Kako odabrati pravu edukaciju Službenika za zaštitu osobnih podataka?

Kako odabrati pravu edukaciju Službenika za zaštitu osobnih podataka?

Foto: Dražen Tomić / Tomich Productions

Visoke kazne i Uredba koja ovoga puta vrlo jasno ukazuje na kompetencije koje DPO mora posjedovali rezultirali su sve većim brojem edukacija iz ovog područja. Gotovo svakodnevno nam pristižu upiti u kojima nas tvrtke traže da im pomognemo oko odabira edukacije. Ponuda edukacija u ovom području seže od poludnevnih do petodnevnih, a cijene od besplatnih do desetak tisuća kuna. Ni cijena ni vrijeme nisu relevantni pokazatelji kvalitete, a pogotovo to nije certifikat izdan od tvrtke koja izdaje certifikate za sve i svašta, a nikad se nije bavila zaštitom osobnih podataka, ni edukacijom u tom području.

Što točno DPO radi?

DPO se imenuje na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39 Opće uredbe o zaštiti osobnih podataka. DPO treba predstavljati centar kompetencija zaštite osobnih podataka u organizaciji. Kako bi bolje razumjeli kojim to znanjima i vještinama treba raspolagati, prvo moramo dobro razumjeti što to DPO točno radi. DPO

  • Nadzire usklađenost s Uredbom:
  • prikuplja informacije o aktivnostima obrada,
  • analizira i provjerava pravnu usklađenost obrada, te
  • informira, savjetuje i izdaje preporuke voditelju i izvršitelju obrada
  • Uključen je u procjenu učinka zaštite osobnih podataka (DPIA) pružanjem savjeta:
  • treba li ili ne provoditi DPIA,
  • kakvu metodologiju primjenjivati u provedbi DPIA
  • može li se DPIA provoditi interno ili je treba eksternalizirati
  • kakve sigurnosne kontrole (tehničke i organizacijske) treba uspostaviti za umanjivanje rizika od povrede prava i interesa ispitanika,
  • ocjenjivanje usklađenosti provedene DPIA i njenih zaključaka (treba li ili ne pokrenuti obradu i kako je osigurati) za GDPR zahtjevima.
  • Pristup aktivnostima zaštite osobnih podataka temelji na rizicima:
  • prepoznaje i ocjenjuje i rizike, te aktivnosti prioritizira temeljem izloženosti riziku,
  • prepoznaje potrebu za selektivnim pragmatičnim pristupom rješavanju problema kada je rizik visok, te zna kako takav pristup primijeniti,
  • identificira područja na kojima je potrebno provesti prioritetne provjere sigurnosti,
  • uočava potrebu za edukacijama djelatnika odgovornih za obradu osobnih podataka, te
  • identificira obrade na čiju je zaštitu potrebno obratiti posebnu pažnju.

Vatreno krštenje

Pored svakodnevnih zadaća, tijekom postupka usklađivanja DPO će biti intenzivno uključen u sve aktivnosti projektnog tima, a vrlo će mu vjerojatno pripasti i zadatak voditi taj tim, kao i cijeli postupak usklađivanja. DPO će dakle trebati i znanja iz upravljanja projektima, i to ozbiljna. Prvi dani na novoj funkciji bit će sve, samo ne lagodni. Bit će to pravo vatreno krštenje koje će potrajati mjesecima, ako ne i godinama. Toliko će vremena proći dok posao DPO-a ne zapadne u svakodnevnu kolotečinu. Novi će DPO u pravilu bez prethodnog iskustva upravljati kompleksnim projektom usklađivanja s Uredbom.

Loše dizajniran proces može organizaciju koštati milijune, isto kao i nepotrebno kupljena tehnička rješenja ili loše dizajnirana zaštita osobnih podataka. Kompetentan i sposoban DPO čini razliku između uspješnog i neuspješnog projekta, razliku između učinkovite ili trome organizacije, razliku između nepotrebnog troška i investicije u budućnost. Kompetentan i sposoban DPO čini razliku između imidža organizacije koja brine o svojim klijentima i one koja ih zanemaruje. Na kraju krajeva, o DPO-u najviše ovisi kolika će biti izloženost organizacije kažnjavanju.

U Hrvatskoj ne postoji ”Certificirani DPO”

Temeljem članka 83, stavak 4(a), organizacija može biti kažnjena ako nije imenovala DPO-a sa znanjima i vještinama potrebnim za obavljanje povjerenih mu zadaća. Ozbiljnost ovog prekršaja, a posljedično i visinu kazne određuje nadzorno tijelo. AZOP se do sada nije izjasnio o primjerenosti ni jednog DPO certifikata, kako stranog, tako ni domaćeg.

Ako će se ikada postaviti pitanje adekvatnosti imenovanog DPO-a, nadzorno će se tijelo sasvim sigurno primarno rukovoditi propustima do kojih je došlo radi neprimjerenih kompetencija i lošeg obavljanja zadaća, a ne certifikatom kojega DPO posjeduje ili ne posjeduje.

Jedni pravi pristup imenovanju DPO-a, jest imenovati sposobnu, kompetentnu i motiviranu osobu koja će se pobrinuti da do prekršaja nikad ne dođe.

Što je adekvatna edukacija i gdje je naći?

Ne postoji idealna DPO edukacija. DPO za obavljanje svojih zadaća mora imati predznanje iz područja prava, informacijskih sustava i razumijevanje obrada koje se u njegovoj organizaciji provode ili ona njima upravlja. Mora biti proaktivna i motivirana osoba sposobna upravljati rizikom, uspostavljati procese i pronalaziti pragmatična rješenja. Kandidati za DPO funkciju mogu na temelju svog predznanja odrediti koja im znanja nedostaju i odabrati edukaciju upravo iz tih područja. Tražite li all-in-one edukaciju, pogledajte još jednom na početku ovog teksta što sve DPO treba raditi i zapitajte se:

  • Pruža li ova edukacija znanja koja mi nedostaju za obavljanje poslova DPO?
  • Koliko predavači imaju stvarnog iskustva u GDPR projektima i zaštiti osobnih podataka?
  • Koliko praktičnih vježbi uključuje edukacija?

Edukacija iz poznavanja Uredbe je besplatna. Drži je Agencija sa zaštitu osobnih podataka. Više informacija o terminima i lokacijama možete naći na www.azop.hr ili zatražiti slanjem upita na azop@azop.hr. AZOP vas neće naučiti kako ćete odredbe Uredbe primijeniti na svoju organizaciju. Ovakva znanja možete dobiti samo od vrlo iskusnih stručnjaka koji pored odličnog poznavanja Uredbe, imaju i veliko iskustvo u vođenju i radu na projektima usklađivanja sa GDPR-om iz svih domena: pravne, organizacijske, IT i sigurnosne. Generalno pravilo kojeg se možete držati jest da dobru cjelovitu edukaciju u pravilu ne može održati jedan predavač. Tražite edukaciju u kojoj ćete o pravnim pitanjima raspravljati s pravnikom koji to svakodnevno radi na projektima usklađivanja sa svojim klijentima, o organizacijskim pitanjima razgovarat ćete s iskusnim voditeljem GDPR projekata – arhitektom organizacijskih struktura za upravljanje zaštitom osobnih podataka, o informacijskim sustavima, tehničkim rješenjima i sigurnosti podataka razgovarat ćete sa stručnjakom za informacijsku sigurnost.

Pročitajte životopise predavača i zamolite ih popis referenci. Ne zaboravite, vaš će prvi posao kao DPO-a biti vođenje skupog projekta s velikim utjecajem na organizaciju i vrlo kratkim rokovima.

 

 

Preuzmi vodič za odabir edukacije.

Još iz kategorije

Internet of things - uvod u NB-IoT

Internet of things - uvod u NB-IoT

22.10.2020. komentiraj

Danas, više nego ikad prije, postoji potreba za brzim i sigurnim prijenosom podataka. Sve je više elektroničkih uređaja i virtualnih sustava međusobno povezano te se konstantno razvijaju nove mogućnosti njihove međusobne interakcije. Nadzor proizvodnih postrojenja, logistika, industrijska automatizacija i razvoj ‘’smart city’’ infrastrukture samo su neka od područja u kojima je brz i pouzdan prijenos podataka od presudne važnosti. Stoga ne čudi da je ‘’internet stvari’’ (engl. Internet of things) već dugi niz godina dio AMR sustava diljem svijeta. Industrija ‘’zahtijeva’’ točne i pravovremene podatke o potrošnji, manje potrebne infrastrukture i što niže troškove održavanja.

Kako izbor oblaka prilagoditi poslovanju

Kako izbor oblaka prilagoditi poslovanju

21.10.2020. komentiraj

Razmišljanje o prebacivanju informacijskih sustava u cloud kod većine korisnika i dalje stvara nedoumice. Kolokacija, privatni oblak, javni oblak, hibridno okruženje modeli su koji stoje na raspolaganju korisnicima. Svaki od navedenih modela za korisnike ima određenih prednosti.

KOMENTAR: Rezultati pod utjecajem krize, ali i cijelo tržište

KOMENTAR: Rezultati pod utjecajem krize, ali i cijelo tržište

20.10.2020. komentiraj

Bilo je za očekivati da će rezultati biti pod utjecajem krize, treći kvartal je pokazao prvo pravo stanje zbog tog virusa. A četvrti kvartal mogao biti i gori. I dok čekamo rezultate Hrvatskog Telekoma, jer Tele2 nećemo vidjeti do godišnjih rezultata, jasno je da se A1 Hrvatska našao na udaru krize. Neki će reći puno, neki će reći malo, a realno očekivan pad prihoda i dobiti i na kvartalnoj i devetomjesečnoj razini.