欧洲联盟(简称“欧盟”)《通用数据保护条例》(GeneralDataProtec-tionRegulation,GDPR)于2018年5月25日生效,对企业收集、控制和处理个人数据的方式产生了深远影响。而且,并非位于欧盟的企业才会受到影响,事实上,任何与欧盟监管下的客户进行的业务,都需要遵守GDPR。如果违反GDPR企业将面临可高达2千万欧元或全球年营业额的4%的巨额罚款。
伴随着GDPR的实施,组织内应该根据具体职能配备相应的角色,包括数据控制者(DataController)、数据处理者(DataProcessor)以及数据保护官(DataProtectionOfficer,DPO)。
其中数据控制者定义了个人数据的处理方式和目的,此外,控制者还负责确保外部承包商能够遵守相关规定。数据处理者(DataProcessor)可以是维护和处理个人数据记录的内部团体(如业务分析师或开发商的直接雇员),也可以是执行全部或部分这些活动的任何外部服务提供商(如信用评级机构等)。
此外,最重要的是GDPR还要求指定1名数据保护官(DPO)来监管数据安全策略和GDPR合规性。核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定1名DPO。DPO主要负责就GDPR规定提供咨询意见,向最高管理层报告。
中国企业需要设置DPO吗?
2018年5月25日正式实施的欧盟GDPR法案,提出了设置DPO的要求。
我们不要认为欧盟GDPR和中国企业没有什么关系,即使企业不在欧盟内,但如果在向欧盟内的个人提供商品和服务的过程中处理了欧盟居民的个人数据,或监测了在欧盟实施的个人行为,企业就会受GDPR约束。尽管中国有关个人信息保护方面的专门立法暂未生效,但已经公布实施的《网络安全法》和2018年5月1日正式实施的国家标准GB/T35273—2017«信息安全技术个人信息安全规范»(简称«个人信息安全规范»),分别提出了设置“网络安全负责人”“个人信息保护负责人”的要求。
DPO的职责
根据欧盟GDPR数据保护工作组2016年12月发布的《数据保护官指引》(简称《指引》),DPO的任务和职责包括:向数据控制者、处理者及负责数据处理的员工做出有关通知和建议;确保、监控企业活动的合规性;提出建议并监控数据保护影响评估;协助监管机构的工作,并担任指定联络人;负责风险管控工作等。DPO需要具备专业知识和技能。DPO必须有理解数据保护和信息安全方面的法律知识,且有能力指导企业在整个信息生命周期处理包括收集、使用、存储、清理等方面的具体问题。GD¬PR第37条明确要求DPO需要“有数据保护法律与实践的专业知识,且有能力完成第39条项下的职责”。
DPO的发展前景
早在2000年,欧美国家中就至少有数百家公司设有DPO的职位,如花旗集团、美国运通、惠普、微软、脸书等。安永的一份调查数据显示,欧盟GDPR根本性地改变了全球范围内隐私保护的管理模式。75%的欧盟公司以及50%的美国公司声称GDPR合规要求是驱动其隐私工作的主要原因。其在培训方面的投入、隐私岗位的聘用人数都在近几年大幅增长。
总部位于欧洲的国际信息科学考试学会(EXIN)于2016年发布了基于GDPR的糸列认证体糸,其中包括隐私和数据保护基础(Privacy&DataProtectionFoundation,PDPF)认证,隐私和数据保护实践者(Privacy&DataProtectionPractitioner,PDPP)认证以及ISO/IEC27001基础认证。
PDPF是一门验证专业人员如何保护个人数据,以及对数据保护相关欧盟法规了解程度的认证。考生经过培训后可以参加PDPF认证考试,考试形式为40道选择题,答对26道题或以上算通过考试。PDPF考试语言可以选择英文或中文。
PDPP实践者级别的考试要求考生获得PDPF认证之后报考。主要验证专业人员对欧盟隐私法规和其国际关联性的理解程度;更会进一步考察从业者在专业领域的实践中应用其知识的能力。该考试除须完成40道选择题以外还需要完成实践作业,两项成绩均合格后可以获得资格证书。目前PDPP的考试语言为英文或中文。
与PDPF和PDPP不同的是,数据保护官(DPO)作为一个职能岗位并不是一门单独的考试,而是EXIN为已经获得相关认证的专业从业者提供的一种认证组合。即当考生考取以下三门认证后就可被EXIN授予DataProtectionOfficer岗位认证。
a. Privacy&DataProtectionFoundation
b. Privacy&DataProtectionPractitioner
c. InformationSecurityFoudationbasedonISO/IEC27001
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.