Jakou kvalifikaci a jaký kurz potřebuje Pověřenec pro ochranu osobních údajů?
25. 10. 2017| Aleš Pilný | GDPR Lead Auditor
Má to být právník, nebo je lepší agendu delegovat na IT? Jakou roli hraje HR, Marketing, Interní Audit? Kdo má nejlepší předpoklady stát se DPO?
Většina z vás již četla Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Pokud ne, originál najdete i v češtině na EUR-Lex
Klíčový je zde Článek 37.5 EU Nařízení GDPR (dále jen GDPR), který upřesňuje jmenování pověřence pro ochranu osobních údajů a stanovuje požadavek na profesní kvalifikaci následovně:
“shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article39.”
v překladu
“Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.”
Proč zde chybí podrobnější popis?
Obecné nařízení o ochraně osobních údajů se ve své nové podobě záměrně nevěnuje požadavkům na odbornost a kvalitu výuky Pověřenců na ochranu osobních údajů (anglicky Data protection Officer, nebo také DPO).
GDPR je nutné vnímat jako první verzi, která dost výrazně mění ochranu údajů a vyžaduje spousty právní úpravy navazujících legislativních předpisů.
Je o nejdynamičtější změnu v souvislosti s rozvojem IT technologií za posledních 20 let. Podrobnější specifikaci vyžaduje nejenom článek 37, ale i další. To jsou úkoly do následujících let.
Pravděpodobně i z tohoto důvodu není personální certifikace Pověřenců (DPO) pro ÚOOÚ prioritou. Jaké školení / certifikaci by měl Pověřenec pro ochranu osobních údajů absolvovat, aby získal kvalifikaci pro tuto roli?
Znamená to snad, že si můžete sami definovat kritéria a potřebnou kvalifikaci přizpůsobených kontextu zpracování dat ve vaší organizaci? Částečně ano.
Návod a podporu najdete u WP 29
WP29 (pracovní skupina zřízená podle Článku 29 směrnice 95/46/ES) je nezávislý Evropský Poradní Orgán ve věci ochrany údajů a soukromí. Budoucím DPO doporučuje definovat kvalifikační předpoklady a odborné znalosti Pověřenců na základě:
- Počtu a forem datových toků
- Úrovní citlivosti osobních údajů
- Složitosti a rozsahu zpracování osobních údajů
- Potřebné bezpečnosti a ochrany zpracování dat
To znamená, že v organizacích, kde se osobní údaje zpracovávají ve velkých objemech a jejichž životní cyklus je procesně složitý (nemocnice, operátoři, pojišťovny) budou na Pověřence kladeny mnohem vyšší odborné a kvalifikační předpoklady, než je tomu u malých a středních podniků.
Co váš při zavedení GDPR čeká >
Co všechno zahrnují odborné znalosti a dovednosti na pozici DPO?
GDPR nařízení definuje „Co“ udělat. Proto je zde na prvním místě nutná odborná znalost vnitřních legislativních předpisů a postupů v oblasti ochrany osobních údajů, ale i důkladné a praktické porozumění dopadům Evropského Nařízení GDPR.
Znamená to, že tuto pozici by měl zastávat výhradně právník?
Nikoliv. Mezi další požadavky stanovené WP patří
- Orientace v IT technologiích organizace
- Znalost základních principů pro zabezpečení dat
- Pochopení životního cyklu zpracování osobních údajů ve spol.
- Schopnost prosazovat ochranu dat a koordinovat aktivity vedoucí k GDPR Compliance
Data Protection Officer může k výkonu své funkce potřebovat navíc další znalosti, bez nich není schopen plnit funkci řádného Pověřence, typicky:
- Principy sdílení údajů
- Specifické znalosti interních IT systémů
- Problematiku mezinárodního přesunu dat
- Znalosti ochrany údajů dané odvětvím (soukromý sektor, veřejná správa)
Management organizace musí při výběru vhodného Pověřence ochrany osobních údajů přihlédnout k rozsahu, složitosti a citlivosti všech operací, kde dochází k zpracování dat.
Z toho vyplývá, že zavádění GDPR např. ve škole, která má standardní účetní systém + evidenci docházky, je mnohem snadnější a kritéria na DPO menší, než je tomu u velkých společností (banky, pojišťovny).
„Je přímou odpovědností vedení každé organizace, aby proaktivně rozhodla o potřebné kvalifikaci a požadované úrovni odborné přípravy na pozici Data Protection Officer“
Jak se nejlépe připravit na pozici Pověřence ochrany osobních údajů?
Při výběru vhodného postupu zvýšení kvalifikace GDPR je dobré vyjmenovat všechny možnosti, které vám více či méně zvýší odbornost.
Online GDPR kurzy
Jsou vhodné spíše na pozicích, které fyzicky pracují s daty. Lze je doporučit Správcům a Zpracovatelům ochrany osobních údajů.
Semináře, přednášky a konference
Další ze způsobů získání know-how. Zpravidla jde ale o obecně osvětovou činnost (evangelizaci), která přispívá k rozšíření povědomí (vím na co se zaměřit), ale už mnohem méně s praktickým dopadem (jaká konkrétní opatření realizovat). Ani tato forma není ideálním základním stavebním kamenem posílení kvalifikace, ale spíše vhodným doplňkem.
Kurzy akreditované u mezinárodních institucí.
Tyto programy vám nejenom garantují získání komplexní profesní úrovně, kterou by měl každý DPO v minimálním měřítku splňovat. Zároveň jsou zakončené certifikační zkouškou.
Absolventský certifikát je tak potvrzením, že kandidát splňuje odbornou kvalifikaci, kterou získal v rámci akreditované přípravy. Pochopitelně žádný certifikát nezajistí 100% jistotu a garanci odpovědnosti na pozici Data Protection Officer. Profesní znalost je pouze jedna z oblastí, kterou musí Pověřenec disponovat.
Nicméně v případě incidentu v oblasti ochrany osobních údajů se bude mimo jiné přezkoumávat, zda organizace udělala vše proto, aby zajistila Pověřenci odpovídající zvýšení kvalifikace za účelem posílení profesních pravomocí. Z tohoto pohledu mají akreditované kurzy obrovskou výhodu a přínos.
Podobně, jako např. Projektový Manažer musí být Pověřenec schopen propojovat požadavky managementu, Správců a Zpracovatelů:
- Obhajovat řešení
- Navrhovat změny v oblasti ochrany údajů
- Dohlížet na realizaci opatření podobně, jako je tomu na projektech
Evropský Úřad pro Ochranu Údajů doporučuje
Nově zřízený Office of the Data Protection Commissioner doporučuje, aby při výběru vhodného vzdělávacího programu pro Pověřence ochrany osobních údajů splňoval kurz následující kritéria
Obsahuje kurz komplexní program pro DPO?
Jde o školení zakončené mezinárodní certifikací?
Je postavení certifikačního schématu v souladu s GDPR?
Je Data Protection Officer certifikát uznáván mezinárodně?
* V druhém sloupci pro informaci uvádíme, jak si stojí náš kurz Data Protection Officer s akreditací dle eCF (European Competence Framework)
Za všech okolností musí mít DPO nejenom dostatečné odborné znalosti v oblasti legislativy ochrany osobních údajů, ale neméně důležitá je i
- orientace v ochraně citlivých dat:
- praktická znalost zpracování osobních údajů
- koordinace „implementačních opatření“ na procesní a technické úrovni
Proč Data Protection Officer certifikovaný dle eCF?
Tento evropský kompetenční standard by založený v roce 2016. Dokonce je vydán jako oficiální evropská norma EN 16234-1. e-CF slouží pro mezinárodní uznatelnost a standardizaci kompetencí v rámci jednotného certifikačního schématu.
Poskytuje jednotný hodnotící rámec, terminologii a také standardizovanou definici parametrů na certifikace dle kompetencí. Zároveň je kompatibilní s nároky na výkon rolí jak v soukromém sektoru, veřejné správě.
Díky tomu je nyní možné na Evropské úrovni specifikovat a definovat požadavky na jednotlivé kompetence, napříč státy Evropské Unie.
Není založen na profesích, ale na rolích (např. Data Protection Officer), protože tento přístup je flexibilnější a více odpovídá modernímu fungování organizací po celém světě.
eCF je součástí strategie EU pro e-Skills (European union’s strategy for e-Skills) v 21. století a získala podporu od Evropské Komise, ale i Rady Ministrů EU (European Commission and The Council of Ministers).
Jeho účelem je poskytovat evropský standard pro mezinárodní uznávání kvalifikací. Ty jsou vždy rozdělené do pěti úrovních znalostí (proficiency levels) a dále se přizpůsobují konkrétní kompetenci z různých úhlů, jako např. Data Protection, Management, Law, atd.
Jaká jsou tedy doporučení pro DPO?
Nezbavujte se odpovědnosti tím, že předáte celou agendu DPO právníkům. EU Nařízení GDPR legislativně sice nahrazuje zastaralý zákon na ochranu osobních údajů, ale…
Nejvíce změn má dopad na ochranu osobních údajů v souvislosti s rozvojem IT technologií, digitalizace archivů, využití cloudových služeb, atd. Změny se tak pro většinu organizací odehrávají v rovině procesní a technologické.
Na právní úpravy, legislativní předpisy a novelu zákona o ochraně osobních údajů si však ještě počkáme. Stávající návrh získal stovky připomínek, kterým se bude v příštím roce věnovat nová vláda.
Jaké řešení se osvědčilo u jiných organizací a podniků?
Jako nejlepší způsob v současnosti se jeví následující doporučení: sestavte tým, který bude mít svého zástupce z oddělení. V malých společnostech se některé pozice pochopitelně slučují:
- IT / Security
- Obchod / Marketing
- Manažer zodpovědný za interní provoz
- HR a Právních záležitostí (u malých a středních organizací tatáž osoba)
Investujte do školení Data Protection Officer na všech těchto pozicích. Není zde tak důležité, kdo bude navenek organizaci zastupovat (většinou právník, pokud je).
Důležité je, abyste ve všech pilířích GDPR měli zástupce, který bude vnímat identickou problematiku ze svého úhlu pohledu.
Jak implementovat jednotlivá opatření na těchto pozicích vás nejlépe naučí Workshop vedený konzultantem a auditorem na ochranu osobních údajů v jedné osobě.
Projdete si praktické aspekty implementace na konkrétních případech v reálných situacích. Do konce roku zbývají poslední volná místa na těchto trénincích:
Implementace GDPR krok za krokem na pozicích
Co počkat s implementací na nový zákon o ochraně osobních údajů?
Rozhodně nikoliv. Nečekejte na pokyny z ministerstva, ÚOOÚ, novelu zákona 101/2000Sb. Základní koncept je dávno schválený. Nejvyšší čas na implementaci GDPR už je dávno za námi.
Pamatujte, že DPO je nejčastěji v roli projektového manažera, má mít všeobecné povědomí, ale potřebuje ke své spolupráci nejbližší pracovníky na pozici HR, Marketing, Sales, Law,
Potřebujete vypracovat nové, či aktualizovat stávající interní směrnice pro splnění GDPR? Máme ty nejaktuálnější vzory a šabloby dle stanovisek, které jsou závazné a přijaté pracovní skupinou WP29.
