Kako odabrati pravu edukaciju Službenika za zaštitu osobnih podataka?

Kako odabrati pravu edukaciju Službenika za zaštitu osobnih podataka?

Foto: Dražen Tomić / Tomich Productions

Visoke kazne i Uredba koja ovoga puta vrlo jasno ukazuje na kompetencije koje DPO mora posjedovali rezultirali su sve većim brojem edukacija iz ovog područja. Gotovo svakodnevno nam pristižu upiti u kojima nas tvrtke traže da im pomognemo oko odabira edukacije. Ponuda edukacija u ovom području seže od poludnevnih do petodnevnih, a cijene od besplatnih do desetak tisuća kuna. Ni cijena ni vrijeme nisu relevantni pokazatelji kvalitete, a pogotovo to nije certifikat izdan od tvrtke koja izdaje certifikate za sve i svašta, a nikad se nije bavila zaštitom osobnih podataka, ni edukacijom u tom području.

Što točno DPO radi?

DPO se imenuje na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39 Opće uredbe o zaštiti osobnih podataka. DPO treba predstavljati centar kompetencija zaštite osobnih podataka u organizaciji. Kako bi bolje razumjeli kojim to znanjima i vještinama treba raspolagati, prvo moramo dobro razumjeti što to DPO točno radi. DPO

  • Nadzire usklađenost s Uredbom:
  • prikuplja informacije o aktivnostima obrada,
  • analizira i provjerava pravnu usklađenost obrada, te
  • informira, savjetuje i izdaje preporuke voditelju i izvršitelju obrada
  • Uključen je u procjenu učinka zaštite osobnih podataka (DPIA) pružanjem savjeta:
  • treba li ili ne provoditi DPIA,
  • kakvu metodologiju primjenjivati u provedbi DPIA
  • može li se DPIA provoditi interno ili je treba eksternalizirati
  • kakve sigurnosne kontrole (tehničke i organizacijske) treba uspostaviti za umanjivanje rizika od povrede prava i interesa ispitanika,
  • ocjenjivanje usklađenosti provedene DPIA i njenih zaključaka (treba li ili ne pokrenuti obradu i kako je osigurati) za GDPR zahtjevima.
  • Pristup aktivnostima zaštite osobnih podataka temelji na rizicima:
  • prepoznaje i ocjenjuje i rizike, te aktivnosti prioritizira temeljem izloženosti riziku,
  • prepoznaje potrebu za selektivnim pragmatičnim pristupom rješavanju problema kada je rizik visok, te zna kako takav pristup primijeniti,
  • identificira područja na kojima je potrebno provesti prioritetne provjere sigurnosti,
  • uočava potrebu za edukacijama djelatnika odgovornih za obradu osobnih podataka, te
  • identificira obrade na čiju je zaštitu potrebno obratiti posebnu pažnju.

Vatreno krštenje

Pored svakodnevnih zadaća, tijekom postupka usklađivanja DPO će biti intenzivno uključen u sve aktivnosti projektnog tima, a vrlo će mu vjerojatno pripasti i zadatak voditi taj tim, kao i cijeli postupak usklađivanja. DPO će dakle trebati i znanja iz upravljanja projektima, i to ozbiljna. Prvi dani na novoj funkciji bit će sve, samo ne lagodni. Bit će to pravo vatreno krštenje koje će potrajati mjesecima, ako ne i godinama. Toliko će vremena proći dok posao DPO-a ne zapadne u svakodnevnu kolotečinu. Novi će DPO u pravilu bez prethodnog iskustva upravljati kompleksnim projektom usklađivanja s Uredbom.

Loše dizajniran proces može organizaciju koštati milijune, isto kao i nepotrebno kupljena tehnička rješenja ili loše dizajnirana zaštita osobnih podataka. Kompetentan i sposoban DPO čini razliku između uspješnog i neuspješnog projekta, razliku između učinkovite ili trome organizacije, razliku između nepotrebnog troška i investicije u budućnost. Kompetentan i sposoban DPO čini razliku između imidža organizacije koja brine o svojim klijentima i one koja ih zanemaruje. Na kraju krajeva, o DPO-u najviše ovisi kolika će biti izloženost organizacije kažnjavanju.

U Hrvatskoj ne postoji ”Certificirani DPO”

Temeljem članka 83, stavak 4(a), organizacija može biti kažnjena ako nije imenovala DPO-a sa znanjima i vještinama potrebnim za obavljanje povjerenih mu zadaća. Ozbiljnost ovog prekršaja, a posljedično i visinu kazne određuje nadzorno tijelo. AZOP se do sada nije izjasnio o primjerenosti ni jednog DPO certifikata, kako stranog, tako ni domaćeg.

Ako će se ikada postaviti pitanje adekvatnosti imenovanog DPO-a, nadzorno će se tijelo sasvim sigurno primarno rukovoditi propustima do kojih je došlo radi neprimjerenih kompetencija i lošeg obavljanja zadaća, a ne certifikatom kojega DPO posjeduje ili ne posjeduje.

Jedni pravi pristup imenovanju DPO-a, jest imenovati sposobnu, kompetentnu i motiviranu osobu koja će se pobrinuti da do prekršaja nikad ne dođe.

Što je adekvatna edukacija i gdje je naći?

Ne postoji idealna DPO edukacija. DPO za obavljanje svojih zadaća mora imati predznanje iz područja prava, informacijskih sustava i razumijevanje obrada koje se u njegovoj organizaciji provode ili ona njima upravlja. Mora biti proaktivna i motivirana osoba sposobna upravljati rizikom, uspostavljati procese i pronalaziti pragmatična rješenja. Kandidati za DPO funkciju mogu na temelju svog predznanja odrediti koja im znanja nedostaju i odabrati edukaciju upravo iz tih područja. Tražite li all-in-one edukaciju, pogledajte još jednom na početku ovog teksta što sve DPO treba raditi i zapitajte se:

  • Pruža li ova edukacija znanja koja mi nedostaju za obavljanje poslova DPO?
  • Koliko predavači imaju stvarnog iskustva u GDPR projektima i zaštiti osobnih podataka?
  • Koliko praktičnih vježbi uključuje edukacija?

Edukacija iz poznavanja Uredbe je besplatna. Drži je Agencija sa zaštitu osobnih podataka. Više informacija o terminima i lokacijama možete naći na www.azop.hr ili zatražiti slanjem upita na azop@azop.hr. AZOP vas neće naučiti kako ćete odredbe Uredbe primijeniti na svoju organizaciju. Ovakva znanja možete dobiti samo od vrlo iskusnih stručnjaka koji pored odličnog poznavanja Uredbe, imaju i veliko iskustvo u vođenju i radu na projektima usklađivanja sa GDPR-om iz svih domena: pravne, organizacijske, IT i sigurnosne. Generalno pravilo kojeg se možete držati jest da dobru cjelovitu edukaciju u pravilu ne može održati jedan predavač. Tražite edukaciju u kojoj ćete o pravnim pitanjima raspravljati s pravnikom koji to svakodnevno radi na projektima usklađivanja sa svojim klijentima, o organizacijskim pitanjima razgovarat ćete s iskusnim voditeljem GDPR projekata – arhitektom organizacijskih struktura za upravljanje zaštitom osobnih podataka, o informacijskim sustavima, tehničkim rješenjima i sigurnosti podataka razgovarat ćete sa stručnjakom za informacijsku sigurnost.

Pročitajte životopise predavača i zamolite ih popis referenci. Ne zaboravite, vaš će prvi posao kao DPO-a biti vođenje skupog projekta s velikim utjecajem na organizaciju i vrlo kratkim rokovima.

 

 

Preuzmi vodič za odabir edukacije.

Još iz kategorije

IP adresa (ni)je osobni podatak!

IP adresa (ni)je osobni podatak!

19.10.2017. komentiraj

Osobnim podacima se smatraju setovi podataka koji se odnose na točno određenu osobu čiji identitet je utvrđen ili se može utvrditi izravnim ili neizravnim putem. Kada je voditelj obrade uz razumni napor legalnim putem može nedvojbeno povezati sa konkretnom osobom, IP adresu bi trebalo smatrati osobnim podatkom. U suprotnom, IP adresa nije osobni podatak. O tome svjedoči i odluka Europskog suda pravde od 19.10.2016.

KOMENTAR: Odlični rezultati Tele2 u Hrvatskoj

KOMENTAR: Odlični rezultati Tele2 u Hrvatskoj

19.10.2017. komentiraj

Velika konkurencija na domaćem mobilnom telekom tržištu prije gotovo dvije godine natjerala je trećeg po veličini domaćeg telekom operatera Tele2 da krene s ulaganjima. Iako su jako dugo tvrdili kako neće tako skoro ulaziti u 4G odnosno neće dizati najnoviju generaciju mobilnih mreža koje donose velike brzine prijenosa podataka ipak su to učinili i početkom prošle godine pustili u pogon svoju 4G mrežu.

Može li umjetna inteligencija uzdrmati fotografski svijet?

Može li umjetna inteligencija uzdrmati fotografski svijet?

18.10.2017. komentiraj

Umjetna inteligencija (AI) bi oko 2045. godine trebala biti sposobna pisati bestelere, što znači da će se razviti do te mjere da oponaša najkrerativnije umove u ljudskoj povijesti. Naravno, sve to još uvijek je teorija, ali ako AI uistinu može biti toliko kreativna, znači li to da će moći fotografirati kao profesionalci?