Kako odabrati pravu edukaciju Službenika za zaštitu osobnih podataka?

Kako odabrati pravu edukaciju Službenika za zaštitu osobnih podataka?

Foto: Dražen Tomić / Tomich Productions

Visoke kazne i Uredba koja ovoga puta vrlo jasno ukazuje na kompetencije koje DPO mora posjedovali rezultirali su sve većim brojem edukacija iz ovog područja. Gotovo svakodnevno nam pristižu upiti u kojima nas tvrtke traže da im pomognemo oko odabira edukacije. Ponuda edukacija u ovom području seže od poludnevnih do petodnevnih, a cijene od besplatnih do desetak tisuća kuna. Ni cijena ni vrijeme nisu relevantni pokazatelji kvalitete, a pogotovo to nije certifikat izdan od tvrtke koja izdaje certifikate za sve i svašta, a nikad se nije bavila zaštitom osobnih podataka, ni edukacijom u tom području.

Što točno DPO radi?

DPO se imenuje na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39 Opće uredbe o zaštiti osobnih podataka. DPO treba predstavljati centar kompetencija zaštite osobnih podataka u organizaciji. Kako bi bolje razumjeli kojim to znanjima i vještinama treba raspolagati, prvo moramo dobro razumjeti što to DPO točno radi. DPO

  • Nadzire usklađenost s Uredbom:
  • prikuplja informacije o aktivnostima obrada,
  • analizira i provjerava pravnu usklađenost obrada, te
  • informira, savjetuje i izdaje preporuke voditelju i izvršitelju obrada
  • Uključen je u procjenu učinka zaštite osobnih podataka (DPIA) pružanjem savjeta:
  • treba li ili ne provoditi DPIA,
  • kakvu metodologiju primjenjivati u provedbi DPIA
  • može li se DPIA provoditi interno ili je treba eksternalizirati
  • kakve sigurnosne kontrole (tehničke i organizacijske) treba uspostaviti za umanjivanje rizika od povrede prava i interesa ispitanika,
  • ocjenjivanje usklađenosti provedene DPIA i njenih zaključaka (treba li ili ne pokrenuti obradu i kako je osigurati) za GDPR zahtjevima.
  • Pristup aktivnostima zaštite osobnih podataka temelji na rizicima:
  • prepoznaje i ocjenjuje i rizike, te aktivnosti prioritizira temeljem izloženosti riziku,
  • prepoznaje potrebu za selektivnim pragmatičnim pristupom rješavanju problema kada je rizik visok, te zna kako takav pristup primijeniti,
  • identificira područja na kojima je potrebno provesti prioritetne provjere sigurnosti,
  • uočava potrebu za edukacijama djelatnika odgovornih za obradu osobnih podataka, te
  • identificira obrade na čiju je zaštitu potrebno obratiti posebnu pažnju.

Vatreno krštenje

Pored svakodnevnih zadaća, tijekom postupka usklađivanja DPO će biti intenzivno uključen u sve aktivnosti projektnog tima, a vrlo će mu vjerojatno pripasti i zadatak voditi taj tim, kao i cijeli postupak usklađivanja. DPO će dakle trebati i znanja iz upravljanja projektima, i to ozbiljna. Prvi dani na novoj funkciji bit će sve, samo ne lagodni. Bit će to pravo vatreno krštenje koje će potrajati mjesecima, ako ne i godinama. Toliko će vremena proći dok posao DPO-a ne zapadne u svakodnevnu kolotečinu. Novi će DPO u pravilu bez prethodnog iskustva upravljati kompleksnim projektom usklađivanja s Uredbom.

Loše dizajniran proces može organizaciju koštati milijune, isto kao i nepotrebno kupljena tehnička rješenja ili loše dizajnirana zaštita osobnih podataka. Kompetentan i sposoban DPO čini razliku između uspješnog i neuspješnog projekta, razliku između učinkovite ili trome organizacije, razliku između nepotrebnog troška i investicije u budućnost. Kompetentan i sposoban DPO čini razliku između imidža organizacije koja brine o svojim klijentima i one koja ih zanemaruje. Na kraju krajeva, o DPO-u najviše ovisi kolika će biti izloženost organizacije kažnjavanju.

U Hrvatskoj ne postoji ”Certificirani DPO”

Temeljem članka 83, stavak 4(a), organizacija može biti kažnjena ako nije imenovala DPO-a sa znanjima i vještinama potrebnim za obavljanje povjerenih mu zadaća. Ozbiljnost ovog prekršaja, a posljedično i visinu kazne određuje nadzorno tijelo. AZOP se do sada nije izjasnio o primjerenosti ni jednog DPO certifikata, kako stranog, tako ni domaćeg.

Ako će se ikada postaviti pitanje adekvatnosti imenovanog DPO-a, nadzorno će se tijelo sasvim sigurno primarno rukovoditi propustima do kojih je došlo radi neprimjerenih kompetencija i lošeg obavljanja zadaća, a ne certifikatom kojega DPO posjeduje ili ne posjeduje.

Jedni pravi pristup imenovanju DPO-a, jest imenovati sposobnu, kompetentnu i motiviranu osobu koja će se pobrinuti da do prekršaja nikad ne dođe.

Što je adekvatna edukacija i gdje je naći?

Ne postoji idealna DPO edukacija. DPO za obavljanje svojih zadaća mora imati predznanje iz područja prava, informacijskih sustava i razumijevanje obrada koje se u njegovoj organizaciji provode ili ona njima upravlja. Mora biti proaktivna i motivirana osoba sposobna upravljati rizikom, uspostavljati procese i pronalaziti pragmatična rješenja. Kandidati za DPO funkciju mogu na temelju svog predznanja odrediti koja im znanja nedostaju i odabrati edukaciju upravo iz tih područja. Tražite li all-in-one edukaciju, pogledajte još jednom na početku ovog teksta što sve DPO treba raditi i zapitajte se:

  • Pruža li ova edukacija znanja koja mi nedostaju za obavljanje poslova DPO?
  • Koliko predavači imaju stvarnog iskustva u GDPR projektima i zaštiti osobnih podataka?
  • Koliko praktičnih vježbi uključuje edukacija?

Edukacija iz poznavanja Uredbe je besplatna. Drži je Agencija sa zaštitu osobnih podataka. Više informacija o terminima i lokacijama možete naći na www.azop.hr ili zatražiti slanjem upita na azop@azop.hr. AZOP vas neće naučiti kako ćete odredbe Uredbe primijeniti na svoju organizaciju. Ovakva znanja možete dobiti samo od vrlo iskusnih stručnjaka koji pored odličnog poznavanja Uredbe, imaju i veliko iskustvo u vođenju i radu na projektima usklađivanja sa GDPR-om iz svih domena: pravne, organizacijske, IT i sigurnosne. Generalno pravilo kojeg se možete držati jest da dobru cjelovitu edukaciju u pravilu ne može održati jedan predavač. Tražite edukaciju u kojoj ćete o pravnim pitanjima raspravljati s pravnikom koji to svakodnevno radi na projektima usklađivanja sa svojim klijentima, o organizacijskim pitanjima razgovarat ćete s iskusnim voditeljem GDPR projekata – arhitektom organizacijskih struktura za upravljanje zaštitom osobnih podataka, o informacijskim sustavima, tehničkim rješenjima i sigurnosti podataka razgovarat ćete sa stručnjakom za informacijsku sigurnost.

Pročitajte životopise predavača i zamolite ih popis referenci. Ne zaboravite, vaš će prvi posao kao DPO-a biti vođenje skupog projekta s velikim utjecajem na organizaciju i vrlo kratkim rokovima.

 

 

Preuzmi vodič za odabir edukacije.

Još iz kategorije

Proširena stvarnost nije trik, nego spas za budućnost lokalne maloprodaje

Proširena stvarnost nije trik, nego spas za budućnost lokalne maloprodaje

14.12.2017. komentiraj

Proširena stvarnost (AR) pokazala je svoje mogućnosti kroz igru Pokemon Gó i potvrdila da je veći hit no virtualna stvarnost (VR), što treba zahvaliti činjenici da ne stvara kompletan svijet oko nas već jednostavno implementira određene detalje unutar onoga što uistinu jest oko nas. I zato je ta tehnologija revolucionarna za maloprodaju.

Tehnologiju treba prigrliti i iskoristiti za napredak, a ne joj se protiviti

Tehnologiju treba prigrliti i iskoristiti za napredak, a ne joj se protiviti

12.12.2017. komentiraj

Tehnologiju treba prigrliti, a ne joj se protiviti ili smatrati besmislenom. Na teži način to su se uvjerili brojni poslodavci i zaposleni, koji su uz nedostatak edukacije ostali korak ili više njih iza svih promjena koje su se zbile posljednjih deset ili više godina. Bilo ih je mnogo, trebalo se informirati, educirati i pratiti zbivanja... I nije gotovo!

INOVACIJA …  „Flipped Classroom“ – Case Study

INOVACIJA … „Flipped Classroom“ – Case Study

11.12.2017. komentiraj

U prethodne dvije kolumne prikazao sam generalni „landscape“ primjene ove napredne metode poduke u svijetu i Hrvatskoj. Najkraći optimistički zaključak je: Potencijal primjene Flipped Classroom (FC) u Hrvatskoj je golem! Zaključak je takav zato što nije nađeno da se metoda primjenjuje igdje službeno/redovno. Ta konstatacija vrijedi  za sva predavanja u jednom predmetu, bilo u osnovnim i srednjim školama, bilo na fakultetima/visokim školama.