Ako vybrať Zodpovednú osobu pre ochranu osobných údajov

Väčšina z Vás už čítala Nariadenie Európskeho parlamentu a Rady (EU) 2016/679 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov a o zrušení smernice 95/46/ES (obecné nariadenie o ochrane osobných údajov). Pokiaľ nie, originál nájdete aj v slovenčine na EUR-Lex.

Kľúčový je Článok 37.5 EU Nariadenie GDPR (ďalej len GDPR), ktorý upresňuje vymenovanie zodpovednej osoby pre ochranu osobných údajov a stanovuje požiadavky na profesijnej kvalifikácii nasledovne: 

“shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the task referred to in Article 39.”

v preklade

“Zodpovedná osoba pre ochranu osobných údajov musí byť menovaná na základe svojich profesijných kvalít, najmä na základe svojich odborných znalostí práva a praxe v oblasti ochrany údajov a svoje schopnosti plniť úlohy stanovené v článku 39.” 

Prečo tu chyba podrobnejší popis?

Obecné nariadenie o ochrane osobných údajov sa vo svojej novej podobe zámerne nevenuje požiadavkám na odbornosť a kvalitu výučby Zodpovednej osoby na ochranu osobných údajov (anglicky Data protection Officer, alebo tiež DPO).

GDPR je nutné vnímať ako prvú verziu, ktorá dosť výrazne mení ochranu údajov a vyžaduje veľa právnej úpravy v nadväzujúcich legislatívnych predpisoch.

Ide o najdynamickejšiu zmenu v súvislosti s rozvojom IT technológií za posledných 20 rokov. Podrobnejšiu špecifikáciu vyžaduje nielen článok 37, ale aj ďalšie. To sú úlohy do nasledujúcich rokov.

Pravdepodobne aj z tohto dôvodu nieje personálna certifikácia Zodpovedných osôb (DPO) pre ÚOOÚ prioritou. Aké školenie / certifikáciu by mala Zodpovedná osoba pre ochranu osobných údajov absolvovať, aby získala kvalifikáciu pre túto rolu?

Znamená to snáď, že si môžete sami definovať kritéria a potrebnú kvalifikáciu prispôsobenú kontextu spracovania dát vo vašej organizácií? Čiastočne áno.

Návod a podporu nájdete u WP 29

WP29 (pracovná skupina zriadená podľa Článku 29 smernice 95/46/ES) je nezávislý Európsky Poradný Orgán vo veci ochrany údajov a súkromia. Budúcim DPO doporučuje definovať kvalifikačné predpoklady a odborné znalosti Zodpovednej osoby na základe:

• Počtu a foriem dátových tokov
• Úrovne citlivosti osobných údajov
• Zložitosti a rozsahu spracovania osobných údajov
• Potrebnej bezpečnosti a ochrany spracovania dát

To znamená, že v organizáciach, kde sa osobné údaje spracovávajú vo veľkých objemoch a ich životný cyklus je procesne zložitý (nemocnice, operátori, poisťovne) budú na Zodpovednú osobu kladené oveľa vyššie odborné a kvalifikační predpoklady, než je tomu u malých a stredných podnikov.

Čo všetko zahŕňajú odborné znalosti a zručnosti na pozícii DPO?

GDPR nariadenie definuje „Čo“ urobiť. Preto je tu na prvom mieste nutná odborná znalosť vnútorných legislatívnych predpisov a postupy v oblasti ochrany osobných údajov, ale aj dôkladne a praktické porozumenie dopadom Európskeho Nariadenia GDPR
.

Znamená to, že túto pozíciu by mal zastávať výhradne právnik?

Nie. Medzi ďalšie požiadavky stanovené WP patrí

• Orientácia v IT technológiách organizácie
• Znalosť základných princípov pre zabezpečenie dát
• Pochopenie životného cyklu spracovania osobných údajov v spol.
• Schopnosť presadzovať ochranu dát a koordinovať aktivity vedúce k GDPR Compliance

Data Protection Officer môže k výkonu svojej funkcie potrebovať naviac ďalšie znalosti, bez nich není schopný plniť funkcie riadneho Poverenca, typicky:

• Princípy zdieľania údajov
• Špecifické znalosti interných IT systémov
• Problematiku medzinárodného prenosu dát
• Znalosti ochrany údajov v danom odvetví (súkromný sektor, verejná správa) 

Management organizácie musí pri výbere vhodného Poverenca ochrany osobných údajov prihliadať k rozsahu, zložitosti a citlivosti všetkých operácií, kde dochádza k spracovaniu dát.

Z toho vyplýva, že zavedenie GDPR napr. v škole, ktorá má štandardný účtovnícky systém + evidenciu dochádzky, je omnoho ľahšie a kritéria na DPO menšie, ako je tomu u veľkých spoločností (banky, poisťovne).

„Je priamou zodpovednosťou vedenia každej organizácie, aby proaktívne rozhodla o potrebnej kvalifikácií a požadovanej úrovni odbornej prípravy na pozícií Data Protection Officer“

Ako sa najlepšie pripraviť na pozíciu Poverenca ochrany osobných údajov?

Pri výbere vhodného postupu zvýšenia kvalifikácie GDPR je dobré vymenovať všetky možnosti, ktoré vám viac či menej zvýšia odbornosť. 

Online GDPR kurzy

Sú vhodné viac na pozíciach, ktoré fyzicky pracujú s dátami. Možno ich odporučiť Prevádzkovateľom a Sprostredkovateľom ochrany osobných údajov. 

Semináre, prednášky a konferencie

Ďalší zo spôsobov získania know-how. Spravidla ide ale o obecne osvetovú činnosť (evangelizaci), ktorá prispieva k rozšíreniu povedomia (viem na čo sa zamerať), ale už omnoho menej s praktickým dopadom (aké konkrétne opatrenie realizovať). Ani táto forma není ideálnym základným stavebným kameňom posilnenia kvalifikácie, ale skôr vhodným doplnkom.

Kurzy akreditované u medzinárodných inštitúcií.

Tieto programy Vám nielen garantujú získanie komplexnej profesnej úrovne, ktorou by mal každý DPO v minimálnom meradle spĺňať. Zároveň sú ukončené certifikačnou skúškou.

Absolventský certifikát je tak potvrdením, že kandidát spĺňa odbornú kvalifikáciu, ktorú získal v rámci akreditovanej prípravy. Pochopiteľne žiadny certifikát nezaisťuje 100% istotu a garanciu zodpovednosti na pozíciu Data Protection Officer. Profesijná znalosť je len jedna z oblastí, ktorou musí Poverenec disponovať. 

Kurz Data Protection Officer

Avšak v prípade incidentu v oblasti ochrany osobných údajov sa bude mimo iného preskúmavať, či organizácia urobila všetko preto, aby zaistila Poverencovi primerané zvýšenie kvalifikácie za účelom posilniť profesijné právomoci. Z tohto pohľadu majú akreditované kurzy obrovskú výhodu a prínos.

Podobne, ako napr. Projektový Manažér musí byť Poverenec schopný prepájať požiadavky managementu, Prevádzkovateľa a Sprostredkovateľa:

• Obhajovať riešenia
• Navrhovať zmeny v oblasti ochrany údajov
• Dohliadať na realizáciu opatrení podobne, ako je tomu na projektoch
 

Európsky Úrad pre Ochranu Údajov doporučuje

Nové zriadenie Office of the Data Protection Commissioner doporučuje, aby pri výberu vhodného vzdelávacieho programu pre Poverenca ochrany osobných údajov spĺňal kurz nasledujúce kritéria:

* V druhom stĺpci pre informácie uvádzame, ako si stojí náš kurz Data Protection Officer s akreditáciou podľa eCF (European Competence Framework)

Za všetkých okolností musí mať DPO nielen dostatočné odborné znalosti v oblasti legislatívy ochrany osobných údajov, ale niemenej dôležitá je aj

• orientácia v ochrane citlivých dát
• praktická znalosť spracovania osobných údajov
• koordinácia „implementačných opatrení“ na procesnej a technickej úrovni

Šablóny a vzory pre GDPR

Prečo je Data Protection Officer certifikovaný podľa eCF?

Tento európsky kompetenčný štandard bol založený v roku 2016. Dokonca je vydaní ako oficiálna európska norma EN 16234-1. e-CF slúži pre medzinárodnú uznateľnosť a štandardizáciu kompetencií v rámci jednotnej certifikačnej schémy.

Poskytuje jednotný hodnotiaci rámec, terminológiu a tiež štandardizovanú definíciu parametrov na certifikácie podľa kompetencií. Zároveň je kompatibilný s nárokmi na výkon rolí ako v súkromnom sektore, verejnej správy. 

Vďaka tomu je teraz možné na Európskej úrovni špecifikovať a definovať požiadavky na jednotlivé kompetencie, naprieč štátmi Európskej Únie.

Nieje založený na profesiách, ale na roliach (napr. Data Protection Officer), pretože tento prístup je flexibilnejší a viac odpovedá modernému fungovaniu organizácie po celom svete.

eCF je súčasťou stratégie EU pre e-Skills (European union’s strategy for e-Skills) v 21. storočí a získala podporu od Európskej Komisie, ale aj Rady Ministrov EU (European Commission and The Council of Ministers).

Jeho účelom je poskytovať európsky štandard pre medzinárodne uznávané kvalifikácie. Tie sú vždy rozdelené do piatych úrovní znalostí (proficiency levels) a ďalej sa prispôsobujú konkrétne kompetencie z rôznych uhlov, ako napr. Data Protection, Management, Law, atd.

Aké sú teda odporúčania pre DPO?

Nezbavujte sa zodpovednosti tým, že predáte celú agendu DPO právnikom. EU Nariadenie GDPR legislatívne síce nahradzuje zastaralý zákon na ochranu osobných údajov, ale…

Najviac zmien má dopad na ochranu osobných údajov v súvislosti s rozvojom IT technológií, digitalizácie archívov, využitie cloudových služieb, atď. Zmeny sa tak pre väčšinu organizácií odohrávajú v rovine procesnej a technologickej.

Na právne úpravy, legislatívne predpisy a novelu zákona o ochrane osobných údajov si však ešte počkáme. Súčasný navrch získal stovky pripomienok, ktorým sa bude v budúcom roku venovať nová vláda.

Aké riešenie sa osvedčilo u iných organizácií a podnikoch?

Ako najlepší spôsob v súčasnosti sa javí následujúce doporučenie: zostavte tím, ktorý bude mať svojho zástupcu z oddelenia. V malých spoločnostiach sa niektoré pozície pochopiteľne zlučujú: 

• IT / Security
• Obchod / Marketing
• Manažér zodpovedný za interný prevoz
• HR a Právne záležitosti (u malých a stredných organizácií tá istá osoba)

Investujte do školení Data Protection Officer na všetkých týchto pozíciach. Nie je tu tak dôležité, kto bude navonok organizáciu zastupovať (väčšinou právnik, ak je).

Dôležité je, aby ste vo všetkých pilieroch GDPR mali zástupcu, ktorý bude vnímať identickú problematiku zo svojho uhla pohľadu.

Ako implementovať jednotlivé opatrenia na týchto pozíciach Vás najlepšie naučí Workshop vedený konzultantom a audítorom na ochranu osobných údajov v jednej osobe. 

Prejdete si praktické aspekty implementácie na konkrétnych prípadoch v reálnych situáciach.

Implementácia GDPR krok za krokom na pozíciach 

• HR & Law >
• IT & Security >
• Sales & Marketing >

Počkať s implementáciou na nový zákon o ochrane osobných údajov?

Rozhodne nie. Nečakajte na pokyny z ministerstva, ÚOOÚ, novelu zákona 101/2000Sb.  Základný koncept je dávno schválený. Najvyšší čas na implementáciu GDPR už je dávno za nami.

Pamätajte, že DPO je najčastejšia v úlohe projektového manažéra, má mať všeobecné povedomie, ale potrebuje k svojej spolupráci najbližších pracovníkov na pozícií HR, Marketing, Sales, Law,

Potrebujete vypracovať nové, či aktualizovať ostávajúce interné smernice pre splnenie GDPR? Máme tie najaktuálnejšie vzory a šablóny podľa stanovísk, ktoré sú záväzné a prijaté pracovnou skupinou WP29.

GDPR kurzy pre DPO aj Prevádzkovateľa a Sprostredkovateľa