Kako odabrati pravu edukaciju Službenika za zaštitu osobnih podataka?

Kako odabrati pravu edukaciju Službenika za zaštitu osobnih podataka?
Dražen Tomić / Tomich Productions

Visoke kazne i Uredba koja ovoga puta vrlo jasno ukazuje na kompetencije koje DPO mora posjedovali rezultirali su sve većim brojem edukacija iz ovog područja. Gotovo svakodnevno nam pristižu upiti u kojima nas tvrtke traže da im pomognemo oko odabira edukacije. Ponuda edukacija u ovom području seže od poludnevnih do petodnevnih, a cijene od besplatnih do desetak tisuća kuna. Ni cijena ni vrijeme nisu relevantni pokazatelji kvalitete, a pogotovo to nije certifikat izdan od tvrtke koja izdaje certifikate za sve i svašta, a nikad se nije bavila zaštitom osobnih podataka, ni edukacijom u tom području.

Što točno DPO radi?

DPO se imenuje na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39 Opće uredbe o zaštiti osobnih podataka. DPO treba predstavljati centar kompetencija zaštite osobnih podataka u organizaciji. Kako bi bolje razumjeli kojim to znanjima i vještinama treba raspolagati, prvo moramo dobro razumjeti što to DPO točno radi. DPO

  • Nadzire usklađenost s Uredbom:
  • prikuplja informacije o aktivnostima obrada,
  • analizira i provjerava pravnu usklađenost obrada, te
  • informira, savjetuje i izdaje preporuke voditelju i izvršitelju obrada
  • Uključen je u procjenu učinka zaštite osobnih podataka (DPIA) pružanjem savjeta:
  • treba li ili ne provoditi DPIA,
  • kakvu metodologiju primjenjivati u provedbi DPIA
  • može li se DPIA provoditi interno ili je treba eksternalizirati
  • kakve sigurnosne kontrole (tehničke i organizacijske) treba uspostaviti za umanjivanje rizika od povrede prava i interesa ispitanika,
  • ocjenjivanje usklađenosti provedene DPIA i njenih zaključaka (treba li ili ne pokrenuti obradu i kako je osigurati) za GDPR zahtjevima.
  • Pristup aktivnostima zaštite osobnih podataka temelji na rizicima:
  • prepoznaje i ocjenjuje i rizike, te aktivnosti prioritizira temeljem izloženosti riziku,
  • prepoznaje potrebu za selektivnim pragmatičnim pristupom rješavanju problema kada je rizik visok, te zna kako takav pristup primijeniti,
  • identificira područja na kojima je potrebno provesti prioritetne provjere sigurnosti,
  • uočava potrebu za edukacijama djelatnika odgovornih za obradu osobnih podataka, te
  • identificira obrade na čiju je zaštitu potrebno obratiti posebnu pažnju.

Vatreno krštenje

Pored svakodnevnih zadaća, tijekom postupka usklađivanja DPO će biti intenzivno uključen u sve aktivnosti projektnog tima, a vrlo će mu vjerojatno pripasti i zadatak voditi taj tim, kao i cijeli postupak usklađivanja. DPO će dakle trebati i znanja iz upravljanja projektima, i to ozbiljna. Prvi dani na novoj funkciji bit će sve, samo ne lagodni. Bit će to pravo vatreno krštenje koje će potrajati mjesecima, ako ne i godinama. Toliko će vremena proći dok posao DPO-a ne zapadne u svakodnevnu kolotečinu. Novi će DPO u pravilu bez prethodnog iskustva upravljati kompleksnim projektom usklađivanja s Uredbom.

Loše dizajniran proces može organizaciju koštati milijune, isto kao i nepotrebno kupljena tehnička rješenja ili loše dizajnirana zaštita osobnih podataka. Kompetentan i sposoban DPO čini razliku između uspješnog i neuspješnog projekta, razliku između učinkovite ili trome organizacije, razliku između nepotrebnog troška i investicije u budućnost. Kompetentan i sposoban DPO čini razliku između imidža organizacije koja brine o svojim klijentima i one koja ih zanemaruje. Na kraju krajeva, o DPO-u najviše ovisi kolika će biti izloženost organizacije kažnjavanju.

U Hrvatskoj ne postoji “Certificirani DPO“

Temeljem članka 83, stavak 4(a), organizacija može biti kažnjena ako nije imenovala DPO-a sa znanjima i vještinama potrebnim za obavljanje povjerenih mu zadaća. Ozbiljnost ovog prekršaja, a posljedično i visinu kazne određuje nadzorno tijelo. AZOP se do sada nije izjasnio o primjerenosti ni jednog DPO certifikata, kako stranog, tako ni domaćeg.

Ako će se ikada postaviti pitanje adekvatnosti imenovanog DPO-a, nadzorno će se tijelo sasvim sigurno primarno rukovoditi propustima do kojih je došlo radi neprimjerenih kompetencija i lošeg obavljanja zadaća, a ne certifikatom kojega DPO posjeduje ili ne posjeduje.

Jedni pravi pristup imenovanju DPO-a, jest imenovati sposobnu, kompetentnu i motiviranu osobu koja će se pobrinuti da do prekršaja nikad ne dođe.

Što je adekvatna edukacija i gdje je naći?

Ne postoji idealna DPO edukacija. DPO za obavljanje svojih zadaća mora imati predznanje iz područja prava, informacijskih sustava i razumijevanje obrada koje se u njegovoj organizaciji provode ili ona njima upravlja. Mora biti proaktivna i motivirana osoba sposobna upravljati rizikom, uspostavljati procese i pronalaziti pragmatična rješenja. Kandidati za DPO funkciju mogu na temelju svog predznanja odrediti koja im znanja nedostaju i odabrati edukaciju upravo iz tih područja. Tražite li all-in-one edukaciju, pogledajte još jednom na početku ovog teksta što sve DPO treba raditi i zapitajte se:

  • Pruža li ova edukacija znanja koja mi nedostaju za obavljanje poslova DPO?
  • Koliko predavači imaju stvarnog iskustva u GDPR projektima i zaštiti osobnih podataka?
  • Koliko praktičnih vježbi uključuje edukacija?

Edukacija iz poznavanja Uredbe je besplatna. Drži je Agencija sa zaštitu osobnih podataka. Više informacija o terminima i lokacijama možete naći na www.azop.hr ili zatražiti slanjem upita na azop@azop.hr. AZOP vas neće naučiti kako ćete odredbe Uredbe primijeniti na svoju organizaciju. Ovakva znanja možete dobiti samo od vrlo iskusnih stručnjaka koji pored odličnog poznavanja Uredbe, imaju i veliko iskustvo u vođenju i radu na projektima usklađivanja sa GDPR-om iz svih domena: pravne, organizacijske, IT i sigurnosne. Generalno pravilo kojeg se možete držati jest da dobru cjelovitu edukaciju u pravilu ne može održati jedan predavač. Tražite edukaciju u kojoj ćete o pravnim pitanjima raspravljati s pravnikom koji to svakodnevno radi na projektima usklađivanja sa svojim klijentima, o organizacijskim pitanjima razgovarat ćete s iskusnim voditeljem GDPR projekata - arhitektom organizacijskih struktura za upravljanje zaštitom osobnih podataka, o informacijskim sustavima, tehničkim rješenjima i sigurnosti podataka razgovarat ćete sa stručnjakom za informacijsku sigurnost.

Pročitajte životopise predavača i zamolite ih popis referenci. Ne zaboravite, vaš će prvi posao kao DPO-a biti vođenje skupog projekta s velikim utjecajem na organizaciju i vrlo kratkim rokovima.

 

 

Preuzmi vodič za odabir edukacije.