perišom (Darkmenom), u kojem smo razgovarali o tajnovitom svijetu hakera, suradnji sa institucijama ali i konkretnim situacijama iz vlastitog iskustva u kontekstu osobnih podataka. Uslijedio je predah uz domjenak u opuštajućoj atmosferi hotel Bonavia u kojem su se sudionici u neformalnom dijelu konferencije ostvarili nova poznanstva i buduće suradnje.
Službenik za zaštitu podataka u organiziranim tvrtkama i poslovno kompleksnim sustavima u svom djelovanju uzima u obzir širok spektar normi važećih za sektor i tržište u kojem tvrtka posluje. Upravo iz takve pozicije su, u središnjem dijelu popodnevnog programa konferencije, službenici za zaštitu podataka iz renomiranih tvrtki i različitih sektora iznosili direktna iskustva i mišljenja o utjecaju primjene modernih tehnologija u radnom okruženju, kao i utjecaju AI na zaštitu podataka. Sudionici ovogodišnjeg stručnog panela bili su stručnjaci u području zaštite osobnih podataka Marijana Jurjević – Allianz, Iva Žižak – HEP Elektra, Danijela Pedić – HPB, Mislav Džeko – JYSK, Darija Đerek-Havrlišan – Merkur te Roko Barić – Hrvatski red privatnih detektiva. Razotkrili su nam kako se suočavaju s modernim tehnologijama u svojim organizacijama te su podijelili neke od koraka koje poduzimaju kako bi takve obrade bile usklađene sa zahtjevima Opće uredbe. Nakon kraće pauze uslijedilo je stručno savjetovanje polaznika edukacije sa članovima Centra Feralis.
Koliko ste zadovoljni s konferencijom?
#DPOconference2023 nije bio samo događaj na kojem se dijelilo znanje; bila je to prilika za izgradnju novih poslovnih poznanstava i stvaranja budućih suradnji. Atmosfera cijele konferencije bila je iznimno ugodna i poticajna, a sudjelovanje svih sudionika i popunjenost dvorane do završetka su stvorili uistinu nezaboravno iskustvo. Posebno smo impresionirani svim sudionicima konferencije i što smo uspjeli zajedno stvoriti ugođaj u kojem je svatko mogao doprinijeti, učiti i obogatiti se u daljnjem radu.
Osmislili ste program „Feralisova šapa“. O čemu je riječ?
Kao veliki ljubitelji pasa Centar Feralis pokrenuo je program Feralisova šapa te za sve azile i društva za zaštitu životinja koja aktivno djeluju u zbrinjavanju i pomoći napuštenih i zlostavljanih životinja BESPLATNO pruža pomoć pri usklađivanju rada s GDPR dok veterinarskim stanicama omogućava usklađivanje u paušalnom iznosu obračunatom samo za materijalne i organizacijske troškove.
Razgovarao: Alen Ostojić Foto: feralis.hr
Objavljeni sadržaj serijala Jesmo li sigurni da smo sigurni?, sufinanciran je sredstvima Fonda za poticanje pluralizma i raznovrsnosti elektroničkih medija.
