Ne postoji certifikat za službenike za zaštitu podataka

Prilagodba poslovanja GDPR-u sama je po sebi složena operacija s dalekosežnim posljedicama ako ode u pogrešnom smjeru. Zato je ključno odabrati dobrog konzultanta ili tvrtku koja će sudjelovati u tom postupku. Pritom treba biti oprezan, posebno prema tvrtkama koje su u svoj portfelj usluga samo dodale prilagodbu GDPR-u.

Prava vrlo mlade, zbog čega nema standarda kvalitete, stoga mnoge tvrtke ne znaju prepoznati kvalitetne ponude za prilagodbu GDPR-u. Posao im otežava to što su mnoge tvrtke koje se bave poslovnim savjetovanjem i informatičkim rješenjima svojemu portfelju usluga dodale prilagodbu GDPR-u, pa se vrlo teško snaći u šumi ponuda. Primjerice, nije razumno angažirati one koji se bave prodajom pisača, uredskog materijala i prilagodbom GDPR-u kao dodatnom uslugom. Na tržištu su tri-četiri tvrtke koje su se specijalizirale za uvođenje GDPR-a i samo to nude klijentima, ali mnogo je onih koje su prilagodbu samo dodale svojem portfelju usluga, zato u izboru treba biti vrlo oprezan.

Treba ispitati tko će raditi s vama na provedbi GDPR-a. Pitajte što ta osoba još radi u tvrtki, što je po zanimanju (je li pravnik, informatičar), je li obrazovana za zaštitu podataka i ima li iskustvo s tim te koliko može biti posvećena vama. Ako ima mnogo zaduženja, neće se moći kvalitetno posvetiti prilagodbi vašeg poslovanja GDPR-u i vašim ciljevima, nego će se za usklađivanje pobrinuti ‘kad stigne’. Bez obzira na cijenu zaobidite takvu tvrtku u širokom luku.

U odabiru ponude svakako treba znati i to da je prilagodba GDPR-u multidisciplinarna, zbog čega je treba sagledati iz kuta pravnih zahtjeva, usklađenosti poslovnih procesa s Uredbom, informacijske sigurnosti te potpore u obliku odgovarajućih tehničkih rješenja, primjerice upravljanja pristancima. Dakle, za provedbu GDPR-a potrebni su i pravnik i informatičar.

Uz GDPR nude se mnoge usluge: seminari na temu GDPR-a, certifikati, službenik za zaštitu osobnih podataka na zahtjev, automatizacija analize utjecaja na privatnost, mapiiranje tokova osobnih podataka (ručnim unosom ili automatiziranim praćenjem), rješenja za upravljanje privatnošću (tzv. privacy management frameworks), pristancima, sigurnosnim rizicima trećih strana i in…

Na tržištu su se namnožili i oni koji certificiraju službenike za zaštitu osobnih podataka, a nikad nisu uistinu to radili, a kamoli bili službenici za zaštitu osobnih podataka. Također ne postoji certifikat za službenike za zaštitu podataka jer to nije propisano ni GDPR-om ni zakonom, a ni pravilnikom; certifikat se ne izdaje i ne obnavlja. Međutim, čak i velike tvrtke nasjedaju na takve ponude i za to plaćaju i do osam tisuća kuna po osobi za dva dana. Agencija za zaštitu osobnih podataka izdala je o tome i mišljenje, naime da certifikacija službenika za zaštitu podataka ne postoji u onom obliku u kojem je to preplavilo tržište. Kad počne AZOP-ov nadzor, taj će ‘certifikat’ imati status potvrde o usavršavanju koji se izdaje na svakom seminaru čije sudjelovanje stoji do dvije tisuće kuna s PDV-om. Događa se i to da se nude predavanja o pravnim aspektima GDPR-a na kojima su predavači informatičari!

Većina konzultanata koji trenutačno love u mutnom, odnosno u nesnaženju tvrtki s GDPR-om i njihova straha od velikih kazni, u ponudama ponavlja terminološke pogreške poput ‘vlasnik podataka’, ‘vlasništvo podataka’, ‘službenik za zaštitu podataka’ umjesto termina ‘voditelj zbirk’ te druge pogrešne pojmove koje ne poznaje pravo zaštite podataka. U ponudama također pišu da će govoriti o povijesti i praksi GDPR-a iako ni jednoga ni drugoga još nema, otprije postoji samo pravne praksa. Neki istaknuti konzultanti za GDPR pak tvrde da je Agencija za zaštitu osobnih podataka osnovana 2012., kad je donesen Zakon o zaštiti podataka, no Agencija postoji još od 2004. Ima, nadalje, ponuda koje nisu utemeljene na GDPR-u, ali uvjerava se da jesu pa mnogi nasjednu u brzini.

Iskusni konzultanti s objektivnim znanjem, iskustvom, kompetencijama i postignućima u zaštiti osobnih podataka ne upuštaju se u sve i svašta samo da bi zaradili jer su svjesni svega što znaju i ne znaju o GDPR-u. Prilagodba GDPR-u težak je novi zadatak, zbog čega treba stalno usavršavati znanje i potreban je multidisciplinarni pristup. Konzultanti za GDPR koji su pravnici bave se samo pravnim aspektima prilagodbe GDPR-u, informatičari onime što se odnosi na IT itd. Svjesni su odgovornosti i svojih ograničenja jer su samo pravnici ili informatičari. Partner su tvrtkama koje su ih angažirale i, kad jednom AZOP zakuca na vrata, poslije nadzora mirno spavaju.

Sljedeći je korak kontaktirati e-poštom s tvrtkom i njezinim konzultantom za GDPR. U prvoj e-poruci dajte tvrtki i konzultantu za GDPR što više informacija o sebi i svojim ciljevima. Nemojte tražiti ponudu samo kako biste saznali cijenu usluge, nego pružite što više informacija kako bi mogli složiti pravu ponudu za vas. Nazovite i dogovorite sastanak s konzultantom zaduženim za provedbu GDPR-a da predstavi sebe i svoju tvrtku, ali i upozna osobe unutar vaše tvrtke s kojima će raditi. Saznajte njegove referencije, je li radio s klijentima iz vaše djelatnosti, tko su osobe koje će biti konzultanti za prilagodbu vašega poslovanja GDPR-u. Provjerite što još te osobe rade u tvrtki; ako se bave s još nekoliko poslova, provjerite koliko će vremena posvetiti vama. Također provjerite kako se usavršavaju i koliko vremena ulažu u edukaciju o zaštiti podataka i aktualnim smjernicama koje izdaju Europska komisija i druga nadzorna tijela za zaštitu podataka u Europskoj uniji. To je jedan od najvažnijih koraka jer svoju prilagodbu GDPR-u sigurno ne želite prepustiti osobi koja se bavi s pet poslova u agenciji, a usput ‘malo radi i za vas’.

Nemojte svoju odluku temeljiti isključivo na cijeni, nego na cjelokupnoj ponudi. Na temelju prethodnog koraka zaključite koja vam tvrtka ili konzultant najviše odgovaraju, čije vam se usluge najviše sviđaju, usporedite cijene i odlučite. Kontaktirajte sa svim konzultantima i javite im rezultate odabira. Nemojte ostavljati druge tvrtke ili konzultante u neznanju da od suradnje neće biti ništa jer ste odabrali nekog drugog za partnera. Jedna iskrena e-pošta ili poziv neće vam oduzet mnogo vremena. Dogovorite sve tehničke detalje s tvrtkom i s konzultantom za GDPR te potpišite ugovor o suradnji. Sve tvrtke imaju svoj prijedlog ugovora, ali, u svakom slučaju, inzistirajte na tome da sadržava osnovne aktivnosti koje treba provesti i odgovornost za eventualnu štetu.