AZOP: Nema certificiranog DPO-a!

U priopćenju koje je 14.2.2018. Agencija za zaštitu osobnih podataka uputila članicama HUP-a, navodi se:  “Opća uredba o zaštiti podataka (GDPR) ne propisuje obvezu stjecanja/dodjeljivanja certifikata za obavljanje poslova, obveza i zadaća Službenika za zaštitu osobnih podataka (Odjeljak 4. Opće uredbe).“

AZOP u svom priopćenju naglašava i važnu ulogu edukacije riječima: “... ulaganje u usavršavanje službenika i jačanje i nadogradnju njihovih stručnih znanja itekako je potrebno,“ i nastavlja “...no kao nadležno tijelo apeliramo na cjelokupnu javnost kako je pozivanje pojedinih poslovnih subjekata koji pružaju uslugu stjecanja međunarodnih certifikata, licenci, uvjerenja i slično, u suprotnosti s odredbama Opće uredbe o zaštiti podataka.“ čime pažnju skreće na pravi problem.

ICT business opet prvi upozoravao

Pet mjeseci je prošlo od kad smo u ICT businessu prvi puta skrenuli pažnju na oprez kod odabira edukacije za Službenika za zaštitu osobnih podataka (DPO), a devet od kada smo o tome pisali u našoj Velikoj školi GDPR-a. U to doba se Hrvatska tek počela zagrijavati za GDPR, ali već su se tada počeli nuditi seminari za certificirane DPO-ove i izdavati certifikati za koje se neupućenim organizacijama sugeriralo da su obavezni. U pravilu se radilo o edukacijama u trajanju od nekoliko dana na kraju kojih bi ili jednostavno dobili “Cerified DPO“ certifikat ili polagali ispit na kojem nikada nitko nije pao i tek onda dobili ovaj bezvrijedni komad papira. “Predavači“ u pravilu ili nisu imali nikakvog prethodnog iskustva u zaštiti osobnih podataka ili su imali ograničeno iskustvo u samo jednoj domeni (obično pravu ili zaštiti podataka).

Sam “certifikat“ bi izdavala (uglavnom strana) certifikacijska kuća sumnjive prošlosti (barem u zaštiti osobnih podataka).

Čemu služi lažni DPO certifikat?

Uskoro su se ovakvi certifikati počeli tražiti kako dokazi sposobnosti ponuditelja u natječajima za odabir dobavljača savjetodavnih usluga u usklađivanju sa GDPR uredbom. Imali smo priliku svjedočiti natječajima u kojima su zaštitu osobnih podataka u nekim od najosjetljivijih IT sustava RH mogli dizajnirati konzultanti bez i jedne jedine reference u usklađivanju sa GDPR-om, a pravne savjete davati osobe koje niti su pravnici, niti imaju iskustva u ovoj vrlo specifičnoj grani prava. Jedini traženi dokaz sposobnosti koji ima bilo kakve veze sa GDPR-om bila je potvrda o završenom četverodnevnom tečaju. Valjda je iluzorno očekivati da bi o zaštiti podataka nešto trebao znati stručnjak za IT, a o primjeni Uredbe EU pravnik?!

Ne treba ovdje kriviti “nas Hrvate“ i naš način razmišljanja. Poplava DPO certifikata puno je šira od Hrvatske.

Ali DPO certifikat ipak trebamo

Kako i sam AZOP navodi, kriteriji za imenovanje DPO-a definirani su Uredbom. Ali  AZOP je u svom priopćenju ispustio da se organizacija i njena uprava izlažu vrlo visokom riziku uspostavi li se da nisu imenovale adekvatnog DPO-a. Izlaganje enormno visokim kaznama do 20 milijuna eura ili 4% ukupnog godišnjeg prometa za kršenje uredbe mudrom odabiru DPO-a daje jednu sasvim novu dimenziju. Dobar DPO u pravilu znači manji rizik od narušavanja sigurnosti osobnih podataka i manja potencijalna kazna. Kako će uprava prepoznati dobrog DPO-a? Po edukaciji, životopisu, preporukama i ... certifikatu. Ne onom certifikatu za čije stjecanje treba odslušati trodnevni seminar. Za dobar certifikat treba skupiti puno znanja i iskustva. U području informacijske sigurnosti je potpuno normalno da se stručnjaci za polaganje CISSP, CISA i sličnih ispita nakon završenog fakulteta i više godina radnog iskustva, pripremaju 6 do 9 mjeseci. U području zaštite osobnih podataka, CIPP/E se trenutno čini najzahtjevnijim međunarodnim certifikatom. Kombinacija IT ili pravnog fakulteta, MBA, CISSP ili CISM i CIPP/E certifikata trebali bi biti odlično uvjerenje da će kandidat za radno mjesto DPO-a biti dobar. Koliko je takvih u Hrvatskoj? Ni jedan?