Smernice o ustreznih kvalifikacijah za pooblaščeno osebo za varstvo podatkov (DPO)

Smernice o ustreznih kvalifikacijah za pooblaščeno osebo za varstvo podatkov (DPO)
05. 08. 2021 objavil/a Administrator
DPO
Irska
smernice

V členu 37.5 GDPR je določeno, da je pooblaščena oseba za varstvo podatkov „imenovana na podlagi poklicnih lastnosti in zlasti strokovnega znanja o zakonodaji in praksah o varstvu podatkov ter sposobnosti za izpolnjevanje nalog iz 39. člena“. 


Splošna uredba o varstvu podatkov ne opredeljuje zahtevanih poklicnih lastnosti in ne predpisuje usposabljanja, ki bi ga morala oseba za varstvo oseb opraviti, da bi lahko prevzela vlogo. To organizacijam omogoča, da se odločijo o kvalifikacijah in usposabljanju svojih DPO, prilagojenih kontekstu obdelave podatkov organizacije.

Ustrezno raven usposobljenosti in strokovnega znanja je treba določiti glede na izvedene postopke obdelave osebnih podatkov, zapletenost in obseg obdelave podatkov, občutljivost obdelanih podatkov in zaščito, potrebno za podatke, ki se obdelujejo.

Na primer, kadar je dejavnost obdelave podatkov posebej zapletena ali kadar gre za obsežne ali občutljive podatke (npr. internet ali zavarovalnica), lahko DPO potrebuje višjo raven strokovnega znanja in podpore.

Ustrezne spretnosti in strokovno znanje vključujejo:

  • strokovno znanje o nacionalnih in evropskih zakonih in praksah o varstvu podatkov, vključno s poglobljenim razumevanjem GDPR;

  • razumevanje izvedenih postopkov obdelave;

  • razumevanje informacijskih tehnologij in varnosti podatkov;

  • poznavanje poslovnega sektorja in organizacije; in

  • sposobnost spodbujanja kulture varstva podatkov v organizaciji.

Na primer, organizacija za varstvo podatkov bo morda potrebovala strokovno raven znanja o nekaterih specifičnih funkcijah IT, mednarodnih prenosih podatkov ali poznavanju posebnih praks varstva podatkov, kot sta obdelava podatkov v javnem sektorju in izmenjava podatkov, da lahko ustrezno opravlja svoje naloge.

Ob upoštevanju obsega, zapletenosti in občutljivosti njihovih postopkov obdelave podatkov bi se morale organizacije proaktivno odločati o kvalifikacijah in stopnji usposobljenosti, ki je potrebna za njihove DPO.

Pri takem ocenjevanju bi se morale organizacije zavedati, da se lahko uvedejo različne možnosti usposabljanja. Nekateri tečaji so enodnevni, nekateri pa samo na spletu. Drugi vodijo do akademsko akreditiranih potrdil, kot so diplome nacionalnih pravnih združenj. Obstajajo tudi drugi mednarodno priznani programi strokovnega usposabljanja, ki ponujajo poklicne kvalifikacije, ki zahtevajo nenehno zavzetost za usposabljanje, da se ohrani poklicna kvalifikacija.

Komisija za varstvo podatkov priporoča, da se pri izbiri ustreznega programa usposabljanja DPO upošteva naslednji neizčrpen seznam dejavnikov:

  • vsebina in sredstva usposabljanja in ocenjevanja;

  • ali je potrebno usposabljanje, ki vodi do certificiranja;

  • položaj akreditacijskega organa; in

  • ali je usposabljanje in certificiranje mednarodno priznano.

V vsakem primeru mora imeti oseba za varstvo podatkov ustrezno raven znanja in izkušenj na področju zakonodaje in praks o varstvu podatkov, da se ji omogoči izvajanje te zahtevne vloge.

Vir: irski pooblaščenec

Naslovna fotografija: RawPixel