U Hrvatskoj je još od 2017. neformalno dostupna certifikacija kojom je moguće provjeriti kompetentnost Službenika za zaštitu osobnih podataka, no na ove se funkcije gotovo redovito imenuju osobe bez odgovarajućih kompetencija.
Zanemarena sigurnost osobnih podataka
Početak primjene Opće uredbe o zaštiti osobnih podataka (GDPR) u 2018. godini je donio više pomutnje nego stvarnog povećanja razine zaštite osobnih podataka. Većina je organizacija GDPR shvatila kao još jednu administrativnu prepreku uspješnosti svog poslovanja pa je poslove usklađivanja s ovom Uredbom ili potpuno zanemarila, ili povjerila ljudima koji o zaštiti podataka ne znaju ništa ili gotovo ništa. Uprave nisu shvatile da GDPR za mnoge organizacije znači korijenske promjene u načinu poslovanja. Pisanje nove Politike zaštite privatnosti ne mijenja način na koji organizacija zaista postupa s podacima, a pogotovo ne podiže razinu njihove zaštite.
Krive su uprave i regulatori
Za ovakvo stanje ne treba kriviti službenike za zaštitu podataka (DPO), nego uprave koje su neozbiljno shvatile svoje odgovornosti i na te pozicije imenovale ljude bez odgovarajućih znanja i resursa za uvođenje tako ozbiljnih promjena. Razumijevanje GDPR zahtjeva, obrada osobnih podataka i njihove uloge u poslovanju, te njihove zaštite, kao i razumijevanje procesa upravljanja su osnovni preduvjeti za obavljanje funkcije službenika za zaštitu podataka.
Kriv je i sam regulator koji je Uredbom propisao uvjete za obavljanje DPO funkcije, a nije uspostavio mehanizam certificiranja. Ne samo da je ovo neodgovornim upravama omogućilo pro-forma imenovanje nekompetentnih osoba na DPO funkcije, već je izazvalo i pojavu velikog broja novopečenih konzultanata koji nude usluge DPO eksternalizacije bez ikakve podloge u znanju i iskustvu. Štoviše, pojavili su se i brojni „stručni certifikati“ i tečajevi za DPO osposobljavanje bez ikakve kontrole kvalitete programa i predavača. Ozbiljnim organizacijama i odgovornim upravama je u ovakvoj situaciji gotovo nemoguće uočiti razliku između DPO-a koji zna što radi i onoga koji ga samo glumi.
Kreću formalne DPO certifikacije
Nadzorna tijela su konačno prepoznala potrebu za uvođenjem formalnih DPO kriterija i načina njihove provjere. Francusko nadzorno tijelo za zaštitu osobnih podataka (CNIL), najavilo je uvođenje nacionalne sheme za certifikaciju službenika za zaštitu podataka. Domene znanja koje obuhvaća ova shema iste su kao i domene znanja za polaganje OCPP (Ostendo Certified Privacy Professional) certifikata.
OCPP kriteriji su još 2017.godine pozitivno ocijenjeni od AZOP-a, a CNIL-ove smjernice dodatno potvrđuju da ovaj certifikat poslodavcu, nadzornom tijelu i svima zainteresiranima može predstavljati vjerodostojan dokaz posjedovanja stručnih kvalifikacija i znanja u pravu i praksama u području zaštite osobnih podataka te sposobnosti izvršavanja zadaća službenika za zaštitu podataka.
Proces pripreme testnih pitanja, kontrola kvalitete i osiguranje nepristranosti u postupku ocjenjivanja OCPP ispita dizajnirani su u skladu sa zahtjevima ISO 17024 norme za certifikaciju osoba, upravo onako kako to zahtijeva CNIL.
Kako do OCPP certifikata?
OCPP certifikat se stječe uspješnim polaganjem ispita koji se provodi računalno i u kontroliranim uvjetima. Kriteriji i ispitne domene su javno objavljeni pa se za polaganje ispita možete pripremiti i samostalno, a na raspolaganju su i pripremni seminari koje provode stručnjaci Ostendo Consultinga. Za uspješno polaganje OCPP ispita potrebna je opsežnija priprema od samo nekoliko dana edukacije. Očekuje se stvarno iskustvo u zaštiti osobnih podataka u pravnom, organizacijskom i tehničkom smislu.
Potvrda kriterija za provođenje ispita znanja DPO-a od strane nadzornog tijela je preduvjet za podizanje opće razine sigurnosti osobnih podataka. Francuska i Hrvatska su, čini se, na dobrom putu.