关于欧盟《通用数据保护条例》,简称GDPR与数据保护官,简称DPO
欧盟《通用数据保护条例》(GeneralD ata Protection Regulation,简称GDPR)于2018年5月25日生效,将对企业收集、控制和处理个人数据的方式产生深远影响。然而,并非位于欧盟的企业才会受到影响,事实上任何与欧盟监管下的客户进行的业务,都需要遵守GDPR。如果违反GDPR将面临可高达2千万欧元或全球年营业额的4%的巨额罚款。
伴随着GDPR的发布,组织内应该根据具体职能配备相应的角色,包括数据控制员(Data controller)、数据处理员(Data processor)以及数据保护官(Data Protection Officer,简称DPO)。
其中数据控制员(Data controller)定义了个人数据的处理方式和目的,此外,控制员还负责确保外部承包商能够遵守相关规定。数据处理员(Data processor)可以是维护和处理个人数据记录的内部团体(如业务分析师或开发商的直接雇员),也可以是执行全部或部分这些活动的任何外部服务提供商(如信用评级机构等)。
此外,最重要的是GDPR还要求指定一个数据保护官(DPO)来监管数据安全策略和GDPR合规性。核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定名DPO。DPO主要负责就GDPR规定提供咨询意见,向最高管理层报告。
中国企业需要设置DPO吗?
2018年5月25日正式实施的欧盟《一般数据保护条例》GDPR法案,其中提出了设置DPO的要求。
我们不要认为欧盟GDPR和中国企业没有什么关系,即使企业不在欧盟内,如果在向欧盟的个人提供商品和服务的过程中处理了欧盟居民的个人数据,或监测了在欧盟实施的个人行为,企业就受到GDPR的约束。尽管中国暂时还没有个人信息保护方面的专门立法,但已经公布实施的《网络安全法》,和2018今年5月1日正式实施的国家标准GB/T35273-2017《信息安全技术个人信息安全规范》(简称“《个人信息安全规范》”),分别提出了设置“网络安全负责人”、“个人信息保护负责人”的要求。
DPO的职责
根据欧盟GDPR第39条和欧盟第29条数据保护工作组2016年12月的《数据保护官指引》(简称《指引》),DPO任务和职责包括:向数据控制者、处理者及负责数据处理的员工作出有关通知和建议;确保、监控企业活动的合规性;提出建议并监控数据保护影响评估;协助监管机构的工作,并担任指定联络人;负责风险管控工作等。DPO需要具备专业知识和技能。DPO必须有理解数据保护和信息安全方面的法律知识,且有能力指导企业在整个信息生命周期(information life cycle)应该如何处理,包括收集、使用、存储、清理等方面的具体问题。GDPR第37条明确要求DPO需要有“数据保护法律与实践的专业知识,且有能力完成第39条项下的职责。
DPO的发展前景
欧美国家早在2000年开始,已有至少数百家公司设有DPO的职位,如花旗集团、美国运通、惠普、微软、脸书等。安永的一份调查数据显示,欧盟GDPR根本性地改变了全球范围内隐私保护的管理模式。75%的欧盟公司以及50%的美国公司声称GDPR合规要求是驱动其隐私工作的主要原因。在培训方面的投入、隐私岗位聘用人数都在近几年大幅增长。
如何获得DPO资格认证
总部位于欧洲的EXIN国际信息科学考试学会于2016年发布了基于《一般数据保护条例》GDPR的系列认证体系,其中包括Privacy and Data Protection Foundation - PDPF隐私和数据保护基础认证 ,
Privacy and Data Protection Practitioner - PDPP隐私和数据保护实践者认证以及Data Protection Officer-DPO数据保护官三个层级的认证。
Privacy and Data Protection Foundation - PDPF隐私和数据保护基础认证
其中PDPF是一门验证专业人员如何保护个人数据,以及对数据保护相关欧盟法规了解程度的认证。考试经过授权培训后可以包括参加PDPF认证考试,考试形式为40个选择题,答对26题或以上算通过考试。 PDPF考试语言可以选择英文或中文考试。
Privacy and Data Protection Practitioner - PDPP隐私和数据保护实践者认证
PDPP实践者级别的考试要求考生获得PDPF认证之后报考。主要验证专业人员对欧盟隐私法规和其国际关联性的理解程度;更会进一步考察从业者在专业领域的实践中应用其知识的能力。该考试了完成40道选择题以外还需要完成实践作业,两项成绩合格后可以获得资格证书。 目前PDPP的考试语言为英文。
Data Protection Officer-DPO 数据保护官认证
与PDPF和PDPP不同的是,数据保护官-DPO作为一个职能岗位并不是一门单独的考试,而是EXIN为已经获得相关认证的专业从业者提供的一种认证组合。即当考生考取以下三门认证后
a. Privacy and Data Protection Foundation
b. Privacy and Data Protection Practitioner
c. Information Security Foudation based on ISO 27001
就可直接获得被EXIN授予 Data Protection Officer岗位认证。
其中就DPO岗位资格证书申请条件中所涉及到的ISO27001证书的特别说明:
1.考取PDPF和PDPP认证后,在2019年1月1日之前考取的第三方国外认证机构颁发的的ISO27001 Foundation或ISO27000的Auditor的认证均视为有效的ISO27001证书。中文认证机构发的ISO27001证书需要有英文翻译件。申请 DPO证书时必须提交相关证书的电子版。
2.2019年1月1日以后,没有ISO27001证书的学员,如申请DPO证书在考完PDPF和PDPP后还需考取EXIN的提供的Informatin Security Foundation based ISO27001认证考试。
目标群体包括(不限于)
· 组织内的数据保护官(Data Protection Officer,简称DPO*)
· 组织内的数据隐私官Privacy Officer
· 组织内的法务人员/ 合规人员Legal Officer / Compliance Officer
· 组织内的安全负责人Security Officer
· 组织内的业务连续性经理Business Continuity Manager
· 组织内的数据管控者 Data Controller
· 组织内的数据处理者 Data processor
· 组织的数据保护审核员(包括内审员和外审员)Data Protection Auditors
· 人力资源经理HR Manager
*GDPR法规实施后,欧盟要求欧盟境内的政府部门和大规模处理和监控个人数据的企业内均应设立有DPO职位;未来设立DPO职位也将会在国际化企业和政府部门内成为趋势
考生收益
整体收益:
· 完全依据欧盟GDPR法规研发的认证体系
· 与法规实时同步更新认证体系
对于企业:
· 充分了解最新的数据隐私保护法规GDPR
· 符合合规以带来业务机会,规避违规成本
· 充分适用于各种规模、类型的企业、组织
对于个人:
· 获得一份高需求领域的能力认证,在相应岗位中更具有竞争力
· 构建个人数据保护的知识体系和实施能力,对您的工作和生活均十分有益
· 考试分数75分以上、从事信息安全和隐私保护相关工作的可以申请成为EXIN官方授权讲师
为何选择EXIN?
· 历史悠久的欧洲中立认证组织
· 全球最权威的IT人员认证机构,已认证全球300万IT从业者
· 提供全球认可的国际认证
· 独立严格的授权体系和考试认证
· 认证项目中独创性地加入“实践作业”设计,考察应用技能
· 全部认证体系匹配到欧盟ICT人员能力评估框架e-CF中
· 具有竞争力的各国家地区本地服务,本地支持,本地价格
· 每个认证体系均设置有基础级认证,方便初学者开启学习并考取认证
· 多层级认证学习项目
· 提供免费模拟题
· 无再认证要求
· 无需交会员费
· 提供各类免费学习资料,如考试大纲、考点解析、术语表、模拟题、白皮书、案例分析等等,助力IT从业者学习与备考
该认证体系由EXIN拥有完全知识产权。顺利通过考试的学员将收到EXIN官方提供的EXIN Privacy and Data Protection Foundation (PDPF) / EXIN Privacy and Data Protection Practitioner (PDPP)认证证书
考试细节
Copyright © 2020 All Rights Reseverd Designed by 5thspace.net 备案号:沪ICP备15017019号-1