1. 12. 2021

AKADEMIE POVĚŘENCŮ

Odborný garant: Ing. Michal Merta, MBA, MSc., LL.M.

Dne 18. května 2021 bude spuštěna slibovaná Akademie pověřenců. Jedná se o vzdělávací program určený jak pro pověřence osobních údajů, tak i osoby, které vykonávají činnosti spadající do kompetence pověřence osobních údajů, ačkoliv jmenovanými pověřenci nejsou.

Cílem Akademie pověřenců je nastavit úrovně znalostí a dovedností jednotlivých pověřenců tak, aby si jak klienti, tak široká veřejnost mohli bez obav uzavřít s pověřencem právní vztah pro vykonávání jeho odborné činnosti  a měli při tom jistotu, že pokud se vyberou  absolventa Akademie pověřenců, bude tato osoba schopna poskytovat své služby profesionálně a s komplexní znalostí celé oblasti ochrany osobních údajů i základní znalostí souvisejících problematik.

Celý vzdělávací program bude rozložen do tří úrovní. Od základní úrovně „Basic level“, kde budou vyžadovány znalosti, které by měl bezpečně ovládat každý pověřenec, aby dokázal řádně poskytovat své služby, které by měl bezpečně ovládat každý pověřenec, aby dokázal řádně poskytovat své služby, „Advanced level“, jehož cílem je naučit pověřence realizovat klíčové úkoly, které by svým způsobem měl spíše vykonávat správce osobních údajů nebo jiná jím pověřená osoba a pověřenec by je měl pouze dozorovat nebo posuzovat již dokončené úkoly. To je však možné pouze ve chvíli, kdy pověřenec ví, jak by měly jednotlivé činnosti vypadat, co je jejich cílem a jak mají být správně realizovány. Teprve pak je schopen klást relevantní požadavky na správce nebo zpracovatele.

Typicky se bude jednat o faktickou realizaci auditů, risk analýz, vyšetřování incidentů, uzavírání smluvních vztahů apod. Absolvent nejvyšší úrovně „Master level“ bude schopen vyškolit a připravit vlastní kvalifikované pověřence, bude partnerem pro byznys, také bude schopen spolupracovat při přípravě legislativy, připomínkovat připravované právní předpisy a vodítka Sboru atd.

Každá úroveň je vždy zakončena interaktivní zkouškou, která se bude skládat z teoretické části a z praktického řešení případu. Každý, kdo zkoušku úspěšně absolvuje, obdrží certifikát.

Jsme si vědomi toho, že pověřenec dle právní úpravy pro svou činnost nepotřebuje žádnou zkoušku nebo certifikát.  Cílem Akademie pověřenců je však vychovávat odborníky a vydaný certifikát získává hodnotu díky kvalitní přípravě pověřence a jejich schopnosti poskytovat služby nejvýše kvalifikově.

BASIC LEVEL – MODULY

STARTOVACÍ MODUL – slouží k ucelenému vysvětlení  obsahu celého levelu, klade si za cíl vysvětlit základní souvislosti a popsat tři nezbytné součásti oblasti znalostí, a to právo, IT , procesní řízení a bezpečnost. Tento modul je nezbytný pro pochopení souvztažnosti ostatních modulů a vysvětluje nezbytnost propojení všech tří uvedených oblastí jako celku.

OSOBNÍ ÚDAJE – tento modul poskytne účastníku Akademie informace o tom, kde se nachází osobní údaje, co to jsou osobní údaje, jak se rozpoznají, jaké jsou účely zpracování. Naučí ho vytvořit důvody obhajoby. Poskytne vysvětlení pojmu dataset, jak a kde získat informace o osobních údajích a datasetech, jak nastavit skartační lhůty/ retenční lhůty. Důležitou součástí je také vysvětlení vztahu osobních údajů a jejich zpracování, a to včetně zpracování v IT systémech.

SPRÁVCE – ZPRACOVATEL – PŘÍJEMCE – pro nastavení vztahů v rámci zpracování osobních údajů je nezbytné správné určení role správce, zpracovatele a příjemce. Modul také stručně objasňuje nezbytnost smluvních vztahů, ověření zabezpečení přenosu osobních údajů mezi jednotlivými subjekty apod.

IT A SECURITY – modul vysvětluje nutnost zapojení těchto částí do zpracování osobních údajů, umožní pochopit základní principy přenosu osobních údajů v IT prostředí, vysvětlí významu bezpečnosti při zpracování osobních údajů a nezbytnosti klást požadavky na IT a bezpečnost z hlediska zpracování osobních údajů. Jinak řečeno, proč chtít něco po IT a co po nich vlastně požadovat.

PROCESY – účastník se dozví, co jsou procesy. Jak jsou osobní údaje zpracovávány, co jsou podpůrné procesy při zpracování osobních údajů (vývoj, servis, aktualizace, provoz informačních systémů, řízení změnových požadavků atd.) a jak je posuzovat a nastavit. Objasní, proč jsou procesy důležité při zpracování údajů, např. v HR, obchodu, marketingu apod. a jak eliminují bezpečnostní mezery při zpracování osobních údajů.

ZÍSKÁVÁNÍ – ODESÍLÁNÍ OÚ – tento modul vysvětlí, proč je nutné identifikovat, kde a kdy, jak a jaké údaje vstupují nebo vystupují do zpracování, případně kudy osobní údaje tečou a jaký je jejich životní cyklus, což má význam pro nastavení procesů.

DOKUMENTACE – modul obsahuje popis nejdůležitějších dokumentů, jejichž vznik je nezbytný pro včasné a správné reagování na vzniklé situace, také pro naplnění zásady odpovědnosti, která požaduje, aby osobní údaje byly nejen zpracovávány v souladu s GDPR, ale aby také byli správce a zpracovatel schopni tento soulad doložit. Jedná se např. o záznamy o činnostech zpracování, směrnice, metodiky, formuláře pro řešení požadavků subjektů údajů, formuláře pro řešení podezření na bezpečnostní incident, hlášení.

SMLUVNÍ VZTAHY  – modul obsahuje popis jednotlivých typů smluv, které se nejčastěji objevují během zpracování osobních údajů. Jejich uzavření je nutné nejen pro splnění povinnosti, ale také pro zvýšení úrovně bezpečnosti a možnosti vymáhat povinnosti ze strany smluvního partnera a případně se na něm hojit při vzniku škody. Jedná se zpracovatelské smlouvy, smlouvy o ochraně osobních údajů, smlouvy s technickým zpracovatelem, dohody o mlčenlivosti atd.

SOUHLASY – souhlas jako zákonný důvod zpracování osobních údajů je v GDPR nastaven poměrně přísně, parametry souhlasu jsou přesně uvedeny a jejich naplnění není vždy jednoduché. Tento modul účastníku vysvětlí jednotlivé požadavky kladené na souhlas a ukáže, jak prakticky tyto požadavky naplnit.

PRÁVA SUBJEKTŮ ÚDAJŮ – řádná realizace práv subjektu údajů patří mezi Úřadem pro ochranu osobních údajů nejvíce sledovaným oblastem. Každé z práv subjektu údajů vzniká za jiných okolností, u některých musí být splněny specifické podmínky, u jiných je velmi složitá realizace, např. u práva na výmaz. Pro správný postup je nezbytné, aby pověřenec získal precizní znalost podmínek, za kterých práva vznikají, i postupů jejich realizace.

PODPŮRNÉ BUSINESS UNIT – jedná se o vedlejší činnosti správce či zpracovatele, jako jsou recepce, jídelny, kamerové systémy. Tento modul upozorňuje na oblasti, kde také dochází ke zpracování osobních údajů, často jsou však podceňovány nebo se zcela zapomíná, že i tam jsou osobní údaje zpracovávány.

PORADENSTVÍ/ŠKOLENÍ – základem zabezpečení osobních údajů je především dostatečné proškolení zaměstnanců tak, aby získali povědomí nejen o základech právní úpravy, která se vztahuje na zpracování osobních údajů, ale také o interních pravidlech, o postupech, které jsou u správce či zpracovatele nastaveny pro řešení bezpečnostních incidentů (resp. řešení podezření na bezpečnostní incident), pro realizaci práv subjektů údajů apod.

INCIDENTY – každý pověřenec musí být schopen adekvátně reagovat při podezření na bezpečnostní incident, řešit vzniklé incidenty, posoudit jejich rizikovost, identifikovat příčinu vzniku incidentu, nastavit nápravná opatření, aby nedošlo k jejich opakování apod.

AUDIT – audit zpracování osobních údajů by měl být u každého správce a zpracovatele prováděn s určitou periodicitou, kterou si sami nastaví. Úřad pro ochranu osobních údajů doporučuje, aby byl prováděn jednou ročně, pokud je to možné. Audit by neměl provádět pověřenec sám osobně, měl by být ale schopen definovat požadavky na dodavatele, který bude audit provádět, a posoudit kvalitu auditu tak, aby nebyl zaměňován za pouhou analýzu nebo hodnocení stavu. Tento modul vysvětlí účastníkovi, co je audit, jaké jsou jeho parametry a jak má být proveden.

KOMUNIKACE – úkolem každého pověřence je mimo jiné komunikovat se subjekty údajů, s Úřadem pro ochranu osobních údajů, ale také s dalšími úřady, které mohou požadovat předání osobních údajů. Dále také se správci, se zpracovateli, se zaměstnanci klienta a dalšími osobami. Tento modul účastníkovi ukáže, jak profesionálně vést komunikace se všemi zainteresovanými osobami, jak jednotlivé komunikace zaznamenávat, jaké jsou termíny pro reakci apod.