Блог

DPO – Data Protection Officer

Најчесто целиот фокус  е (само) на поставување на Офицер – DPO, занемарувајќи дека DPO треба да биде дел од  еден заокружен систем за управување со  приватноста  односно Заштитата на личните податоци  –  Privacy Information Management System – PISM , во кој јасно се дефинирани мехaнизми, процеси и одговорности.

Од таму целта  не треба да биде  (само) да се назначи такво лице туку да се воспoстави  систем со одржливи механизми и процеси со јасно назначени улоги и одговорности на сите нивоа во Организацијата,  хоризонтално и вертикално.

  • Во зависност од Анализата на ризиците по приватноста , можно е во некои Организации прашањето за заштита на лични податоци да бара воспоставување  на засебна организациона единица односно тим со соодветна структура и хиерархија на  експертиза и одговорности , како на пример Privacy Manager, DPO, Privacy Analyst и/или Privacy Customer Complaint Officer.
  • Управување со  приватноста  односно Заштита на личните податоци (ЗЛП)  (Privacy Management System – PSM) е невозможно без постоење на соодветен систем за Управување со податоците (Data Governance) и тоа во целиот нивен  животен век.  Data Governance е всушност основата на која и треба се постави системот за ЗЛП /Приватност. Поради својата важност, комплексност  Управувањето со податоците, може и треба да се гледа  како посебен процес со своја структура, динамика и организација при тоа воспоставувајќи јасни и прецизни  механизми за соработка и интеракција со системот за управување со приватност (PISM).
  • Според  Законот  за Заштита на лични податоци (ЗЗЛП) одговорности и задачи на DPO се како што следува:
  • ги информира и советува контролорот или обработувачот и вработените кои вршат обработка соодветно на нивните обврски според прописите за заштита на личните податоци, како и според другите прописи кои што се однесуваат на заштитата на личните податоци;
  • ја следи усогласеноста со овој закон и со други прописи кои се однесуваат на заштитата на личните податоци и со политиките на контролорот или обработувачот во однос на заштитата на личните податоци, вклучувајќи распределување на одговорности, подигнување на свеста и обучување на вработените кои што учествуваат во операциите на обработка, како и вршење на ревизии за заштита на личните податоци;
  • каде што е потребно, дава совети во однос на проценката на влијанието на заштитата на личните податоци и го следи извршувањето на проценката во согласност со членот 39 од овој закон; 
  • соработува со Агенцијата;
  • дејствува како контакт точка за Агенцијата во однос на прашањата поврзани со обработката, вклучувајќи ја претходната консултација наведена во  членот 40 од овој член, како и советување според потребите за сите други прашања.

Во суштина  овие дефиниции треба да се допрецизираат  и надополнат со  следниве активности :

  • Преглед и ревидирање на договори кон  клиенти
  • ревидирање на договори кон обработувачи / надворешни добавувачи
  • Следење на рабоата на добавувачи
  • Кооридинација и точка на контакт во случај на инциденти поврзани со нарушување на приватноста односно заштита на лични податоци
  • Координатор и лице за контакт при изведување на ревизии, инсепкции и контроли од релевантни интерни и екстерни  страни
  • Изработка на методологија за Анализа на ризици поврзани со приватноста (Privacy Impact Analysis)
  • Координатор на процесите за Анализа на ризици поврзани со приватноста  во проектите поврзани со нови процеси/сервиси и производи во Оранизацијата
  • Евиденција на збриките на податоци со дефинирањње на сите потребни атрбиту  потребни за ефикасен преглед и контрола (Data Record Inventory)
  • Евиденција на активностите за обработка  и збриките на податоци,
  • Одоговор на клиентите (субјектите)  во врска со остварување на нивните базични права:
  • Право на пристап – Организацијата е должна во разумен рок и на ефикасен начин да ги достави СИТЕ информации  до клиенетот  поврзани со неговите лични податоци  кои се  чуваат, обработуваат и/или пренесуваат
  • Право на корекција
  • Право на бришење
  • Право на ограничување
  • Право за известување за промени  кои се однесуваат на начинот  за кои  личните податоци  кои се  чуваат, обработуваат и/или пренесуваат
  • Право на приговор

Во основа работата на  DPO  зависи од повеќе фактори кои треба да бидат предмет на редовна анализа на  ризици  кои како минимум треба да ги вклучи следниве елементи:

  • Кои лични податоци се прибираат, чуваат, пренесуваат и/или чуваат ?
  • Од кој обем се ?
  • Дали се трансферираат кон трети лица – во и/или надвор од земјава ?
  • Дали  се користат услуги  од надворешни лица – добавувачи  ?
  • Дали се користи cloud ?
  • Дали постои методологија за анализа на ризици во самата Организација ? 
  • Дали е дефиниран risk appetite на Организацијата ?

Од одговорот на овие прашња и извпршената анализа треба следи дефинирањето на деталниот опис на обемот, фрекфенцијата  на активностите како  и поставеноста  на DPO, односно – Дали ќе се назначи  лице од интерните вработени или пакк ќе ангажира екстерно лице.

  • DPO лицето треба да поседува високи етички и морални вредности , знаење, квалификации и доволно искуство кое ќе му обезбеди интегритет,  објективност  и професионалност во своете делување.

Законодавецот предвидел  за офицер за заштита на личните податоци може да биде определено лицe коe:  

– е државјанин на Република Македонија,  

– активно го користи македонскиот јазик, 

 – во моментот на определувањето со правосилна судска пресуда не му е изречена казна или прекршочна санкција забрана за вршење на професија, дејност или должност, 

 – има стекнати најмалку 240 кредити според ЕКТС или завршен VII/1 степен образование и

 – поседува сертификат издаден од Агенцијата

Не се јасно дефинирани условите за стекнување на Сертификатот, освен дека според член 69:

Агенцијата подготвува и спроведува обука за контролори, односно обработувачи, како и за офицери за заштита на личните податоци при што издава сертификати за обуки, за што води евиденција.  кој се спомнува не е  прецизно дефиниран, и  останува да се види како тоа ќе се уреди со некои Правилници односно подзаконски акти.

Офицерот  треба да поседува соодветнo високо ниво на таканаречени  “меки вештини”  (soft skills) како што се:

  • Способност за ефикасно пишување (извештаи, анализи, политики)
  • Комуникациски вештини
  • Тимска работа
  • Аналитички способности
  • Познавање на англискиот и/или некои од од светските јазици
  • Познавање на методологија за водење на проекти

Во однос на стручниот дел потребните кфалификации за DPO  може соодветно  да се групираат и структуираат  на повеќе нивоа како што е:   Eкспертиза – Познавање – Разбирање

Предизвици на сајбер (информативната) сигурност

Побрза реакција и детекција на можните закани по сигурноста  и стабилноста на информативните средства ü

Навремено известување до органите на управување на Банката üПоефикасно сервисирање и поддршка на корисниците во делот на  информативната сигурност (таканаречени овластувања за користење на информативните средства) ü

Проактивно изнесување на мислења/толкувања за прашања поврзани со усогласеноста со законската регулатива во делот на информативната сигурност ü

Поефикасна анализа на ризиците како дел од процесот за одобрување на нови продукти и проекти во Банката ü

Превентивно и пофрекфентно тестирање на сигурноста и стабилност на системот и софтверските решенија ü

Зголемена стабилност и надежност на информативниот систем односно процесите кои користат информативни средства üПроактивно следење на општите трендови, закани и најдобри практики во делот на информативната сигурност на локално и меѓународно ниво