Kako odabrati pravu edukaciju Službenika za zaštitu osobnih podataka?

Kako odabrati pravu edukaciju Službenika za zaštitu osobnih podataka?

Foto: Dražen Tomić / Tomich Productions

Visoke kazne i Uredba koja ovoga puta vrlo jasno ukazuje na kompetencije koje DPO mora posjedovali rezultirali su sve većim brojem edukacija iz ovog područja. Gotovo svakodnevno nam pristižu upiti u kojima nas tvrtke traže da im pomognemo oko odabira edukacije. Ponuda edukacija u ovom području seže od poludnevnih do petodnevnih, a cijene od besplatnih do desetak tisuća kuna. Ni cijena ni vrijeme nisu relevantni pokazatelji kvalitete, a pogotovo to nije certifikat izdan od tvrtke koja izdaje certifikate za sve i svašta, a nikad se nije bavila zaštitom osobnih podataka, ni edukacijom u tom području.

Što točno DPO radi?

DPO se imenuje na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39 Opće uredbe o zaštiti osobnih podataka. DPO treba predstavljati centar kompetencija zaštite osobnih podataka u organizaciji. Kako bi bolje razumjeli kojim to znanjima i vještinama treba raspolagati, prvo moramo dobro razumjeti što to DPO točno radi. DPO

  • Nadzire usklađenost s Uredbom:
  • prikuplja informacije o aktivnostima obrada,
  • analizira i provjerava pravnu usklađenost obrada, te
  • informira, savjetuje i izdaje preporuke voditelju i izvršitelju obrada
  • Uključen je u procjenu učinka zaštite osobnih podataka (DPIA) pružanjem savjeta:
  • treba li ili ne provoditi DPIA,
  • kakvu metodologiju primjenjivati u provedbi DPIA
  • može li se DPIA provoditi interno ili je treba eksternalizirati
  • kakve sigurnosne kontrole (tehničke i organizacijske) treba uspostaviti za umanjivanje rizika od povrede prava i interesa ispitanika,
  • ocjenjivanje usklađenosti provedene DPIA i njenih zaključaka (treba li ili ne pokrenuti obradu i kako je osigurati) za GDPR zahtjevima.
  • Pristup aktivnostima zaštite osobnih podataka temelji na rizicima:
  • prepoznaje i ocjenjuje i rizike, te aktivnosti prioritizira temeljem izloženosti riziku,
  • prepoznaje potrebu za selektivnim pragmatičnim pristupom rješavanju problema kada je rizik visok, te zna kako takav pristup primijeniti,
  • identificira područja na kojima je potrebno provesti prioritetne provjere sigurnosti,
  • uočava potrebu za edukacijama djelatnika odgovornih za obradu osobnih podataka, te
  • identificira obrade na čiju je zaštitu potrebno obratiti posebnu pažnju.

Vatreno krštenje

Pored svakodnevnih zadaća, tijekom postupka usklađivanja DPO će biti intenzivno uključen u sve aktivnosti projektnog tima, a vrlo će mu vjerojatno pripasti i zadatak voditi taj tim, kao i cijeli postupak usklađivanja. DPO će dakle trebati i znanja iz upravljanja projektima, i to ozbiljna. Prvi dani na novoj funkciji bit će sve, samo ne lagodni. Bit će to pravo vatreno krštenje koje će potrajati mjesecima, ako ne i godinama. Toliko će vremena proći dok posao DPO-a ne zapadne u svakodnevnu kolotečinu. Novi će DPO u pravilu bez prethodnog iskustva upravljati kompleksnim projektom usklađivanja s Uredbom.

Loše dizajniran proces može organizaciju koštati milijune, isto kao i nepotrebno kupljena tehnička rješenja ili loše dizajnirana zaštita osobnih podataka. Kompetentan i sposoban DPO čini razliku između uspješnog i neuspješnog projekta, razliku između učinkovite ili trome organizacije, razliku između nepotrebnog troška i investicije u budućnost. Kompetentan i sposoban DPO čini razliku između imidža organizacije koja brine o svojim klijentima i one koja ih zanemaruje. Na kraju krajeva, o DPO-u najviše ovisi kolika će biti izloženost organizacije kažnjavanju.

U Hrvatskoj ne postoji ”Certificirani DPO”

Temeljem članka 83, stavak 4(a), organizacija može biti kažnjena ako nije imenovala DPO-a sa znanjima i vještinama potrebnim za obavljanje povjerenih mu zadaća. Ozbiljnost ovog prekršaja, a posljedično i visinu kazne određuje nadzorno tijelo. AZOP se do sada nije izjasnio o primjerenosti ni jednog DPO certifikata, kako stranog, tako ni domaćeg.

Ako će se ikada postaviti pitanje adekvatnosti imenovanog DPO-a, nadzorno će se tijelo sasvim sigurno primarno rukovoditi propustima do kojih je došlo radi neprimjerenih kompetencija i lošeg obavljanja zadaća, a ne certifikatom kojega DPO posjeduje ili ne posjeduje.

Jedni pravi pristup imenovanju DPO-a, jest imenovati sposobnu, kompetentnu i motiviranu osobu koja će se pobrinuti da do prekršaja nikad ne dođe.

Što je adekvatna edukacija i gdje je naći?

Ne postoji idealna DPO edukacija. DPO za obavljanje svojih zadaća mora imati predznanje iz područja prava, informacijskih sustava i razumijevanje obrada koje se u njegovoj organizaciji provode ili ona njima upravlja. Mora biti proaktivna i motivirana osoba sposobna upravljati rizikom, uspostavljati procese i pronalaziti pragmatična rješenja. Kandidati za DPO funkciju mogu na temelju svog predznanja odrediti koja im znanja nedostaju i odabrati edukaciju upravo iz tih područja. Tražite li all-in-one edukaciju, pogledajte još jednom na početku ovog teksta što sve DPO treba raditi i zapitajte se:

  • Pruža li ova edukacija znanja koja mi nedostaju za obavljanje poslova DPO?
  • Koliko predavači imaju stvarnog iskustva u GDPR projektima i zaštiti osobnih podataka?
  • Koliko praktičnih vježbi uključuje edukacija?

Edukacija iz poznavanja Uredbe je besplatna. Drži je Agencija sa zaštitu osobnih podataka. Više informacija o terminima i lokacijama možete naći na www.azop.hr ili zatražiti slanjem upita na azop@azop.hr. AZOP vas neće naučiti kako ćete odredbe Uredbe primijeniti na svoju organizaciju. Ovakva znanja možete dobiti samo od vrlo iskusnih stručnjaka koji pored odličnog poznavanja Uredbe, imaju i veliko iskustvo u vođenju i radu na projektima usklađivanja sa GDPR-om iz svih domena: pravne, organizacijske, IT i sigurnosne. Generalno pravilo kojeg se možete držati jest da dobru cjelovitu edukaciju u pravilu ne može održati jedan predavač. Tražite edukaciju u kojoj ćete o pravnim pitanjima raspravljati s pravnikom koji to svakodnevno radi na projektima usklađivanja sa svojim klijentima, o organizacijskim pitanjima razgovarat ćete s iskusnim voditeljem GDPR projekata – arhitektom organizacijskih struktura za upravljanje zaštitom osobnih podataka, o informacijskim sustavima, tehničkim rješenjima i sigurnosti podataka razgovarat ćete sa stručnjakom za informacijsku sigurnost.

Pročitajte životopise predavača i zamolite ih popis referenci. Ne zaboravite, vaš će prvi posao kao DPO-a biti vođenje skupog projekta s velikim utjecajem na organizaciju i vrlo kratkim rokovima.

 

 

Preuzmi vodič za odabir edukacije.

Još iz kategorije

KOMENTAR: Zatvoreno jedno poglavlje telekom tržišta u Hrvatskoj – Tele2 odlazi, konačna konsolidacija ili tko će kupiti Optima Telekom

KOMENTAR: Zatvoreno jedno poglavlje telekom tržišta u Hrvatskoj – Tele2 odlazi, konačna konsolidacija ili tko će kupiti Optima Telekom

17.07.2019. komentiraj

Za švedskog vlasnika Tele2 Hrvatska priča je završena. Tele2 AB je odmah na početku svog šestomjesečnog izvješća istaknuo kako Tele2 podaje svoje poslovanje u Hrvatskoj i kao takvog ga smatraju završenim i posebno to ističu tijekom cijelog izvješća. Čak ga i ne prikazuju u grupnim rezultatima nego navode kao „Tele2 Croatia is reported as a discontinued operation for all periods“ odnosno nema više Tele2 Hrvatska kao dijela grupacije.

KOMENTAR: A1 Hrvatska u iščekivanju prodaje Optima Telekoma

KOMENTAR: A1 Hrvatska u iščekivanju prodaje Optima Telekoma

16.07.2019. komentiraj

Drugi po veličini domaći telekom A1 Hrvatska objavio je svoje rezultate za prvih šest mjeseci ove godine i oni su sasvim solidni. Očekivani, no ono što slijedi je velika utrka na telekom tržištu za Optima Telekomom odnosno bolje rečeno korisnicima i infrastrukturom. Kako Hrvatski Telekom koji upravlja Optima Telekom mora prodati Optimu, a Zagrebačka banka kao najveći pojedinačni dioničar također će prodavati istovremeno svoj udjel jer im u portfelju telekom ne treba jasno je da ima nekoliko jasno zainteresiranih strana. Prije svega tu je A1 Hrvatska koji bi time ojačao svoju poziciju, pridodao dio infrastrukture i korisnike i to bi za njih značilo još veću trku na tržištu s najjačim domaćim telekom Hrvatskim Telekom.

INOVACIJA … koja uvijek evoluira

INOVACIJA … koja uvijek evoluira

10.06.2019. komentiraj

U jednoj davnoj kolumni  prikazali smo kako izgleda životni ciklus inovacije, mnemotehnika je 8E's: Zaokružili smo životnu fazu „razvoj inovacije“ – EVOLVE – koja nas ovdje zanima, a i zato jer je u sebi vrlo proturječna! Ilustracija ove tvrdnje je u tome da kad netko smisli ideju za koju vjeruje da je inovativna odmah dolaze oponenti. Oni imaju j još bolje ideje ili unapređuju izvornu. Ideator je time obično frustriran, jer se njegova brilijantna ideja ne prihvaća bez pogovora.  Pri tome zaboravlja da je i ta njegova ideja vjerojatno samo „evolucija“ nekog ranijeg rješenja. Zato treba u svakoj situaciji biti otvoren prema novim rješenjima, ali ih ne treba prihvaćati nekritički.