DATA PROTECTION OFFICER Traži se vojska supermena za zaštitu podataka

Na najvrućem radnom mjestu današnjice – službenika za zaštitu podataka ili, kraće, DPO-a trebao bi biti zaposlen pravnik i informatičar u jednoj osobi. Prema Uredbi o zaštiti osobnih podataka koja se primjenjuje od 25. svibnja, DPO je dobio jednu od najvažnijih uloga u kompaniji. Neće ga više morati angažirati samo tvrtke s više od 20 zaposlenih, nego i mnoge male, ovisno kako obrađuju podatke.

Jedna direktiva bila je dovoljna da nastane ‘najseksi’ zanimanje. Iako ne zvuči baš atraktivno – službenik za zaštitu podataka, riječ je o itekako ‘vrucem’ radnom mjestu. A čak nije riječ o novom zanimanju kao što je, primjerice, podatkovni znanstvenik, koji je dosad nosio titulu ‘najseksi’.

No, vrlo kompleksna i rigorozna EU Uredba o zaštiti osobnih podataka (General Data Protection Regulation – GDPR), koja se počinje primjenjivati od 25. svibnja, dala je dosadašnjem službeniku (Data Protection Officer ili kraće DPO) sasvim novu i neusporedivo važniju ulogu pa se s pravom govori o radnom mjestu koje će obilježiti iduće godine i za kojim će vladati ogromna potražnja. Kompanijama i organizacijama koje ga prema novome moraju imati to je ne baš jednostavan zadatak koji moraju čim prije riješiti, ali zato se, s druge strane, otvaraju brojne prilike potencijalnim DPO-ovima. Mali problem je jedino što bi ta osoba za kvalitetno obavljanje posla trebala biti otprije – Superman. Najkraće rečeno, to bi trebao biti pravnik i informatičar u jednoj osobi, s naglaskom na znanja iz područja informacijske sigurnosti.

U IT kompaniji Combis, jednoj od vrlo rijetkih domaćih tvrtki koje su se uskladile s GDPR regulativom, DPO je pravna savjetnica Ana Matković Čorda. S obzirom na dosadašnji zakonski zahtjev prema svim poslodavcima koji zapošljavaju više od 20 radnika Combis je i prije 2016. imenovao službenika za zaštitu osobnih podataka, a nakon stupanja na snagu GDPR-a, u ljeto 2016. godine, formirao je radno mjesto DPO-a, koji je u potpunosti posvećen GDPR temama i u internoj je organizaciji ustrojen direktno u vertikali odgovornosti predsjednika Uprave. DPO mora, kaže Matković Čorda, jako dobro poznavati nacionalne i EU-propise te praksu iz područja zaštite osobnih podataka, ali i razumjeti njihovu korelaciju s tehničkom infrastrukturom. Mora imati i iskustva u suradnji s odjelima zaduženim za IT infrastrukturu i sigurnost informacija, marketing i prodaju te odjelom ljudskih potencijala u smislu savjetovanja u pogledu zahtjeva zaštite privatnosti. Ne manje važne su jako dobre komunikacijske vještine jer je, kaže Matković Čorda, ključno kolegama uspješno prenijeti znanje o Uredbi i odgovarajuće predstavljati poslodavca prema nadzornom tijelu.

Prema novome kriteriju za imenovanje DPO-a više nije veličina tvrtke (više od 20 zaposlenih) nego vrsta i količina obrade osobnih podataka. Stoga i mnoge male tvrtke moraju imati službenika za zaštitu podataka, što je njima mnogo teži zadatak nego velikima budući da često nemaju ni pravni ni informatičare.

Ramiro, mala konzultantska tvrtka u području organizacijskog razvoja i upravljanja ljudskim resursima sa svega nekoliko zaposlenih, morala je imenovati DPO-a s opisom posla koji propisuje GDPR. Ima ga od sredine prošle godine, kada je zbog potreba online programa Moj life coach Agenciji za zaštitu osobnih podataka (AZOP) morala prijaviti podatke koje će prikupljati od svojih korisnika, a tu funkciju u Ramiru preuzela je voditeljica ureda Maja Holjak, prvostupnik informacijsko-komunikacijskog prometa. Pritom su u Ramiru tražili i pomoć odvjetnika, koji ih je dodatno upoznao s pravnom stranom prikupljanja podataka.

• Najveći izazov je usklađivanje našeg poslovanja s propisima jer smo konzultantska tvrtka koja radi s mnogo ljudi pa je samim time i količina podataka koju prikupljamo velika i raznovrsna – napominje Holjak.

Da bi DPO kvalitetno odradio svoj posao trebao bi, kaže Holjak, imati predznanje iz područja prava i informacijskih sustava te razumjeti kako se upotrebljavaju i obrađuju podaci koji se prikupljaju. Osim znanja iz tih područja, sudske prakse i pravila GDPR-a, ključno je da je osoba aktivna, motivirana i sposobna uspostaviti procese, upravljati rizikom i pronalaziti praktična rješenja izazova s kojima se susreće.

S obzirom na to da su i dosad imali službenika za zaštitu podataka, u Combisu znaju koliko se taj posao promijenio te da, s obzirom na brojnost promjena i kompleksnost zahtjeva koje donosi GDPR, imenovanje DPO-a samo kako bi se zadovoljila forma ne može biti zadovoljavajuće rješenje. DPO preuzima vrlo odgovornu funkciju unutar kompanije i svojim angažmanom može utjecati na minimiziranje rizika incidenata i vrlo visokih novčanih kazni (do četiri posto globalnog prometa organizacije, odnosno do 20 milijuna eura, ovisno o tome koji je viši) koje su predviđene za kršenje uredbe GDPR.

• Uspješna provedba tako zahtjevnog projekta moguća je ako postoji visoka razina svijesti menadžmenta o važnosti usklađenja s GDPR-om, a u projektu mora sudjelovati multidisciplinarni tim. U njemu bi trebali biti DPO, Chief Information Security Officer (CISO) i IT eksperti koji će dizajnirati i implementirati izmjene u IT sustavima koji služe za obradu osobnih podataka, zatim pravnik, kolege iz odjela ljudskih potencijala, marketinga i komunikacija, prodaje i eventualno drugih organizacijskih jedinica koje u svom radu prikupljaju i obrađuju osobne podatke – objašnjava Matković Čorda, ističući da usklađivanje poslovanja sa zahtjevima GDPR-a ne prestaje provedbom takvog projekta, već DPO-a i nakon toga čeka stalan i zahtjevan angažman održavanja odgovarajuće razine ‘pouzdanosti’ u postupanju s osobnim podacima i ostale zadaće koje su propisane GDPR-om. Da bi uspješno obavljao svoju funkciju, DPO bi trebao biti direktno podređen upravi. Danas, dakle, govorimo o potpuno novoj ulozi, sa starim imenom, i takve je kadrove poprilično teško naći. Većina hrvatskih tvrtki tek je zagreba u usklađivanje s GDPR-om, premda vrijeme uvelike curi, i daleko su od imenovanja DPO-a koji bi trebali biti nositelji projekta u organizaciji, a pretpostavka je da će ih nastojati naći unutar svojih redova. DPO može obavljati i druge aktivnosti, ako spomenuti poslovi ne zahtijevaju puno radno vrijeme.

Na portalu Moj Posao tijekom 2017. imali su samo jedan oglas za tu radnu poziciju. Ističu da je vjerojatniji veći interes tvrtki za edukacije na temu GDPR-a i službenika za zaštitu osobnih podataka kako bi se educirali postojeći zaposlenici odabrani za to zaduženje nego za objavu oglasa za to radno mjesto. Taj oglas objavio je telekomunikacijski operator Vipnet u kojem se, zbog važnosti i kompleksnosti teme GDPR koja ulazi u svaki segment poslovanja, pokazala potreba za osobom koja će biti posvećena provedbi GDPR-a i uskladiti sve procese u kompaniji. – Imamo tim za GDPR koji se bavi tom temom već od početka 2017. godine. Proces odabira najboljega kandidata za poziciju službenika za zaštitu podataka u tijeku je, javilo se mnogo odličnih kandidata te nam je drago da ćemo moći iz tako velikog broja kvalitetnih prijava zaposlit najboljega kandidata – kažu u Vipnetu. Iako profil budućeg DPO-a zakon namjerno definira vrlo općenito, implicitno se, ističe Danko Pigac iz konzultantske tvrtke Pragmatekh, koja nudi i već radi u ulogama ‘DPO-for-Rent’, iz njegovih zadaća i odgovornosti iščitava sasvim druga slika. Uloga DPO-a vrlo je široka – od točke kontakta za ispitanike i nadzorno tijelo do sudjelovanja u svim procjenama sigurnosti, rizika i učinka, edukacije i informiranja zaposlenika te odlučne uloge u odobravanju novih obrada s mogućnošću njihove zabrane i savjetovanja uprave. Još kad tome dodamo, kaže Pigac, da DPO-a moraju imenovati sve javne tvrtke i institucije, koje vrlo rijetko imaju zaposlenike s takvim znanjima, definitivno govorimo o velikoj nestašici potrebnog kadra. Osim toga, tvrtke koje redovito i sustavno provode intenzivne obrade ispitanika često imaju manjak široko stručnih zaposlenika.

Uredba definira mogućnost imenovanja DPO-a koji nije zaposlenik tvrtke pa se na tržištu nude i ‘DPO-i for rent’. Jedino što ne može biti stranac jer mora na jeziku zemlje komunicirati s nadzornim tijelom.