Nariadenie o prísnejšej ochrane osobných údajov známe pod skratkou GDPR (General Data Protection Regulation) prikazuje niektorým firmám vytvoriť novú pozíciu – úradníka zodpovedného za osobné údaje. Takzvaný Data Protection Officer (DPO) bude podľa odborníkov zakrátko lukratívnou pozíciou a nebude vôbec jednoduché ho nájsť.
Európske nariadenie GDPR začne byť účinné vo všetkých členských krajinách od 25. mája tohto roka. Podľa odhadov si vyžiada zmeny procesov a systémov u približne pol milióna firiem na Slovensku za vyše 40 miliónov eur. Nariadenie zavádza niekoľko nových požiadaviek, medzi ktorými je aj povinné ustanovenie DPO – zodpovednej osoby pre spracúvanie osobných údajov pre určený okruh prevádzkovateľov. Dnes je na Slovensku ustanovenie zodpovednej osoby dobrovoľné.
„Z DPO sa vo veľmi krátkom čase stane lukratívna pozícia, keďže sa v tejto funkcii stretli široké požiadavky na kompetencie a regulácia jej garantuje rozsiahle právomoci. Vyústenie do veľmi slušne zaplatenej pracovnej pozície mi príde ako celkom logické,“ myslí si certifikovaný etický hacker a odborník na kybernetickú bezpečnosť zo spoločnosti Amtel Slovensko Ľubomír Kopáček, ktorý spolupracuje s TÜV SÜD Slovakia na odborných školeniach pre manažment a zamestnancov.
Ktoré firmy musia mať DPO
Podľa GDPR musia mať prevádzkovatelia Data Protection Officera v troch konkrétnych prípadoch:
- Spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt;
- Hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú také spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu;
- Hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.
„Pod veľkým rozsahom si teda nepredstavujme iba veľké množstvo spracúvaných údajov, ale aj napríklad dlhú dobu ich uloženia, veľký rozsah samotných dát, a podobne. Posúdenie veľkého rozsahu je naozaj na expertnom odhade a zvážení všetkých okolností,“ vysvetľuje Kopáček.
Aké úlohy a kvality má mať DPO
Kompetencie a úlohy DPO sú veľmi široké. Monitoruje dodržiavanie nových požiadaviek na ochranu osobných údajov a súvisiacich právnych predpisov, poskytuje informácie, poradenstvo a odporúčania vedeniu či spolupracuje s Úradom na ochranu osobných údajov. DPO majú reguláciou garantované nezávislé postavenie, musia byť prizývané na zasadnutia manažmentu, a budú musieť byť pri rozhodnutiach vplývajúcich na ochranu osobných údajov.
Firmy by mali DPO vyberať na základe primeraných odborných kvalít. V ideálnom prípade by mali byť títo úradníci dobrými odborníkmi v troch náročných odboroch – v lokálnom aj európskom práve, v kybernetickej bezpečnosti a v procesnom riadení. Takáto kombinácia je však ojedinelá.
„Pri výbere by som sa preto spoľahol na ľudí, ktorí majú praktické skúsenosti s kybernetickou bezpečnosťou a zároveň s ochranou osobných údajov. U nich je prirodzený predpoklad, že sú zorientovaní aj v legislatíve,“ radí Kopáček. Odporúča zamerať sa na kandidátov s morálnou integritou a vysokou profesijnou etikou. Podľa Kopáčeka „pri výkone tejto funkcie hrozí každú sekundu únik najviac strážených tajomstiev firiem a tam musíte mať istotu, že človek, ktorý pre vás pracuje, dáta na druhý deň nepredá konkurencii.”
Zodpovedná osoba nemusí byť iba interný zamestnanec firmy, môže túto funkciu zastávať aj externe na základe zmluvy. Tento model bude pre firmy podľa etického hackera Kopáčeka pravdepodobne ekonomicky najvýhodnejší. Zároveň podniky patriace do jednej skupiny si môžu zvoliť iba jedného DPO.