Ne znamo kakvo je stanje stručnosti i sposobnosti obavljanja odgovornih uloga službenika za zaštitu podataka u Francuskoj, ali se i tamo možda susreću s istim ili sličnim problemom kao u RH.
Pisali smo o stanju u Hrvatskoj po objavi AZOP rezultata:
- 54% službenika za zaštitu podataka nema nikakvo prethodno iskustvo u području zaštite osobnih podataka, iako GDPR propisuje da se službenik imenuje temeljem stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39. GDPR-a, a
- čak 82% anketiranih Službenika za zaštitu podataka smatra kako im je potrebna dodatna edukacija iz područja zaštite osobnih podataka.
https://www.biconsult.hr/gdprcroatia/1628-rezultati-azop-ankete-strucnost-sluzbenika-za-zastitu-podataka-u-hrvatskoj-nije-na-zeljenoj-razini-2
CNIL, francusko nadzorno tijelo, je nedavno objavio zaista lako čitljive upute za službenike za zaštitu podataka, zašto i tko ih mora imenovati i što je neophodno da bi oni mogli obavljati svoje zadaće.
Izdvajamo iz dokumenta:
- DPO donosi stručnost u organizaciju kako bi ista bila usklađena s GDPR obvezama
- DPO potiče kulturu zaštite podataka unutar organizacije i među svim zaposlenicima
- DPO vodi interne edukacije i komunikaciju osvještavanja zaposlenika
- DPO se predstavlja u organizaciji kao središnja točka za sva pitanja u području zaštite podataka
- DPO nije odgovoran za usklađenost organizacije, ali je njegova uloga ključna za usklađenost
- DPO je odgovora za praćenje usklađenosti organizacije provođenjem audita i revizija
- DPO je obvezan surađivati s nadzornim tijelom i biti im na raspolaganju
(Zanimljivost: CNIL ne odgovara na upite organizacija koje se prije toga nisu konzultirale sa svojim DPO)
- DPO je na raspolaganju svim pojedincima koji imaju neko pitanje ili zahtjev prema GDPR-u
- DPO bi trebao voditi Evidencije aktivnosti obrada
- ako organizacija odbije postupiti po uputama DPO-a, DPO treba dokumentirati razloge zašto je njegova uputa odbijena
- STRUČNOST DPO-a:
# pravna i tehnička stručnost
# poznavanje poslovnih procesa, regulative industrije ili gospodarske grane
# razumijevanje postupaka obrade podataka, IT sustava i sigurnosnih zahtjeva
# za DPO u javnom sektoru - poznavanje upravnih postupaka i pravila
- ako DPO nema ove stručnosti, u kraćem roku se mora osigurati njegova stručnost
- DPO mora biti osoba s individualnim kvalitetama, integritetom, profesionalnom etikom, sposobnošću komuniciranja, populatizacije zaštite podataka i uvjeravanja
- nije nužna certifikacija da bi netko bio DPO
- CISO može biti i DPO pod uvjetom da u CISO ulozi ne određuje svrhe i sredstva obrada osobnih podataka
- DPO može raditi i za konkurenciju, ionako ga obvezuju obveze čuvanja profesionalne tajne i povjerljivosti
CNIL Upute za službenike za zaštitu podataka:
https://www.cnil.fr/sites/default/files/atoms/files/cnil-gdpr_practical_guide_data-protection-officers.pdf
