Jak vybrat Pověřence pro ochranu osobních údajů?
Klíčový je stále článek 37 odst. 5 GDPR, který upřesňuje jmenování pověřence pro ochranu osobních údajů takto:
“Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.”
Proč zde chybí podrobnější popis?
GDPR je obecným předpisem, který dopadá na správce a zpracovatele všech velikostí a ze všech sektorů. Pověřence pro ochranu osobních údajů tak musí jmenovat banka, telekomunikační operátor, pojišťovna či nemocnice, ale také škola, kraj a obec i malá firma, pokud zpracovává osobní údaje ve velkém rozsahu nebo s využitím pokročilých technologií. Třeba nástrojů umělé inteligence (Artificial Intelligence), která může být i z pohledu GDPR riziková.
DPO, jeho postavení, role, kompetence i znalosti pak musejí v maximální míře odpovídat podmínkám a specifikům organizace. Musí také reflektovat národní specifika, resp. požadavky národních právních předpisů a sektorové regulace.
Definovat konkrétní požadavky na DPO, nebo okruhy požadavků a vhodných způsobů jejich naplnění, zkrátka není snadné. Ani Evropský sbor pro ochranu osobních údajů, který sdružuje národní dozorové úřady, to ještě nebyl schopen udělat.
Update 5. 7. 2024: Evropský sbor pro ochranu osobních údajů a dozorové úřady z jednotlivých států se v roce 2023 zaměřily právě na postavení a fungování pověřenců. Výsledky této koordinované dozorové akce nejsou zcela uspokojivé. Jedním ze společných zjištění bylo i to, že řada pověřenců pro ochranu osobních údajů má nedostatečnou expertízu a není odborně na takové výše, aby mohli úkoly plynoucí z čl. 39 GDPR zajistit v plném rozsahu, včas a v dostatečné kvalitě.
Kvalifikační předpoklady pověřence pro ochranu osobních údajů
Jaké kvalifikační předpoklady by tedy měl pověřenec pro ochranu osobních údajů splňovat, aby vyhověl požadavkům regulace, dozorových úřadů i dynamicky se vývíjejí praxe zpracování a ochrany dat?
Návod a podporu najdeme u WP 29!
Working party (WP) 29, jinak řečeno pracovní skupina zřízená podle článku 29 směrnice 95/46/ES, byla předchůdcem dnešního Evropského sboru pro ochranu osobních údajů. Pracovní skupina WP29 sdružovala dozorové orgány za bývalé právní úpravy a byla poradním orgánem pro jednotný výklad regulace ochrany osobních údajů a ochrany soukromí.
Skupina WP29 definovala požadavky na budoucí pověřence, DPO. A Evropský sbor pro ochranu osobních údajů ihned po svém vzniku požadavky WP29 potvrdil a převzal.
Jak tedy WP29, a potažmo Evropský sbor pro ochranu osobních údaj, doporučují definovat kvalifikační předpoklady a odborné znalosti pověřenců? Na základě kombinace těchto faktorů:
Počet a forma datových toků
Úrovní citlivosti osobních údajů
Složitosti a rozsahu zpracování osobních údajů
Potřebné bezpečnosti a ochrany zpracování dat
To znamená, že v organizacích, kde se osobní údaje zpracovávají ve velkých objemech a jejichž životní cyklus je procesně složitý (nemocnice, operátoři, poskytovatelé analytických nástrojů či cloudových služeb, finanční instituce) budou na pověřence kladeny mnohem vyšší odborné a kvalifikační předpoklady, než je tomu u malých a středních podniků či v menších obcích nebo školách.
Odborné znalosti a dovednosti DPO
Na prvním místě je nutná znalost vnitřních předpisů a postupů v oblasti zpracování osobních údajů, ale i důkladné a praktické porozumění dopadům GDPR a sektorové regulace.
Znamená to, že by tuto pozici měl zastávat výhradně právník?
Nikoliv. Mezi další požadavky stanovené WP29 totiž patří:
Orientace v IT technologiích organizace
Znalost základních principů pro zabezpečení dat
Pochopení životního cyklu zpracování osobních údajů ve společnosti
Schopnost prosazovat ochranu dat a koordinovat aktivity vedoucí k zajištění souladu organizace s GDPR
Pověřenec může k výkonu své funkce potřebovat navíc další znalosti, bez nich není schopen svoji roli zastávat v plném rozsahu, zejména:
Principy zabezpečení a sdílení údajů
Specifické znalosti interních IT systémů
Procesní řízení
Zkušenosti z kontrolní činnosti, znalost auditních postupů
Problematiku mezinárodního předávání dat
Znalosti ochrany údajů dané odvětvím (soukromý sektor, veřejná správa)
Management organizace musí při výběru vhodného pověřence pro ochranu osobních údajů přihlédnout k rozsahu, složitosti a citlivosti všech operací, př kterých dochází k zpracování dat. A také ke svojí organizační struktuře, propojení s dalšími podniky ve skupině a obchodními a strategickými záměry.
Jak se nejlépe připravit na pozici Pověřence ochrany osobních údajů?
Při výběru vhodného postupu pro získání a prohloubení kvalifikace v oblasti ochrany osobních údajů je dobré zvážit všechny možnosti, které jsou na trhu nabízeny.
Obecné Online GDPR kurzy
Jsou vhodné spíše pro základní orientaci v tématu, případně pro prohloubení znalosti v některé specifické otázce.
Semináře, přednášky a konference
Další ze způsobů získání know-how. Zpravidla jde ale o obecně osvětovou činnost (evangelizaci), která přispívá k rozšíření povědomí (vím, na co se zaměřit), ale už mnohem méně s praktickým dopadem (jaká konkrétní opatření realizovat). Tato forma většinou není ideálním základním stavebním kamenem k získání odborné kvalifikace, ale spíše vhodným doplňkem už existujících znalostí a zkušeností.
Kurzy akreditované u mezinárodních institucí
Tyto programy garantují získání komplexní profesní úrovně, kterou by měl každý DPO v minimálním měřítku splňovat. Zároveň jsou zakončené certifikační zkouškou.
Absolventský certifikát je tak potvrzením, že kandidát splňuje odbornou kvalifikaci, kterou získal v rámci akreditované přípravy. Pochopitelně žádný kurz ani certifikát nezajistí 100% jistotu a garanci, že váš pověřenec pro ochranu osobních údajů bude vždy fungovat v souladu s požadavky GDPR. A navíc to vždy není jen o něm, GDPR procesy musí být nastaveny napříč organizací. Odpovědnost za soulad s GDPR má primárně vedení organizace, manažeři a jednotliví zaměstnanci, kteří s osobními údaji pracují.
Při incidentu v oblasti ochrany osobních údajů se bude často přezkoumávat i to, zda organizace udělala vše proto, aby zajistila pověřenci odpovídající zvýšení kvalifikace za účelem posílení profesních pravomocí. Z tohoto pohledu mají akreditované kurzy obrovskou výhodu a přínos.
Podobně jako např. projektový manažer musí být Pověřenec schopen propojovat požadavky různé legislativy, managementu a dalších odborných rolí (např. bezpečnostní ředitel). Proto musí umět:
Nalézt pro všechny strany přijatelné řešení
Obhajovat i nepopulární závěry a nutné postupy
Odhalit nesoulad s GDPR
Navrhovat změny v oblasti ochrany údajů
Dohlížet na realizaci opatření podobně, jako je tomu na projektech
Jaký kurz je pro DPO nejlepší?
Řada dozorových úřadů a expertů doporučuje, aby skutečně odborný a komplexní kurz pro pověřence pro ochranu osobních údajů splňoval tyto podmínky:
Obsahuje kurz komplexní program pro DPO? | eCF ANO |
Je školení zakončené mezinárodní certifikací? | eCF ANO |
Je postavení certifikačního schématu v souladu s GDPR? | eCF ANO |
Je Data Protection Officer certifikát uznáván mezinárodně? | eCF ANO |
* V druhém sloupci pro informaci uvádíme, jak si stojí kurz Data Protection Officer s akreditací dle eCF (European Competence Framework)
Proč Data Protection Officer certifikovaný dle eCF?
Tento evropský kompetenční standard by založený v roce 2016. Dokonce je vydán jako oficiální evropská norma EN 16234-1. e-CF slouží pro mezinárodní uznatelnost a standardizaci kompetencí v rámci jednotného certifikačního schématu.
Poskytuje jednotný hodnotící rámec, terminologii a také standardizovanou definici parametrů na certifikace dle kompetencí. Zároveň je kompatibilní s nároky na výkon rolí jak v soukromém sektoru, tak ve veřejné správě. Díky tomu je nyní možné na evropské úrovni specifikovat a definovat požadavky na jednotlivé kompetence a to napříč státy Evropské unie.
Certifikační rámec není založen na profesích, ale na rolích (např. pověřenec pro ochranu osobních údajů). Tento přístup je flexibilnější a více odpovídá modernímu fungování organizací po celém světě.
eCF je součástí strategie EU pro e-Skills (European Union’s Strategy for e-Skills) v 21. století. Jeho účelem je poskytovat evropský standard pro mezinárodní uznávání kvalifikací. Ty jsou vždy rozdělené do pěti úrovních znalostí (proficiency levels) a dále se přizpůsobují konkrétní kompetenci z různých úhlů, jako např. Data Protection, Management, Law, atd.