Jakou kvalifikaci a jaký kurz potřebuje Pověřenec pro ochranu osobních údajů?

Má to být právník, nebo je lepší agendu delegovat na IT? Jakou roli hraje HR, marketing, interní audit? Kdo má nejlepší předpoklady stát se pověřencem pro ochranu osobních údajů?

Jak vybrat Pověřence pro ochranu osobních údajů?

Klíčový je stále článek 37 odst. 5 GDPR, který upřesňuje jmenování pověřence pro ochranu osobních údajů takto:

“Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.” 

Proč zde chybí podrobnější popis?

GDPR je obecným předpisem, který dopadá na správce a zpracovatele všech velikostí a ze všech sektorů. Pověřence pro ochranu osobních údajů tak musí jmenovat banka, telekomunikační operátor, pojišťovna či nemocnice, ale také škola, kraj a obec i malá firma, pokud zpracovává osobní údaje ve velkém rozsahu nebo s využitím pokročilých technologií. Třeba nástrojů umělé inteligence (Artificial Intelligence), která může být i z pohledu GDPR riziková.

DPO, jeho postavení, role, kompetence i znalosti pak musejí v maximální míře odpovídat podmínkám a specifikům organizace. Musí také reflektovat národní specifika, resp. požadavky národních právních předpisů a sektorové regulace.

Definovat konkrétní požadavky na DPO, nebo okruhy požadavků a vhodných způsobů jejich naplnění, zkrátka není snadné. Ani Evropský sbor pro ochranu osobních údajů, který sdružuje národní dozorové úřady, to ještě nebyl schopen udělat.

Update 5. 7. 2024: Evropský sbor pro ochranu osobních údajů a dozorové úřady z jednotlivých států se v roce 2023 zaměřily právě na postavení a fungování pověřenců. Výsledky této koordinované dozorové akce nejsou zcela uspokojivé. Jedním ze společných zjištění bylo i to, že řada pověřenců pro ochranu osobních údajů má nedostatečnou expertízu a není odborně na takové výše, aby mohli úkoly plynoucí z čl. 39 GDPR zajistit v plném rozsahu, včas a v dostatečné kvalitě.

Kvalifikační předpoklady pověřence pro ochranu osobních údajů

Jaké kvalifikační předpoklady by tedy měl pověřenec pro ochranu osobních údajů splňovat, aby vyhověl požadavkům regulace, dozorových úřadů i dynamicky se vývíjejí praxe zpracování a ochrany dat?

Návod a podporu najdeme u WP 29!

Working party (WP) 29, jinak řečeno pracovní skupina zřízená podle článku 29 směrnice 95/46/ES, byla předchůdcem dnešního Evropského sboru pro ochranu osobních údajů. Pracovní skupina WP29 sdružovala dozorové orgány za bývalé právní úpravy a byla poradním orgánem pro jednotný výklad regulace ochrany osobních údajů a ochrany soukromí.

Skupina WP29 definovala požadavky na budoucí pověřence, DPO. A Evropský sbor pro ochranu osobních údajů ihned po svém vzniku požadavky WP29 potvrdil a převzal.

Jak tedy WP29, a potažmo Evropský sbor pro ochranu osobních údaj, doporučují definovat kvalifikační předpoklady a odborné znalosti pověřenců? Na základě kombinace těchto faktorů:

  • Počet a forma datových toků

  • Úrovní citlivosti osobních údajů

  • Složitosti a rozsahu zpracování osobních údajů

  • Potřebné bezpečnosti a ochrany zpracování dat

To znamená, že v organizacích, kde se osobní údaje zpracovávají ve velkých objemech a jejichž životní cyklus je procesně složitý (nemocnice, operátoři, poskytovatelé analytických nástrojů či cloudových služeb, finanční instituce) budou na pověřence kladeny mnohem vyšší odborné a kvalifikační předpoklady, než je tomu u malých a středních podniků či v menších obcích nebo školách.

Odborné znalosti a dovednosti DPO

Na prvním místě je nutná znalost vnitřních předpisů a postupů v oblasti zpracování osobních údajů, ale i důkladné a praktické porozumění dopadům GDPR a sektorové regulace.

Znamená to, že by tuto pozici měl zastávat výhradně právník?

Nikoliv. Mezi další požadavky stanovené WP29 totiž patří:

  • Orientace v IT technologiích organizace

  • Znalost základních principů pro zabezpečení dat

  • Pochopení životního cyklu zpracování osobních údajů ve společnosti

  • Schopnost prosazovat ochranu dat a koordinovat aktivity vedoucí k zajištění souladu organizace s GDPR

Pověřenec může k výkonu své funkce potřebovat navíc další znalosti, bez nich není schopen svoji roli zastávat v plném rozsahu, zejména:

  • Principy zabezpečení a sdílení údajů

  • Specifické znalosti interních IT systémů

  • Procesní řízení

  • Zkušenosti z kontrolní činnosti, znalost auditních postupů

  • Problematiku mezinárodního předávání dat

  • Znalosti ochrany údajů dané odvětvím (soukromý sektor, veřejná správa) 

Management organizace musí při výběru vhodného pověřence pro ochranu osobních údajů přihlédnout k rozsahu, složitosti a citlivosti všech operací, př kterých dochází k zpracování dat. A také ke svojí organizační struktuře, propojení s dalšími podniky ve skupině a obchodními a strategickými záměry.

Jak se nejlépe připravit na pozici Pověřence ochrany osobních údajů?

Při výběru vhodného postupu pro získání a prohloubení kvalifikace v oblasti ochrany osobních údajů je dobré zvážit všechny možnosti, které jsou na trhu nabízeny. 

Obecné Online GDPR kurzy

Jsou vhodné spíše pro základní orientaci v tématu, případně pro prohloubení znalosti v některé specifické otázce.

Semináře, přednášky a konference

Další ze způsobů získání know-how. Zpravidla jde ale o obecně osvětovou činnost (evangelizaci), která přispívá k rozšíření povědomí (vím, na co se zaměřit), ale už mnohem méně s praktickým dopadem (jaká konkrétní opatření realizovat). Tato forma většinou není ideálním základním stavebním kamenem k získání odborné kvalifikace, ale spíše vhodným doplňkem už existujících znalostí a zkušeností. 

Kurzy akreditované u mezinárodních institucí

Tyto programy garantují získání komplexní profesní úrovně, kterou by měl každý DPO v minimálním měřítku splňovat. Zároveň jsou zakončené certifikační zkouškou.

Absolventský certifikát je tak potvrzením, že kandidát splňuje odbornou kvalifikaci, kterou získal v rámci akreditované přípravy. Pochopitelně žádný kurz ani certifikát nezajistí 100% jistotu a garanci, že váš pověřenec pro ochranu osobních údajů bude vždy fungovat v souladu s požadavky GDPR. A navíc to vždy není jen o něm, GDPR procesy musí být nastaveny napříč organizací. Odpovědnost za soulad s GDPR má primárně vedení organizace, manažeři a jednotliví zaměstnanci, kteří s osobními údaji pracují.  

Kurz Data Protection Officer

Při incidentu v oblasti ochrany osobních údajů se bude často přezkoumávat i to, zda organizace udělala vše proto, aby zajistila pověřenci odpovídající zvýšení kvalifikace za účelem posílení profesních pravomocí. Z tohoto pohledu mají akreditované kurzy obrovskou výhodu a přínos.

Podobně jako např. projektový manažer musí být Pověřenec schopen propojovat požadavky různé legislativy, managementu a dalších odborných rolí (např. bezpečnostní ředitel). Proto musí umět:

  • Nalézt pro všechny strany přijatelné řešení

  • Obhajovat i nepopulární závěry a nutné postupy

  • Odhalit nesoulad s GDPR

  • Navrhovat změny v oblasti ochrany údajů

  • Dohlížet na realizaci opatření podobně, jako je tomu na projektech

Jaký kurz je pro DPO nejlepší?

Řada dozorových úřadů a expertů doporučuje, aby skutečně odborný a komplexní kurz pro pověřence pro ochranu osobních údajů splňoval tyto podmínky: 

Obsahuje kurz komplexní program pro DPO?

eCF ANO

Je školení zakončené mezinárodní certifikací?

eCF ANO

Je postavení certifikačního schématu v souladu s GDPR?

eCF ANO

Je Data Protection Officer certifikát uznáván mezinárodně?

eCF ANO

* V druhém sloupci pro informaci uvádíme, jak si stojí kurz Data Protection Officer s akreditací dle eCF (European Competence Framework)


Proč Data Protection Officer certifikovaný dle eCF?

Tento evropský kompetenční standard by založený v roce 2016. Dokonce je vydán jako oficiální evropská norma EN 16234-1. e-CF slouží pro mezinárodní uznatelnost a standardizaci kompetencí v rámci jednotného certifikačního schématu.

Poskytuje jednotný hodnotící rámec, terminologii a také standardizovanou definici parametrů na certifikace dle kompetencí. Zároveň je kompatibilní s nároky na výkon rolí jak v soukromém sektoru, tak ve veřejné správě. Díky tomu je nyní možné na evropské úrovni specifikovat a definovat požadavky na jednotlivé kompetence a to napříč státy Evropské unie.

Certifikační rámec není založen na profesích, ale na rolích (např. pověřenec pro ochranu osobních údajů). Tento přístup je flexibilnější a více odpovídá modernímu fungování organizací po celém světě.

eCF je součástí strategie EU pro e-Skills (European Union’s Strategy for e-Skills) v 21. století. Jeho účelem je poskytovat evropský standard pro mezinárodní uznávání kvalifikací. Ty jsou vždy rozdělené do pěti úrovních znalostí (proficiency levels) a dále se přizpůsobují konkrétní kompetenci z různých úhlů, jako např. Data Protection, Management, Law, atd.

Článek je publikován také na gdpr.cz

Chcete získat dárek k narozeninám?