Jak vybrat Pověřence pro ochranu osobních údajů
Klíčový je stále článek 37 odst. 5 GDPR, který upřesňuje jmenování pověřence pro ochranu osobních údajů takto:
“Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.”
Proč zde chybí podrobnější popis?
GDPR je obecným předpisem, který dopadá na správce a zpracovatele všech velikostí a ze všech sektorů. Pověřence pro ochranu osobních údajů tak musí na jedné straně jmenovat banka, operátor, pojišťovna či nemocnice, ale také škola, každá obec či malá firma, pokud zpracovává osobní údaje ve velkém rozsahu nebo s využitím pokročilých technologií. Třeba nástrojů umělé inteligence (Artificial Intelligence), která může být i z pohledu GDPR problematická.
DPO, jeho postavení, role, kompetence i znalosti pak musejí v maximální míře odpovídat podmínkám a specifikům organizace, pro kterou roli DPO zastává. A musí reflektovat i národní specifika, resp. požadavky národních právních předpisů a sektorové regulace.
Definovat konkrétní požadavky na DPO, nebo okruhy požadavků a vhodných způsobů jejich naplnění, zkrátka není snadné. Ani Evropský sbor pro ochranu osobních údajů, který sdružuje národní dozorové úřady, to ještě nebyl schopen udělat.
Návod a podporu najdete u WP 29
Working party (WP) 29, jinak řečeno pracovní skupina zřízená podle článku 29 směrnice 95/46/ES, byla předchůdcem dnešního Evropského sboru pro ochranu osobních údajů. Pracovní skupina WP29 sdružovala dozorové orgány za bývalé právní úpravy a byla poradním orgánem pro jednotný výklad regulace ochrany osobních údajů a ochrany soukromí.
Skupina WP29 po přijetí GDPR definovala požadavky na budoucí pověřence, DPO. A Evropský sbor pro ochranu osobních údajů ihned po svém vzniku požadavky a materiály WP29 potvrdil a převzal.
Jak tedy WP29, a potažmo Evropský sbor pro ochranu osobních údaj, doporučují definovat kvalifikační předpoklady a odborné znalosti Pověřenců? Na základě kombinace těchto faktorů:
Počet a forma datových toků
Úrovní citlivosti osobních údajů
Složitosti a rozsahu zpracování osobních údajů
Potřebné bezpečnosti a ochrany zpracování dat
To znamená, že v organizacích, kde se osobní údaje zpracovávají ve velkých objemech a jejichž životní cyklus je procesně složitý (nemocnice, operátoři, poskytovatelé analytických nástrojů či cloudových služeb, finanční instituce) budou na Pověřence kladeny mnohem vyšší odborné a kvalifikační předpoklady, než je tomu u malých a středních podniků či v menších obcích nebo školách.
Co všechno zahrnují odborné znalosti a dovednosti na pozici DPO?
Na prvním místě nutná znalost vnitřních předpisů a postupů v oblasti zpracování osobních údajů, ale i důkladné a praktické porozumění dopadům GDPR a znalost sektorové regulace.
Znamená to, že tuto pozici by měl zastávat výhradně právník?
Nikoliv. Mezi další požadavky stanovené WP29 totiž patří
Orientace v IT technologiích organizace
Znalost základních principů pro zabezpečení dat
Pochopení životního cyklu zpracování osobních údajů ve spol.
Schopnost prosazovat ochranu dat a koordinovat aktivity vedoucí k zajištění souladu organizace s GDPR
Data Protection Officer může k výkonu své funkce potřebovat navíc další znalosti, bez nich není schopen plnit funkci řádného Pověřence, typicky:
Principy zabezpečení a sdílení údajů
Specifické znalosti interních IT systémů
Procesní řízení
Zkušenosti z kontrolní činnosti, znalost auditních postupů
Problematiku mezinárodního předávání dat
Znalosti ochrany údajů dané odvětvím (soukromý sektor, veřejná správa)
Management organizace musí při výběru vhodného Pověřence pro ochranu osobních údajů přihlédnout k rozsahu, složitosti a citlivosti všech operací, kde dochází k zpracování dat. A také ke svojí organizační struktuře, propojení s dalšími podniky ve skupině a obchodními a strategickými záměry.
Jak se nejlépe připravit na pozici Pověřence ochrany osobních údajů?
Při výběru vhodného postupu pro získání a prohloubení kvalifikace v legislativně i praxi zpracování osobních údajů je dobré zvážit všechny možnosti, které jsou na trhu nabízeny.
Obecné Online GDPR kurzy
Jsou vhodné spíše pro základní orientaci v tématu, případně pro prohloubení znalosti v některé specifické otázce.
Semináře, přednášky a konference
Další ze způsobů získání know-how. Zpravidla jde ale o obecně osvětovou činnost (evangelizaci), která přispívá k rozšíření povědomí (vím, na co se zaměřit), ale už mnohem méně s praktickým dopadem (jaká konkrétní opatření realizovat). Ani tato forma není ideálním základním stavebním kamenem získání odborné kvalifikace, ale spíše vhodným doplňkem.
Kurzy akreditované u mezinárodních institucí
Tyto programy nejenom garantují získání komplexní profesní úrovně, kterou by měl každý DPO v minimálním měřítku splňovat. Zároveň jsou zakončené certifikační zkouškou.
Absolventský certifikát je tak potvrzením, že kandidát splňuje odbornou kvalifikaci, kterou získal v rámci akreditované přípravy. Pochopitelně žádný kurz ani certifikát nezajistí 100% jistotu a garanci, že váš pověřenec pro ochranu osobních údajů bude vždy fungovat v souladu s požadavky GDPR. A navíc to vždy není jen o něm, GDPR procesy musí být nastaveny napříš organizací a odpovědnost za soulad s GDPR má i vedení organizace, manageři a jednotliví zaměstnanci, kteří s osobními údaji pracují.
Nicméně v případě incidentu v oblasti ochrany osobních údajů se bude mimo jiné přezkoumávat, zda organizace udělala vše proto, aby zajistila Pověřenci odpovídající zvýšení kvalifikace za účelem posílení profesních pravomocí. Z tohoto pohledu mají akreditované kurzy obrovskou výhodu a přínos.
Podobně jako např. Projektový manažer musí být Pověřenec schopen propojovat požadavky různé legislativy, managementu a dalších odborných rolí (např. bezpečnostní ředitel). Proto musí umět:
Nalézt pro všechny strany přijatelné řešení
Obhajovat i nepopulární závěry a nutné postupy
Odhalit nesoulad s GDPR
Navrhovat změny v oblasti ochrany údajů
Dohlížet na realizaci opatření podobně, jako je tomu na projektech
Jaký kurz je pro DPO nejlepší?
Řada dozorových úřadů doporučuje, aby skutečně odborný a komplexní kurz pro pověřence pro ochranu osobních údajů splňoval tyto podmínky:
Obsahuje kurz komplexní program pro DPO? | eCF ANO |
Je školení zakončené mezinárodní certifikací? | eCF ANO |
Je postavení certifikačního schématu v souladu s GDPR? | eCF ANO |
Je Data Protection Officer certifikát uznáván mezinárodně? | eCF ANO |
* V druhém sloupci pro informaci uvádíme, jak si stojí kurz Data Protection Officer s akreditací dle eCF (European Competence Framework)
Proč Data Protection Officer certifikovaný dle eCF?
Tento evropský kompetenční standard by založený v roce 2016. Dokonce je vydán jako oficiální evropská norma EN 16234-1. e-CF slouží pro mezinárodní uznatelnost a standardizaci kompetencí v rámci jednotného certifikačního schématu.
Poskytuje jednotný hodnotící rámec, terminologii a také standardizovanou definici parametrů na certifikace dle kompetencí. Zároveň je kompatibilní s nároky na výkon rolí jak v soukromém sektoru, veřejné správě.
Díky tomu je nyní možné na evropské úrovni specifikovat a definovat požadavky na jednotlivé kompetence, napříč státy Evropské unie.
Certifikační rámec není založen na profesích, ale na rolích (např. Data Protection Officer). Tento přístup je flexibilnější a více odpovídá modernímu fungování organizací po celém světě.
eCF je součástí strategie EU pro e-Skills (European union’s strategy for e-Skills) v 21. století. Jeho účelem je poskytovat evropský standard pro mezinárodní uznávání kvalifikací. Ty jsou vždy rozdělené do pěti úrovních znalostí (proficiency levels) a dále se přizpůsobují konkrétní kompetenci z různých úhlů, jako např. Data Protection, Management, Law, atd.
