Idea wydawania certyfikatów dla różnych grup zawodowych jest stara jak świat. Czy również twórcy RODO poszli w kierunku budowania systemu certyfikacji IOD?
Zbudowanie uniwersalnego mechanizmu licencjonowania na całym obszarze obowiązywania RODO byłoby bardzo trudnym wyzwaniem. Grupa osób zajmujących się ochroną danych osobowych (dzisiaj IOD, wcześniej ABI), to również bardzo młoda grupa zawodowa. Wciąż wypracowuje swoje standardy pracy, metodologię, szuka optymalnych narzędzi. Czy obecnie istnieje zatem mechanizm, który pozwala dokonać obiektywnej oceny kompetencji IOD?
Czy IOD potrzebuje certyfikatu państwowego? Nie tym razem
Ustawodawca europejski, uchwalając RODO, nie przyznał funkcji IOD statusu zawodu regulowanego. I nie ma możliwości zmiany tego na poziomie krajowym, gdyż taka próba regulacji byłaby niezgodna z przepisami unijnymi. Co to oznacza w praktyce? Taki stan rzeczy wyłącza możliwość urzędowego potwierdzania kompetencji osób pełniących funkcję IOD. Nie ma również możliwości wprowadzenia urzędowych egzaminów, od których uzależnione byłoby wykonywanie tego zawodu.
Dobrym przykładem jest tutaj Słowacja. Właśnie w tym kraju przed RODO wymagano zdania egzaminu państwowego, żeby móc wykonywać funkcję poprzednika IOD. Model ten przestał obowiązywać 25 maja 2018 r., gdy zaczęło być stosowane RODO.
Dobrowolna certyfikacja IOD
W niektórych państwach możemy spotkać się jednak z dobrowolną certyfikacją IOD. Do tych państw zaliczymy Francję oraz Hiszpanię. Na podstawie krajowych przepisów organy nadzorcze tych państw stworzyły programy certyfikacji Inspektorów Ochrony Danych.
Należy podkreślić, że nie jest to certyfikacja w rozumieniu RODO, gdyż nie dopuszcza ono certyfikacji osób sprawujących funkcję IOD. Organy francuski i hiszpański stworzyły jednak ramy, na podstawie których akredytowane podmioty wydają certyfikaty potwierdzające kompetencje IOD.
Zarówno organ francuski, jak i hiszpański wskazują jednak, że prawo do bycia Inspektorem Ochrony Danych nie jest uzależnione od uzyskania tych dobrowolnych certyfikatów. Mogą być jednak pewną wskazówką przy wyborze IOD.
Czy taka certyfikacja pojawi się w Polsce? Trudno to przewidzieć. UODO w tym zakresie nastawiony jest przede wszystkim na podejście, które polega na pracy środowisk i organizacji zrzeszających IOD. Zdaniem polskiego organu, to właśnie takie podmioty odgrywają ważną rolę przy tworzeniu standardów pracy Inspektorów Ochrony Danych. Rola UODO obecnie zaś sprowadza się do mniejszej lub większej pomocy w tym zakresie (odpowiedzi na pytania IOD, newsletter dla IOD, etc.).
Natomiast, jeżeli kiedykolwiek pojawi się certyfikacja IOD w Polsce, to na pewno będzie miała ona charakter dobrowolny.
Co to wszystko oznacza dla Ciebie? W tym momencie, nie istnieje żaden certyfikat, którego brak sprawi, że nie będziesz mógł/a pełnić funkcji IOD!
Jakiej wiedzy potrzebuje IOD?
Twórcy RODO określili niezbędne IODowi kwalifikacje w sposób bardzo ogólny.
Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań́, o których mowa w art. 39.
Nasze kursy dla Inspektorów Ochrony Danych, zaczynamy od uświadomienia przyszłym IODom, tego, że do zapewnienia zgodności z RODO, będzie potrzebna wiedza z bardzo wielu obszarów.
Z perspektywy mojej pracy jako IODa, widzę potrzebę posiadania wiedzy i doświadczenia praktycznego w co najmniej siedmiu różnych dziedzinach: prawo, IT, prowadzenie szkoleń, zarządzanie projektem, wiedza audytorska, prezentowanie informacji, negocjacje.
Czy IOD musi być omnibusem?
Na szczęście IOD nie musi wszystkiego robić sam. Może uzupełniać wiedzę i kompetencję, współpracując z innymi ludźmi. Poniżej zamieszczam autoocenę swoich kompetencji w różnych obszarach, dokonaną przez uczestników jednego z naszych kursów IOD. Taką ocenę wykonujemy na początku każdego kursu, aby pokazać uczestnikom specyfikę pracy IODa.
Jest jednak pewien wspólny mianownik, łączący wszystkich IODów, a jest nim sama treść RODO. Tutaj wiedza prawnicza i umiejętność czytania aktów prawnych, będą dużym atutem.
Gdzie zdobywać wiedzę?
RODO mówi o wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań. Ja oczywiście zapraszam na nasz kurs dla Inspektorów Ochrony Danych. Prowadzą go osoby na co dzień specjalizujące się w praktycznym stosowaniu przepisów RODO. Wiedza przekazywana przez innych praktyków ułatwi wdrożenie się w nową funkcję.
Obok kursów IOD, można skorzystać z szerokiej oferty studiów podyplomowych, poświęconych ochronie danych osobowych.
Dodatkowym atutem mogą być również kursy i certyfikaty uzupełniające, na przykład:
- certyfikat audytora wewnętrznego (i ogólnie zdobycie wiedzy w zakresie norm ISO związanych z bezpieczeństwem informacji),
- Certified Information Privacy Professional/Europe (CIPP/E), który dotyczy europejskich i krajowych regulacji z zakresu ochrony danych osobowych,
- Certified Information Privacy Manager (CIPM), który dotyczy zasad wdrażania i zarządzania programem ochrony prywatności i danych osobowych w organizacjach przy użyciu odpowiednich procesów i technologii, a także budowania i funkcjonowania profesjonalnego oraz sprawnie działającego zespołu osób zajmujących się powyższymi kwestiami.
Dodatkowo polecamy nie tylko kursy czy szkolenia z zakresu ochrony danych osobowych, ale również te z wiedzy sektorowej.
Po zdobyciu podstaw teoretycznych i praktycznych, IOD powinien rozwijać swoją wiedzę i umiejętności. Bezcenna będzie praktyka i samodoskonalenie zawodowe. Pomóc mogą również zewnętrzne organizacje, zrzeszające IODów, np. SABI lub SPOD. Jeśli IOD kieruje całą organizacją zajmującą się świadczeniem usługi outsourcingu IOD, to pomocne będzie członkostwo w ZFODO.
Czym jest akredytowany kurs IOD?
Oficjalna akredytacja IOD przez UODO nie istnieje. Niektóre firmy oferują jednak coś takiego jak akredytowany kurs IOD. Jak to możliwe?
W części przypadków to czysto marketingowy zabieg. Akredytacja jest wydawana przez samą organizację prowadzącą kurs i jako taka nie ma żadnej mocy prawnej.
Inne firmy akredytują kursy IOD na podstawie decyzji Kuratora Oświaty. W praktyce, żeby otrzymać taką akredytację, należy:
- uzyskać wpis do ewidencji szkół / placówek niepublicznych – jest to największe wyzwanie, ale przede wszystkim na polu biurokratyczno-formalnym,
- dopełnić formalności i uzupełnić wniosek akredytacyjny,
- uiścić opłatę akredytacyjną w wysokości ok 1000 zł.
I to… tyle! Akredytacja otrzymana! Oczywiście dla inspektorów UODO przeprowadzających kontrolę w Twojej organizacji fakt posiadania takiej akredytacji przez szkolącą Cię firmę ma marginalne (o ile jakiekolwiek) znaczenie.
Co zrobić? Jak żyć? Jaki kurs wybrać?
Każdy chciałby, żeby wszystkie usługi były realizowane w najwyższej jakości oraz były dostępne „od ręki”. I naturalnie w najniższej możliwej cenie. Dlatego tak samo jak nie istnieje idealny warsztat samochodowy, tak nie istnieje idealna firma przeprowadzająca kursy dla IOD. Na co w takim razie zwracać uwagę przy wyborze najlepszego dla mnie kursu dla IOD? Poniżej kilka najistotniejszych wg. nas kryteriów:
Referencje
Idealnie, jeśli masz możliwość zweryfikowania jakości szkolenia u swoich znajomych. Jeśli nie masz takiej opcji, zapoznaj się z testimonialami i referencjami na stronie internetowej organizatora szkolenia. Ograniczone zaufanie stosuj do wypowiedzi autorstwa bliżej niezidentyfikowanych osób z anonimowych firm lub instytucji.
Dopasowanie programu szkolenia do Twojego poziomu RODO-zaawansowania
Jeśli nie jesteś w stanie stwierdzić tego na podstawie analizy programu szkolenia, zadzwoń po prostu do szkolącej firmy i upewnij się, że to kurs właśnie dla osoby początkującej / średniozaawansowanej / zaawansowanej. Wskazówka dla Ciebie – nie sugeruj rozmówcy swojego poziomu zaawansowania, bo w 90% przypadków powie Ci, że to kurs „dokładnie dla osób o takim poziomie zaawansowania” 😊.
Kadra szkoleniowa
Najlepiej, jeśli szkolenie realizują osoby z wieloletnim praktycznym doświadczeniem w zakresie ochrony danych osobowych. Dobrze, jeśli doświadczenie to sięga jeszcze czasów sprzed RODO-szału w 2018 roku. Dla urozmaicenia szkolenia i spojrzenia na różne zagadnienia z wielu perspektyw, dobrze jest też, jeśli kurs jest prowadzony przez więcej, niż jedną osobę.
Umiejętność prostego przekazywania wiedzy
RODO dla wielu osób to na początku „czarna magia”. Dlatego ważne, żeby osoby, które mają tę wiedzę Ci przekazać nie tylko były specjalistami w swojej dziedzinie, ale żeby potrafili też przekazywać wiedzę w prosty i przejrzysty sposób. Jak to sprawdzić?
Idealnie, jeśli dana firma udostępnia na swojej stronie internetowej wycinki ze szkolenia albo video w którym możesz zobaczyć jak wiedzę przekazują prowadzący szkolenie. Bardzo dobrą próbką jest też kontakt telefoniczny z jednym z prelegentów prowadzących szkolenie np. pod pretekstem rozwiania swoich wątpliwości w zakresie poziomu szczegółowości poruszanych na kursie zagadnień.
Kameralne grupy szkoleniowe
Kursy IOD mają bardzo warsztatowy charakter. Dlatego, dla największej efektywności szkolenia zalecamy nieduże grupy szkoleniowe: 5-10 osób. Przy większych grupach trudniej o indywidualne podejście i bardziej szczegółowe omówienie Twoich pytań.
Możliwość zadawania pytań
Prowadzący kurs powinni umożliwiać uczestnikom zadawanie pytań „na żywo”. Możliwość uzyskania odpowiedzi na bieżące pytania uczestników bardzo ułatwia im zrozumienie przekazywanych treści.
Ostatnie czego powinieneś / powinnaś oczekiwać po kursie IOD to monotonnych monologów przerywanych jedynie ziewnięciami uczestników. Doskonale pamiętamy taką formę „przekazywania wiedzy” z czasów studenckich i nie wspominamy jej najlepiej.
Wsparcie poszkoleniowe
Szczególnie przez pierwsze miesiące po przejęciu obowiązków IOD możesz czuć się zagubiony/a. Dlatego dobrze, jeśli firma, w której się chcesz przeszkolić oferuje jakieś formy poszkoleniowego wsparcia, np. w formie: konsultacji, telekonferencji, newsletterów.
Pakiety szkoleniowe
Zwróć uwagę, co każdy uczestnik otrzymuje „w pakiecie” (lub jak kto woli – „w gratisie” 😉). Nie chcesz przecież „wymyślać prochu na nowo” i jeśli otrzymasz od firmy szkoleniowej pakiet praktycznych narzędzi, procedur, szablonów i dokumentacji, to bardzo ułatwi Ci to późniejsze „IODowanie”.
Termin i cena
A co z terminem i ceną? Według nas są to kryteria drugorzędne. Jeśli znajdziesz kurs wart uwagi, to warto na niego poczekać lub zarezerwować większy budżet. Oczywiście w granicach rozsądku, bo o ile najtańsza usługa na ogół jest najniższej jakości, to wcale nie jest powiedziane, że usługa najdroższa będzie zrealizowana w jakości najwyższej.
Życzę Ci powodzenia w poszukiwaniu najlepszego dla Ciebie kursu IOD. Jednocześnie zapraszając na kurs prowadzony przez autorów i autorki niniejszego bloga 🙂
A może nasz kurs dla IOD?
W naszym kursie znajdziesz: praktyczną wiedzę przekazywaną w przystępny sposób, kameralne grupy szkoleniowe, praktyczne wzory oraz szablony dokumentów i procedur, konsultacje poszkoleniowe. Szkolenie dedykujemy szczególnie osobom początkującym i średniozaawansowanym.
Sprawdź terminy o dowiedz się więcej o naszym kursie:
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- praktyczne doświadczenie budowania systemów ochrony danych osobowych od 2008 roku (jako ABI) i po 2018 roku (jako IOD)
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.