当GDPR强制实施,安全从业者如何迎接新机遇【附资料包】
欧盟发布的“通用数据保护条例”(GDPR)于2018年5月25日正式实施,被称为欧盟史上最严用户数据保护法案,这是全球近20年在数据隐私保护领域最重大的变化。
(GDPR的发展历程)
一、GDPR的实际意义
GDPR是 (The European) General Data Protection Regulation 的缩写,即通用数据保护条例,它的意义在于推动强制执行隐私条例,规定了企业在对用户的数据收集、存储、保护和使用时新的标准;另一方面,对于自身的数据,也给予了用户更大处理权。此外,GDPR 的实施,也重新唤起了世界其他国家和地区的人对隐私和数字生活中个人隐私权利的重视。
欧盟GDPR法案不仅适用于位于欧盟境内的企业组织机构,也适用于位于欧盟以外的企业组织机构,无论机构所在地位于哪里,只要其向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据,都将受到GDPR法案的监管。
二、设立数据保护官(DPO)的必要性
一)根据GDPR规定,核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定数据保护官DPO,比如以精准投放为主业的在线广告公司、可穿戴智能设备公司、体检中心、人脸识别公司等均需要设立数据保护官。
二)设立数据保护官既有“强制性”,企业对于数据保护也具有“内需性”。
当企业发展到一定程度,会有合规的需求。但在大数据时代,以往能胜任合规等岗位的人未必能处理好数据保护的问题,于是就诞生了更加精细化的、专门负责数据保护的专业人员。
从另外角度看,数据合规也是企业的一种竞争优势,特别对于数据存储提供商和云服务提供商,数据安全、数据隐私往往是用户选择时的重要考量因素。
三、DPO的发展前景
欧美国家早在2000年开始,已有至少数百家公司设有DPO的职位,如花旗集团、美国运通、惠普、微软、脸书等。安永的一份调查数据显示,欧盟GDPR根本性地改变了全球范围内隐私保护的管理模式,75%的欧盟公司以及50%的美国公司声称GDPR合规要求是驱动其隐私工作的主要原因。在培训方面的投入、隐私岗位聘用人数都在近几年大幅增长。
GDPR法规实施后,欧盟要求欧盟境内的政府部门和大规模处理和监控个人数据的企业内均应设立有DPO职位;未来设立DPO职位也将会在国际化企业和政府部门内成为趋势。
当你成为EXIN认证的数据保护官DPO时,这不仅意味着你成功通过了对欧盟法规的全面考察,更加意味着你拥有了在组织中担任实施与维护GDPR这一角色的能力。
四、如何获得DPO认证
DPO不是一门单独的考试,而是EXIN为已经获得相关认证的专业从业者提供的一种集成认证。即当一位从业者考取以下三门认证后(PDPF+PDPP+ISO27001):
1.EXIN Privacy and Data Protection Foundation认证,是一门验证专业人员如何保护个人数据,以及对数据保护相关欧盟法规了解程度的认证。
2.EXIN Privacy and Data Protection Practitioner认证,首先主要验证专业人员对欧盟隐私法规和其 国际关联性的理解程度;更会进一步考察从业者在专业领域的实践中应用其知识的能力。
3.EXIN Information Security Foundation based on ISO/IEC 27001 基于ISO27001的信息安全管理精要课程。
就DPO证书申请涉及到的ISO27001证书的特别说明:
1 .考完PDPF和PDPP后,拥有2019年1月1日之前考的其他国外认证机构颁发的的ISO27001 Foundation或ISO27000的Auditor的认证均视为有效的ISO27001证书,例如,BSI,DNV和SGS;中文认证机构发的ISO27001证书需要有英文翻译件。申请 DPO证书时必须提交这些证书的电子版。
2.目前没有ISO27001证书的想申请DPO证书的,考完PDPF和PDPP后还必须通过EXIN的ISO27001考试才能申请。
五、福利