数据保护官(Data Protection O fficer),是由国际信息科学考试学会(EXIN)设立颁发,对完成数据保护官培训课程并通过最终考试的学员颁发认证证书。国际信息科学考试学会(EXIN)由荷兰经济事务部于1984年创办,现今已经从荷兰政府部门独立成立了EXIN 基金会,作为全球知名的企业数字化转型权威定标认证机构,考试业务遍布全球165个国家和地区,考试语言覆盖30多种,在全球认证了3000000名企业高级管理人员。
根据欧盟GDPR要求,核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定数据保护官DPO。DPO主要负责就GDPR规定提供咨询意见,向最高管理层报告。未来设立DPO职位也将会在国际化企业和政府部门内成为趋势。
无论数据是如何收集、存储、使用,以及最终被删除或销毁,隐私安全问题始终存在。通过欧盟《通用数据保护条例》(GDPR, General Data Protection Regulation) ,欧盟理事会意在加强并统一对所有欧盟境内个人的数据保护。这项法规将影响所有使用欧盟管辖范围内的个人数据的组织。国际信息考试学会 EXIN 也根据 GDPR 的相关内容推出了隐私与数据保护认证培训。
工作职责
根据欧盟GDPR第39条和欧盟第29条数据保护工作组2016年12月的《数据保护官指引》(简称《指引》),DPO任务和职责包括:向数据控制者、处理者及负责数据处理的员工作出有关通知和建议;确保、监控企业活动的合规性;提出建议并监控数据保护影响评估;协助监管机构的工作,并担任指定联络人;负责风险管控工作等。DPO需要具备专业知识和技能。DPO必须有理解数据保护和信息安全方面的法律知识,且有能力指导企业在整个信息生命周期(information life cycle)应该如何处理,包括收集、使用、存储、清理等方面的具体问题。GDPR第37条明确要求DPO需要有“数据保护法律与实践的专业知识,且有能力完成第39条项下的职责。
由EXIN推出数据保护官(Data Protection Officer)认证,是由三门独立的认证课程构成,获得三门认证后,学员会自动被授予DPO认证头衔 :Privacy & Data Protection Foundation
-隐私及数据保护基础认证培训构成:
PDPF是一门验证专业人员如何保护个人数据,以及对数据保护相关欧盟法规了解程度的认证。
Information Security Management ISO/EC 27001
-信息安全管理国际标准 ISO27001
ISO27001体系是一套“信息安全管理标准”,其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求,经由完整的控制方法选择及落实,有效降低企业面临的信息安全风险。建立信息安全管理体系(ISMS)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。基于ISO/IEC27001的信息安全(个人)资格认证体系帮助企业员工获得信息安全管理知识、帮助企业建立信息安全体系。
Privacy & Data Protection Practitioner
-隐私及数据保护实践认证
PDPP实践者级别的考试要求考生获得PDPF认证之后报考。主要验证专业人员对欧盟隐私法规和其国际关联性的理解程度;更会进一步考察从业者在专业领域的实践中应用其知识的能力。
欧美国家早在2000年开始,已有至少数百家公司设有DPO的职位,如花旗集团、美国运通、惠普、微软、脸书等。安永的一份调查数据显示,欧盟GDPR根本性地改变了全球范围内隐私保护的管理模式。75%的欧盟公司以及50%的美国公司声称GDPR合规要求是驱动其隐私工作的主要原因。在培训方面的投入、隐私岗位聘用人数都在近几年大幅增长。 GDPR法规实施后,欧盟要求欧盟境内的政府部门和大规模处理和监控个人数据的企业内均应设立有DPO职位;未来设立DPO职位也将会在国际化企业和政府部门内成为趋势。
EXIN从2019年开始在国内推广数据保护官(DPO)的认证,其中华东区域授权由浙江钱塘江金研院获得。