數據保護官(Data Protection O fficer),是由國際信息科學考試學會(EXIN)設立頒發,對完成數據保護官培訓課程并通過最終考試的學員頒發認證證書。國際信息科學考試學會(EXIN)由荷蘭經濟事務部于1984年創辦,現今已經從荷蘭政府部門獨立成立了EXIN 基金會,作為全球知名的企業數字化轉型權威定標認證機構,考試業務遍布全球165個國家和地區,考試語言覆蓋30多種,在全球認證了3000000名企業高級管理人員。
根據歐盟GDPR要求,核心活動涉及處理或存儲大量的歐盟公民數據、處理或存儲特殊類別的個人數據(健康記錄、犯罪記錄)的組織必須指定數據保護官DPO。DPO主要負責就GDPR規定提供咨詢意見,向最高管理層報告。未來設立DPO職位也將會在國際化企業和政府部門內成為趨勢。
無論數據是如何收集、存儲、使用,以及最終被刪除或銷毀,隱私安全問題始終存在。通過歐盟《通用數據保護條例》(GDPR, General Data Protection Regulation) ,歐盟理事會意在加強并統一對所有歐盟境內個人的數據保護。這項法規將影響所有使用歐盟管轄范圍內的個人數據的組織。國際信息考試學會 EXIN 也根據 GDPR 的相關內容推出了隱私與數據保護認證培訓。
工作職責
根據歐盟GDPR第39條和歐盟第29條數據保護工作組2016年12月的《數據保護官指引》(簡稱《指引》),DPO任務和職責包括:向數據控制者、處理者及負責數據處理的員工作出有關通知和建議;確保、監控企業活動的合規性;提出建議并監控數據保護影響評估;協助監管機構的工作,并擔任指定聯絡人;負責風險管控工作等。DPO需要具備專業知識和技能。DPO必須有理解數據保護和信息安全方面的法律知識,且有能力指導企業在整個信息生命周期(information life cycle)應該如何處理,包括收集、使用、存儲、清理等方面的具體問題。GDPR第37條明確要求DPO需要有“數據保護法律與實踐的專業知識,且有能力完成第39條項下的職責。
由EXIN推出數據保護官(Data Protection Officer)認證,是由三門獨立的認證課程構成,獲得三門認證后,學員會自動被授予DPO認證頭銜 :Privacy & Data Protection Foundation
-隱私及數據保護基礎認證培訓構成:
PDPF是一門驗證專業人員如何保護個人數據,以及對數據保護相關歐盟法規了解程度的認證。
Information Security Management ISO/EC 27001
-信息安全管理國際標準 ISO27001
ISO27001體系是一套“信息安全管理標準”,其方法是通過“風險評估”、“風險管理”切入企業的信息安全需求,經由完整的控制方法選擇及落實,有效降低企業面臨的信息安全風險。建立信息安全管理體系(ISMS)已成為各種組織,特別是金融機構、電信、高科技產業等管理運營風險不可缺少的重要機制。基于ISO/IEC27001的信息安全(個人)資格認證體系幫助企業員工獲得信息安全管理知識、幫助企業建立信息安全體系。
Privacy & Data Protection Practitioner
-隱私及數據保護實踐認證
PDPP實踐者級別的考試要求考生獲得PDPF認證之后報考。主要驗證專業人員對歐盟隱私法規和其國際關聯性的理解程度;更會進一步考察從業者在專業領域的實踐中應用其知識的能力。
歐美國家早在2000年開始,已有至少數百家公司設有DPO的職位,如花旗集團、美國運通、惠普、微軟、臉書等。安永的一份調查數據顯示,歐盟GDPR根本性地改變了全球范圍內隱私保護的管理模式。75%的歐盟公司以及50%的美國公司聲稱GDPR合規要求是驅動其隱私工作的主要原因。在培訓方面的投入、隱私崗位聘用人數都在近幾年大幅增長。 GDPR法規實施后,歐盟要求歐盟境內的政府部門和大規模處理和監控個人數據的企業內均應設立有DPO職位;未來設立DPO職位也將會在國際化企業和政府部門內成為趨勢。
EXIN從2019年開始在國內推廣數據保護官(DPO)的認證,其中華東區域授權由浙江錢塘江金研院獲得。