数据保护官 (DPO) 对许多公司来说是一个相对较新的职位,DPO的角色、职责和报告结构在很大程度上由欧盟的通用数据保护条例 ( GDPR ) 定义。GDPR 于 2016 年 4 月 14 日通过,并于 2018 年 5 月 25 日起生效。除欧盟成员国外,任何与欧盟居民有关联的(销售商品、提供软件产品或服务)的公司,无论其位于何处,都受制于条例。
数据保护官的展望
数据保护和隐私权领域正在蓬勃发展,数据保护人员的需求量很大。由于这是许多组织的新角色,因此在为新的DPO制定招聘要求时通常缺乏明确的方向。在这样的环境中,有能力指导公司需要什么、角色应该包括什么,甚至DPO可以为组织带来的价值的候选人都受到高度追捧,目前中国大陆地区持证400人左右。种种迹象表明,在可预见的未来,对DPO的需求将继续显着增长。
数据保护官的工资是多少?
ZipRecruiter列出数据保护官的平均工资为 85,696 美元,并报告年薪高达 156,500 美元
美国劳工统计局 ( BLS ) 报告称,2018 年合规官(与数据保护官密切相关的专业)的平均年薪为 72,520 美元。
数据保护官的职责包括
- 提供有关隐私、设计隐私、数据共享和数据传输的内部法律建议。
- 参与任何包含受保护信息的商业协议的起草、谈判和审查。
- 为 GDPR 或 CCPA 提供咨询和起草与数据保护相关的文件,包括合同尽职调查。
- 就各种新的合规报告/数据跟踪要求和更新内部行为准则提供指导和支持。
- 熟悉所有适用的隐私法。
数据保护官的技能和经验
DPO 职位的候选人必须能够充分理解 GDPR。即使不寻找一个本身就掌握 GDPR 的候选人,对数据隐私要求的这一事实上的标准的理解也是许多雇主用来衡量该职位适合性的方法。越来越多的雇主正在寻找符合条件的DPO,其明确目的是满足GDPR 要求。
GDPR 第 37 条规定,“数据保护官的任命应基于专业素质,特别是数据保护法律和实践的专业知识以及完成任务的能力……”许多专家认为,数据保护官应该是一名持牌律师,不仅对 GDPR 有足够的了解,而且对雇主很重要的其他隐私法也有足够的了解。至少,法律背景有助于理解和解释围绕数据隐私的复杂法律要求。除了了解各种法律法规的内容外,DPO 还必须了解如何在判例法中解释和应用这些法律。
与数据隐私相关的风险可能取决于企业和行业。DPO 充分了解企业的业务运营和特定行业的数据处理需求,这一点很重要。该组织和该行业的经验是重要的限定条件。虽然安全技术技能不被视为主要要求,但 DPO应具有网络安全领域的实践经验。候选人应该处理过真实的安全事件,这将使他们能够在风险评估、对策和数据保护影响评估方面提供有用的指导。虽然安全是 GDPR 的重要组成部分,但它只是整体法律的一部分。 具有安全背景的个人通常只关注外部威胁,并且通常不具备履行这一重要角色的许多职责所需的法律或客户服务技能。
根据GDPR要求,核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定数据保护官DPO。
GDPR 没有定义什么是核心活动和大规模。EDPB 建议,在确定是否大规模进行处理时,应特别考虑以下因素:
· 相关数据主体的数量 – 作为特定数量或相关人口的比例
· 正在处理的数据量和/或不同数据项的范围
· 数据处理活动的持续时间或永久性
· 加工活动的地理范围
大规模处理的例子包括
- 医院在正常业务过程中处理患者数据
- 使用城市公共交通系统处理个人的旅行数据(例如通过旅行卡进行跟踪)
- 由专门从事这些活动的处理器处理国际快餐连锁店客户的实时地理位置数据以用于统计目的
- 保险公司或银行在正常业务过程中处理客户数据
- 搜索引擎处理用于行为广告的个人数据
- 通过电话或互联网服务提供商处理数据(内容、流量、位置)
不构成大规模加工的例子包括
- 由个别医生处理患者数据
- 由个人律师处理与刑事定罪和犯罪有关的个人数据
示例:运营电信网络;提供电讯服务;电子邮件重定向;以风险评估为目的的分析和评分(例如,为了信用评分、保险费的确定、欺诈预防、洗钱检测);位置跟踪,例如,通过移动应用程序;忠诚度计划;行为广告;通过可穿戴设备监控健康、健身和健康数据;闭路电视;联网设备,例如智能电表、智能汽车、家庭自动化等。
添加微信回复“GDPR” 可获得GDPR电子版文件
添加微信获得认证一对一咨询解答
谷安培训DPO-Q4开班时间
PDPF——11月6、7日
PDPP——10月16-17日 / 12月11-12日
27001——11月27-28日
发表评论
您还未登录,请先登录。
登录