Кои професионални стандарди ќе ги исполнува новиот Офицер за заштита на личните податоци

Со транспонирање на Општата регулатива за заштита на лични податоци (Регулативата) во националниот закон и со неговата имплементација се очекува Офицерот за заштита на личните податоци (ОЗЛП) да добие стратешка и независна позиција и да се постигне поефикасно извршување на оваа функција и повисок степен на заштита на личните податоци.

Имено, со транспонирање на Регулативата во националното законодавство ќе се предвиди: ОЗЛП да има професионални квалитети, експертско знаење на прописите и праксата, способност за извршување на задачите, како и обврска контролорот да ја гарантира независноста на неговата позиција.[1]

Во продолжение, подетално се дефинирани професионалните стандарди што треба да ги исполнува кандидатот за да биде назначен како ОЗЛП и да добие позиција во духот на одредбите од Регулативата.

Главната цел на овие професионални стандарди е:  

  • да се идентификува профил на квалификувана и стручна личност која се назначува како ОЗЛП,
  • да се дефинираат минимум стандарди во врска со позицијата на ОЗЛП кои треба да се дизајнирани на начин што ќе обезбедат негова независност.

Се препорачува, при назначувањето на ОЗЛП контролорот да ги следи   професионалните стандарди претставени во табелата подолу:

Критериуми за назначување

Професионални квалитети

  • високо образование - универзитетска диплома;[2]
  • експертско познавање на прописите и практиката во областа на  заштитата на личните податоци, кое подразбира сеопфатно познавање на овие прописи и практика, но и познавање на корелацијата меѓу овие прописи и поставената техничка инфраструктура;

Притоа, бидејќи не е конкретно дефинирано:

  • нивото на експертското познавање, да зависи од големината на контролорот, комплексноста и квантитетот на операциите на обработка на лични податоци и чувствителноста на личните податоци,
  • ова знаење да биде надополнето со соодветно познавање на организациската структура и функционирањето на контролорот, а во јавниот сектор и со познавање на административните постапки на јавниот орган или тело,
  • ова знаење да биде надополнето со искуство во соработката со другите области и сектори кај контролорот, особено нивно советување во врска со прашања од областа на заштитата на личните податоци.

Персонални квалитети

  • лични вештини: интегритет, иницијатива, организација, дискреција, упорност, интерес и мотивација да ја врши оваа функција, високо ниво на професионална етика, вештина за развивање и имплементација на конкретна практика и за наметнување промени кога е тоа потребно, а како најважно, способност да ги извршува задачите, да го пренесе знаењето и да демонстрира јасен став, но и да се наметне себеси и својот став кога е тоа потребно;
  • меѓучовечки вештини: комуникација, преговарање, разрешување конфликти.

Работно искуство

  • 3 години релевантно искуство.[3]

Сертифицирање на ОЗЛП, одржување и надградба на  експертското познавање

Законска обврска за сертифицирање

  • издавање сертификат* за завршена обука за ОЗЛП како потврда за експертското познавање на прописите и практиката во оваа област и како услов за назначување на оваа функција.

Законска обврска за одржување и надградба на експертското познавање

По назначување на функцијата:

  • следење на редовни обуки организирани од страна на ДЗЛП, но и сертифицирани обуки организирани од страна на надворешни даватели на услуги кои имаат акредитација за давање на овој вид услуги (професионални организации) -домашни или од земја членка на ЕУ;
  • воведување нови форми на обуки како начин за самостојно надградување преку мрежата на офицери.[4]

 Позиција и статус на ОЗЛП

Специфики на позицијата

Фактот дека ОЗЛП е дел од контролорот, му дава идеална можност да обезбеди усогласеност со прописите за заштита на личните податоци од внатре, давајќи совети или соодветно интервенирајќи кога е потребно, за да се избегнат можни постапки од страна на ДЗЛП.

Но, иако ОЗЛП е дел од контролорот (вработен или ангажиран кај контролорот), раководејќи се од природата на неговата функција, тој ќе биде независен во рамките на контролорот. Имено, новото законското решение ќе биде дизајнирано на начин на кој се обезбедува независност на ОЗЛП, односно извршување на функцијата без какви било влијанија и инструкции.

Но, независноста на ОЗЛП не значи дека тој има овластување за донесување одлуки. Тоа би значело пречекорување на неговите овластувања.

Контролорот е одговорен да обезбеди усогласеност со прописите за заштита на личните податоци и да демонстрира усогласеност со овие прописи, а ОЗЛП треба да биде клучната фигура преку која контролорот ќе ја исполни оваа обврска.

Ако контролорот донесе одлука која што е некомпатибилна со прописите и дадените совети од страна на ОЗЛП, ОЗЛП да има можност на издвоено мислење.

Гарантирање на   независноста

Независноста на функцијата ОЗЛП, контролорот ќе ја гарантира со поставување правила за:

Вклученост на ОЗЛП во сите прашања поврзани со заштитата на личните податоци

  • ОЗЛП да е на соодветен начин и навремено (во најрана фаза) вклучен во сите прашања поврзани со заштита на лични податоци.

Назначување и разрешување

  • Назначување за неопределен временски период или за колку што е можно подолг временски период;
  • Регистрација на назначувањето во регистерот на офицери на ДЗЛП;
  • Разрешување/отповикување од оваа функција само доколку ОЗЛП повеќе не ги исполнува условите за извршување на задачите.[5]

Човечки и други ресурси

  • Обезбедување на потребни човечки и други ресурси за извршување на задачите, за остварување пристап до личните податоци и операциите на обработка на податоци, а особено за одржување и надградување на експертското познавање;
  • Изготвување план за работа, за да се процени потребата од човечки и други ресурси;
  • Активна поддршка од страна на највисокото ниво на раководење/менаџмент во однос на обезбедување   вработени, финансиски ресурси и инфраструктура соодветно на потребите на функцијата ОЗЛП.

Ослободување од други обврски

  • Соодветно ослободување од други обврски за да може ОЗЛП да ги извршува задачите што произлегуваат од оваа функција.

Конфликт на интереси 

  • Доколку ОЗЛП извршува и други задачи, гарантирање дека нема конфликт на интереси меѓу задачите што произлегуваат од неговата функција и другите службени задачи.[6]

За да се спречи конфликтот на интереси, како добра практика на контролорот би се сметало следното:

  • да се идентификуваат позициите кои се некомпатибилни со функцијата ОЗЛП;
  • да се изготват внатрешни правила за да се избегне конфликт на интереси;
  • контролорот да се изјасни дека ОЗЛП нема конфликт на интереси, како начин на подигнување на свеста за ова прашање.

Поставеност кај контролорот

  • Во организациската поставеност, ОЗЛП да раководи со организациската единица за заштита на лични податоци (доколку е воспоставена) или ако ја извршува функцијата како едно лице да биде распореден на соодветно хиерархиско ниво[7] кое ќе гарантира негова независност и самостојност во постапувањето, односно неговата позиција да биде поставена на начин што ќе оневозможи какво било влијание или примање на инструкции при извршување на задачите; 
  • Исклучување на можноста да биде отповикан или казнет за извршување на своите задачи;[8]
  • Регулирање на соработката со највисокото ниво на раководење/менаџмент со внатрешните акти;
  • Информирање на највисокото ниво на раководење/менаџмент за важни прашања од оваа област, најмалку на квартално ниво и одржување на тематски состаноци, секогаш кога е тоа потребно;
  • Директно одговарање пред највисокото ниво на раководење/менаџмент;
  • Видливост на функцијата во организациската структура;
  • Регулирање на обврската на сите вработени да соработуваат со ОЗЛП без да чекаат претходна дозвола од својот претпоставен;  
  • Донесување внатрешни акти со кои се уредува во кои случаи консултацијата со ОЗЛП е задолжителна; 
  • Овластување на ОЗЛП за потпишување на кореспонденцијата која се однесува на заштита на личните податоци;
  • Назначувањето на заменик на ОЗЛП, со цел да се обезбеди континуитет во извршувањето на функцијата во случај на отсуство на ОЗЛП. За заменикот на ОЗЛП, треба да се обезбедат истите гаранции за извршување на функцијата на независен начин.[9]

Правила за спроведување на ревизии/контроли/проверки

  • Раководејќи се од овластувањето на ОЗЛП за спроведување на ревизии/контроли/проверки,[10] контролорот треба да донесе подетални правила за нивно регулирање. OЗЛП има право на пристап до деловните простории и до системите каде што се вршат операциите на обработка на податоци, како и обврска за комуникација со лицата кои се обратиле поради повреда на прописите од оваа област.

Елементи кои ја ослабуваат позицијата на ОЗЛП

  • Доколку ОЗЛП извршува и други задачи освен задачите што произлегуваат од неговата функција, тој континуирано се соочува со конфликт помеѓу одвоеното време за задачите кои не се директно поврзани со функцијата ОЗЛП и интенцијата да ги заврши задачите што произлегуваат од функцијата ОЗЛП.

Притоа доколку претпоставените даваат поголема тежина на другите задачи, тоа создава притисок за ОЗЛП повеќе да се концентрира на тие задачи. Ова може да доведе до неефикасно извршување на задачите што произлегуваат од функцијата ОЗЛП.

Воедно, голема е веројатноста да постои конфликт на интереси меѓу задачите што ги исполнува како ОЗЛП и другите задачи.

  • Доколку ОЗЛП има договор на определено време, тој е во понезавидна позиција и веројатно помалку упорен и истраен при извршување на задачите, во споредба со ОЗЛП кој има договор на неопределено време. Загриженоста произлегува од тоа дали ќе му биде обновен договорот или не.
  • Голема е веројатноста дека ОЗЛП кој одговара пред или е контролиран од страна на својот директно претпоставен, може да чувствува притисок, а неговото независно постапување при вршењето на функцијата може негативно да се одрази на развојот на неговата кариера. Правилното и соодветно извршување на задачите на ОЗЛП, многу често подразбира дека тој треба да заземе цврст став кој често може да биде во спротивност со ставот на неговите претпоставени и да бара исполнување на обврските од страна на лица кои се на високи позиции кај контролорот, поради што често пати ОЗЛП се перципира како „бирократ“ или „создавач на проблеми“. Оттука, многу важно е ОЗЛП да има независен статус што ќе му помогне да ги издржи притисоците и тешкотиите што одат заедно со оваа значајна функција. Токму од овие причини, за да се ублажи притисокот, ОЗЛП треба да одговара и да биде контролиран директно од највисокото ниво на раководење/менаџмент на контролорот.
  • ОЗЛП кој е во позиција да бара човечки и други ресурси од својот директно претпоставен, може да се соочи со тешкотии, ако директно претпоставениот не е целосно посветен на остварување на усогласност со прописите за заштита на личните податоци. Ова ќе се избегне, доколку ОЗЛП има свој сопствен буџет и доколку неговите барања се предмет на одобрување од страна на највисокото ниво на раководење/менаџмент на контролорот.
 

[1] Член 38 од Регулативата

[2] Пожелно е ОЗЛП да има универзитетска диплома од областа на правните науки или од областа на информатичките технологии, но сепак тоа да не е ограничувачки фактор и да може лице со универзитетска диплома од друга област да биде назначено на оваа позиција.

[3] Под релевантно искуство се подразбира искуство во имплементација на прописите за заштита на лични податоци, како и познавање на организациската структура и функционирањето на контролорот. Доколку отсуствува бараното искуство, контролорот да му ги овозможи на ОЗЛП потребните обуки од оваа област.

[4] Види точка 9.3

[5] Дополнителна заштита за функцијата ОЗЛП може да се постигне доколку се предвиди претходна согласност на ДЗЛП за отповикување/разрешување на ОЗЛП.

[6] Заради различноста на организациската структура и поставеноста на секој контролор, постоењето односно непостоењето на конфликт на интереси треба да се разгледа за секој конкретен случај

Пример: ОЗЛП не може да биде поставен истовремено на позиција да ги утврдува целите и начините на обработка на лични податоци

[7] Се препорачува ОЗЛП да биде поставен на раководна/менаџерска позиција

[8] ОЗЛП може легитимно да биде отповикан од функцијата поради други причини, но не заради извршувањето на своите задачи

[9] Ова е особено препорака за поголемите контролори, односно кај контролорите со голем квантитет на операции на обработка на лични податоци

[10] Член 39 став 1 точка б од Регулативата