LDAPA sulaukia daug klausimų apie duomenų apsaugos pareigūno sertifikavimo galimybes. Šiuo klausimu kalbiname Žmogaus teisių stebėjimo instituto direktoriaus pavaduotoją teisės klausimais Nataliją Bitiukovą (šiuo metu Natalija stažuojasi Europos Sąjungos Duomenų apsaugos priežiūros pareigūno institucijoje (EDPS), išlaikiusią CIPP/E (angl. Certified Information Privacy Professional/Europe) egzaminą.
Pagrindinė šio straipsnio dalis skirta CIPP/E sertifikatui, tačiau bendrieji klausimai ir patarimai dėl metodinės medžiagos gali būti naudingi ir svarstantiems apie kitus egzaminus, arba tiesiog norintiems atsinaujinti savo žinias duomenų apsaugos srityje.
Kas yra duomenų apsaugos pareigūnas (DAP)?
Bendrasis duomenų apsaugos reglamentas (BDAR), kuris bus pradėtas taikyti nuo 2018 m. gegužės 25 d., numato pareigą tam tikriems duomenų valdytojams ir tvarkytojams paskirti duomenų apsaugos pareigūną. Konkrečiai, tai padaryti privalės visos valdžios institucijos ir įstaigos bei kitos organizacijos, kurių pagrindinė veikla yra dideliu mastu reguliariai ir sistemingai stebėti asmenis arba dideliu mastu tvarkyti specialių kategorijų asmens duomenis. Viena pagrindinių pareigūno funkcijų yra padėti stebėti, kaip bendrovės viduje laikomasi BDAR. Tam pareigūnas gali rinkti informaciją, tikrinti, ar duomenų tvarkymo veikla atitinka reikalavimus, konsultuoti duomenų valdytoją ar duomenų tvarkytoją, teikti jam rekomendacijas. Detaliai duomenų apsaugos pareigūno funkcijas savo gairėse aptarė 29 straipsnio darbo grupė.
Kokie reikalavimai keliami DAP?
BDAR numatyta, kad duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis, visų pirma duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti aukščiau nurodytas užduotis. Anot 29 straipsnio grupės, atitinkami gebėjimai ir ekspertinės žinios – tai, be kita ko:
- nacionalinės ir Europos duomenų apsaugos teisės aktų ir praktikos ekspertinės žinios, taip pat išsamus BDAR supratimas;
- atliekamų duomenų tvarkymo operacijų supratimas;
- informacinių technologijų ir duomenų saugumo išmanymas;
- žinios apie verslo sektorių ir organizaciją;
- gebėjimas organizacijoje skatinti duomenų apsaugos kultūrą.
Koks yra DAP sertifikato tikslas?
Tarptautinės duomenų apsaugos profesionalų (International Association of Privacy Professionals, IAPP) paskaičiavimais, Europoje įsisteigusioms organizacijoms artimiausiu metu prireiks 28 tūkstančių duomenų apsaugos pareigūnų. Asmenys, pretenduojantys užimti šias pareigas (pavyzdžiui, bendrovės darbuotojai, norintys atlikti naujas funkcijas arba išoriniai ekspertai), turi atitikti BDAR numatytus ir aukščiau aptartus reikalavimus, tarp kurių yra būtinos ekspertinės žinios duomenų apsaugos srityje. Duomenų apsaugos sertifikatas yra vienas iš būdų pademonstruoti tiek darbdaviui, tiek, kaip atskaitomybės principo dalį, duomenų subjektams ir duomenų priežiūros institucijai, kad duomenų apsaugos pareigūnas turi specialių žinių.
Kas išduoda DAP sertifikatus?
DAP sertifikatus išduoda nacionalinės ir tarptautinės institucijos, pavyzdžiui, duomenų apsaugos profesionalų asociacijos, universitetai, valstybės tarnautojų mokymų įstaigos ir pan. Sertifikatai dažniausiai yra išduodami išklausius mokymų kursą ir išlaikius atitinkamą egzaminą. Kai kuriais atvejais, sertifikatą galima gauti nelaikant kurso, bet pasiruošiant egzaminui pačiam. Šiuo metu Europos Sąjungoje geriausiai žinomi yra Informacinio privatumo eksperto (CIPP/E, išduodanti institucija – IAPP) ir Duomenų apsaugos profesionalo (išduodanti institucija – EIPA) sertifikatai. Praktikoje pastebima, kad pirmasis yra geriau vertinamas verslo subjektų, antrasis – Europos Sąjungos institucijų ir įstaigų. Kvalifikacinius kursus taip pat organizuoja ir atitinkamus sertifikatus išduoda Mastrichto universitetas, GDPR institute, IT governance ir kitos įmonės.
Kokie CIPP/E sertifikato privalumai?
CIPP/E sertifikatas yra vienas geriausiai žinomų ir vertinamų duomenų apsaugos pareigūno sertifikatų Europos Sąjungoje. Nemaža dalis ES įsikūrusių įmonių, kurios šiuo metu ieško specialistų dirbti prie BDAR įgyvendinimo ir/ar atlikti duomenų apsaugos pareigūno funkcijas, pageidauja, kad kandidatas turėtų būtent šį sertifikatą. Išlaikęs CIPP/E egzaminą, asmuo taip pat tampa (Tarptautinės duomenų apsaugos profesionalų asociacijos IAPP) nariu ir gauna galimybę naudotis šios asociacijos resursais.
Kaip laikomas CIPP/E egzaminas?
CIPP/E egzaminą sudaro 90 uždarų klausimų su keturiais atsakymų variantais. Egzaminas yra laikomas anglų kalba, jo trukmė – 2,5 val.
Laikyti egzaminą galima IAPP renginių metu (pvz. IAPP specializuotų mokymų ar metinės konferencijos metu) arba, patogesnis variantas, viename iš 800 testavimo centrų. Vienas tokių centrų yra įsikūręs Vilniuje (CTG testavimo centras). Patogų egzamino laiką ir vietą galima pasirinkti užsiregistravus IAPP svetainėje ir padarius apmokėjimą.
Egzaminą sudaro klausimai iš trijų duomenų apsaugos teisės sričių (detaliau temos yra aptartos egzamino išklotinėje):
1. Įvadas į Europos duomenų apsaugos teisę (pagrindiniai Europos Sąjungos teisės aktai duomenų apsaugos srityje, jų ištakos, raida, ES institucijų vaidmuo, kt.).
2. BDAR (jo taikymo sritis, duomenų tvarkymo pagrindai ir principai, duomenų subjekto teisės, duomenų saugumas, atskaitingumo reikalavimai, duomenų perdavimas į trečiąsias šalis, BDAR pažeidimai ir priežiūros institucijos, kt.).
3. Europos duomenų apsaugos teisė plačiąja prasme (duomenų apsauga darbo santykių kontekste, valstybės institucijų vykdomas duomenų rinkimas, vaizdo kameros, tiesioginė rinkodara, debesų kompiuterija, slapukai, kt.).
Natalijos vertinimu, sudėtingiausia (o tuo pačiu, ir įdomiausia) egzamino dalis yra ne teoriniai klausimai, o hipotetinės situacijos, kurias reikia išspręsti pasirinkus tinkamiausią atsakymo variantą.
Nemažai situacijų yra susijusios su duomenų perdavimo į trečiąsias valstybes problemomis, bei skirtingose valstybėse įsikūrusiais duomenų valdytojais/tvarkytojais/subjektais.
Kaip pasiruošti CIPP/E egzaminui ir kiek laiko tai užtruks?
Įvertinti kiek laiko užtruks pasiruošimas yra sudėtinga. Tai priklauso nuo to, kaip gerai asmuo yra susipažinęs su CIPP/E egzamino temomis (jas galima peržiūrėti čia) ir ar asmuo planuoja dalyvauti papildomuose mokymuose. Pradėti pasiruošimą verta nuo IAPP parengto literatūros sąrašo ir, žinoma, ES teisės aktų.
Papildomai paminėtini šie šaltiniai:
- 29 straipsnio darbo grupės gairės ir rekomendacijos;
- EŽTT praktikos duomenų apsaugos srityje apžvalga;
- ESTT praktikos duomenų apsaugos srityje apžvalga (atkreipkite dėmesį, kad pastarųjų metų svarbios bylos nėra į ją įtrauktos);
- advokatų kontoros Hunton and Williams parengtas BDAR vadovas;
- advokatų kontoros Linklaters parengta BDAR analizė;
- JK duomenų apsaugos priežiūros institucijos parengti BDAR ir atskirų jo nuostatų išaiškinimai;
- Europos Tarybos HELP programos organizuojami nuotoliniai mokymai „Duomenų apsauga ir privatumas“.
Šiuo metu rinkoje yra nemažai įvairių mokymų apie duomenų apsaugą ir BDAR pasiūlymų (pvz. IAPP siūlo šiuos nuotolinius ir konvencinius mokymus). Renkantis priimtiniausią variantą, svarbu atkreipti dėmesį į organizatoriaus ir lektorių patirtį, dalyvių atsiliepimus bei kainos ir tikėtinos kokybės santykį.
Ar CIPP/E sertifikatas galioja neribotą laiką?
Tam, kad CIPP/E galiotų, reikia sumokėti administravimo mokestį ir laikytis IAPP tęstinio mokymosi politikos reikalavimų. Tai reiškia, kad kas du metus narys turi surinkti 20 kreditų, kurie yra teikiami už dalyvavimą renginiuose duomenų apsaugos tema, pranešimų skaitymą, mokslinių straipsnių rašymą, ir kitokią susijusią veiklą šioje srityje. Detaliau kreditų sistema yra aptarta IAPP parengtame vadove.
Straipsnio autorė Natalija Bitiukova, CIPP/E
Šis straipsnis negali būti vertinamas kaip pateikiantis EDPS ar kitų institucijų/organizacijų nuomonę.