مسؤول حماية البيانات - GDPR يحدّث المهنة

في 25 مايو 2018 ، دخلت اللائحة الأوروبية الجديدة لحماية البيانات الشخصية (يشار إليها فيما يلي باللائحة العامة لحماية البيانات - اللائحة العامة لحماية البيانات) حيز التنفيذ. تُعرف هذه اللائحة بتأثيرها خارج الحدود الإقليمية: فهي إلزامية للاستخدام في جميع دول الاتحاد الأوروبي ، وفي ظل ظروف معينة تمتد إلى الشركات غير الأوروبية أو تجبرها على جعل أنشطتها تتماشى مع متطلبات اللائحة العامة لحماية البيانات حتى لا تفقد شريكها الأوروبي. وبالتالي ، قد تتأثر الأعمال الروسية أيضًا بقانون جديد ، يتوفر تحليل عام له هنا . تعزز اللائحة العامة لحماية البيانات (GDPR) النظام الذي تم إنشاؤه سابقًا لحماية البيانات الشخصية ، فضلاً عن تقديم التزامات جديدة للمنظمات التي تعالج هذه البيانات.

على وجه الخصوص ، قامت اللائحة بتحديث المهنة القائمة بالفعل المسؤولة عن حماية البيانات (يشار إليها فيما يلي باسم DPO - مسؤول حماية البيانات). تم توفير هذه الوظيفة أيضًا في التوجيه الإطاري لعام 1995 ، والذي تم استبداله بنص جديد. ينظم التشريع السابق أنشطة مثل هذا الأخصائي ، لكنه لم يصر على تعيينه دون فشل.

متى يجب وصف DPO؟

واليوم ، في عصر اللائحة العامة لحماية البيانات ، أصبح تعيين مدير حماية بيانات إلزاميًا في الحالات التالية ( المادة 37 من اللائحة العامة لحماية البيانات ):

• في الشركات التي تقوم بشكل منهجي ومنتظم بمراقبة واسعة النطاق للأفراد (غالبًا ما تكون مراقبة لغرض الإعلان السياقي) ؛
  
• في الشركات التي تقوم بمعالجة واسعة النطاق لفئات خاصة من البيانات الشخصية ، مثل البيانات الصحية ، وما إلى ذلك ؛
  
• في أي سلطة عامة تعالج البيانات الشخصية.
  

في جميع الحالات الأخرى ، يظل تعيين DPO اختياريًا. ومع ذلك ، يحث المنظمون الأوروبيون بالإجماع على عدم إهمال مثل هذا المتخصص وتفويض السلطة لحماية البيانات الشخصية إلى محترف في هذا المجال.

مثل هذا الابتكار من المشرع الأوروبي يمكن تفسيره بسهولة من خلال فلسفة التنظيم نفسه: نظام معزز لحماية البيانات. زيادة مسؤولية معالجي البيانات ؛ عقوبات ضخمة في حالة انتهاك تصرفات اللائحة العامة لحماية البيانات. لجعل أنشطتها تتماشى مع المتطلبات الجديدة ، تحتاج الشركات إلى دعم متخصصين متخصصين للغاية.

العجز في سوق خدمات DPO

صحيح أن البرلمانيين لم يأخذوا في الاعتبار أو تجاهلوا ببساطة حقيقة أن السوق الحالية لخدمات حماية البيانات الشخصية ليست مستعدة لتحمل مثل هذا التدفق من العملاء الجدد الذين يضطرون إلى تجنيد DPO. على الرغم من حقيقة أن هذه المهنة موجودة منذ أكثر من يوم واحد ، فإن عدد المتخصصين يترك الكثير مما هو مرغوب فيه حتى في السوق الأوروبية. لذلك ، وفقًا لبحث أجرته IAPP (الرابطة الدولية لمحترفي الخصوصية) ، يجب توظيف 28 ألف متخصص في 2018 فقط في الاتحاد الأوروبي والولايات المتحدة الأمريكية. وفي جميع أنحاء العالم ، ينمو هذا الرقم إلى 75 ألفًا.

من الواضح أن مثل هذا الطلب لا يمكن تلبيته بشكل حصري من قبل متخصصين داخليين (موظفين داخليين في الشركات). في هذا الصدد ، تلجأ العديد من الشركات إلى المنظمات الاستشارية الخارجية التي تقدم خدمات DPO. على سبيل المثال ، بالنسبة للشركات الصغيرة والمتوسطة ، يمكن أن يكون هذا أسهل بكثير من توظيف موظف جديد. على أي حال ، ليس للحالة الخارجية أو الداخلية أي تأثير تقريبًا على أنشطة DPO نفسها.

DPO - محام أو متخصص في تكنولوجيا المعلومات؟

بادئ ذي بدء ، تحتاج إلى فهم أن DPO يجب أن يكون لديك معرفة قانونية. ويتبع هذا الاستنتاج مباشرة من المادة 39 من اللائحة الأوروبية ، التي تسرد مهام ومهام DPO. إلى حد كبير ، هذا بالطبع محام. بالإضافة إلى ذلك ، يجب أن يكون محامٍ لديه مهارات إدارية قوية وخبرة فنية مناسبة ، أي مدير.

في كثير من الأحيان ، يلعب دور DPO من قبل المتخصصين في مجال تكنولوجيا المعلومات ، الذين لديهم أفكار أساسية فقط عن القانون. صحيح ، هذا الوضع هو سمة الدول الغربية. في السوق المحلية لحماية البيانات الشخصية ، فإن متخصصي تكنولوجيا المعلومات هم الذين يهيمنون وليس المحامين على الإطلاق. يجب على اللائحة العامة لحماية البيانات ، التي دخلت بالفعل حيز التنفيذ ، أن تنقلب الموازين إلى جانب الفقهاء في روسيا ، وبشكل أكثر دقة ، الفقهاء المتخصصين.

بطريقة أو بأخرى ، تفضل الشركات الكبيرة ، بالطبع ، توظيف بعض المتخصصين لضمان أمن تكنولوجيا المعلومات وآخرون للبيانات الشخصية. تحاول الشركات الصغيرة والمتوسطة اتخاذ خيار لصالح موظف واحد مؤهل في كلا المجالين.
لماذا يحدث هذا؟ يكمن الجواب على السطح: إن اللائحة العامة لحماية البيانات تتحمل مسؤوليات كثيرة للغاية بالنسبة للشركات.

من ناحية ، من الضروري ضمان أمن البيانات الشخصية ، للاستجابة بشكل صحيح في حالة التسرب. عادة ما يتم ذلك من قبل موظفي تكنولوجيا المعلومات. من ناحية أخرى ، من الضروري إبرام اتفاقيات تتوافق بشكل قانوني مع متطلبات اللائحة ، والاحتفاظ بالسجلات المقدمة بشكل خاص ، والاتصال بالسلطات الإشرافية والوفاء بالواجبات "الورقية" الأخرى. وعادة ما يكون المحامون ، حتى المديرين أحيانًا ، متورطين في ذلك.

ونتيجة لذلك ، فإن الاختصاصي الجيد في مجال البيانات الشخصية هو مزيج من كل هذه المهن.

ماذا يفعل DPO؟

أما بالنسبة لمحيط DPO ، فإن هذا الموظف سوف يفعل كل ما هو ضروري للشركة للامتثال التام للوائح الأوروبية وغيرها من الأعمال في مجال حماية البيانات الشخصية ، وبالتالي تجنب العقوبات الكبرى ، بالإضافة إلى المخاطر التعاقدية مع الشركاء.

ستقوم إدارة حماية البيانات (DPO) بإجراء مراجعة عامة للنشاط ، وتحديد جميع فئات البيانات الشخصية التي تعالجها الشركة ، واقتراح تدابير لضمان أمنها ، بالإضافة إلى استراتيجية تطوير عامة نحو الاستخدام المشروع للبيانات. كما سيتفاوض مع المشرف إذا لزم الأمر. كما سيساعد على الاستجابة بشكل صحيح لطلبات الأشخاص الذين تتم معالجة بياناتهم من قبل الشركة. بشكل عام ، يقع كل ما يتعلق بالبيانات الشخصية تقريبًا تحت محيط DPO.

إذا تم إهمال مثل هذا الموظف في عصر اللائحة العامة لحماية البيانات ، وكذلك في خضم فضائح كبيرة مع تسرب البيانات الشخصية ، فإن الأمر متروك للشركات نفسها. ولكن مرة أخرى ، هذا ضروري فقط لأولئك الذين ليس لديهم مسؤولية مباشرة لتعيين DPO.

ميزات تقديم خدمات DPO

عندما تفكر منظمة ما في توظيف DPO ، من المهم أن نفهم أن هناك نوعين رئيسيين من الخدمات في هذا المجال: الخدمات الداخلية والاستشارية المذكورة أعلاه. في الحالة الأولى ، يتم تعيين الموظف بموجب عقد عمل ، وفي الحالة الثانية ، تقدم شركة استشارية خارجية خدمات DPO بموجب عقد قانون مدني. بغض النظر عن الخيار الذي تم اختياره ، ستظل الشركة نفسها الشخص المسؤول قانونًا. لن تكون إدارة حماية البيانات (DPO) مسؤولة بأي حال من الأحوال عن فشل الشركة في الامتثال لتصرفات اللائحة العامة لحماية البيانات.

بالإضافة إلى ذلك ، تنص اللائحة الأوروبية بشكل صارم على الاستقلال التام لأخصائي في حماية البيانات الشخصية. في حالة داخليًا ، لا يمكن أن يكون مسؤول حماية البيانات مسؤولاً إلا أمام الشخص الذي يشغل أعلى منصب في التسلسل الهرمي. في حالة الاستشارات الخارجية ، يجب ألا تكون إدارة حماية البيانات في وضع تضارب المصالح ، والذي يحدث غالبًا إذا كان ، على سبيل المثال ، محامٍ.
في أي حال ، يتم دائمًا فحص تضارب المصالح واستقلالية DPO من قبل المشرف في مجال حماية البيانات الشخصية. هذه عملية إلزامية ويجب الإعلان عن أي تعيين لـ DPO إلى المنظم. بمعنى آخر ، في كل مرة يتم تعيين مدير حماية البيانات ، يجب إخطار المشرف بذلك.

يمكنك معرفة المزيد حول التفاصيل الدقيقة المرتبطة بتعيين DPO ، سواء الإلزامية أو الاختيارية ، بالإضافة إلى وظائفها ومهامها من المبادئ التوجيهية لمجموعة عمل WP29 . كانت هذه المنظمة موجودة في عصر التوجيه الإطاري لعام 1995 ، وكانت مهمتها الرئيسية تفسير التشريعات في مجال حماية البيانات الشخصية. مع بدء نفاذ اللائحة العامة لحماية البيانات ، تم استبدال مجموعة العمل بالمجلس الأوروبي لحماية البيانات ، لكن عمل WP29 لم يفقد أهميته.

بعض الأفكار حول مهنة DPO

اليوم ، من غير المفهوم تمامًا نوع الخلفية التي يجب أن يتمتع بها الباحث عن عمل لمنظمي إدارة حماية الأشخاص في روسيا. لا تقدم المؤسسات التعليمية تقريبًا برامج خاصة في مجال القانون الرقمي أو حماية البيانات الشخصية. بطبيعة الحال ، فإن الطلب في السوق المحلية أقل بكثير من الطلب في السوق الأوروبية ، ولكنه ليس كافياً لتبرير مثل هذه الفجوة. بدأت كليات الحقوق الكبرى للتو في تقديم دورات خاصة في تكنولوجيا المعلومات.

لطالما قدمت العديد من المنظمات الدولية طرق اعتماد مختلفة. على سبيل المثال ، يقدم IAPP المذكور أعلاه دورة تحضيرية حول اللائحة العامة لحماية البيانات (GDPR) ويشهد على أولئك الذين اجتازوا الاختبار بنجاح. هذه الدورة متاحة لجميع القادمين ، ويحظى اعتماد IAPP بتقدير كبير في جميع أنحاء العالم.

أما بالنسبة لربحية المهنة ، إذا كنت تعتقد ، على سبيل المثال ، الجمعية الفرنسية للمسؤولين عن حماية البيانات الشخصية ، فإن متوسط ​​DPO في أوروبا يكسب من 2.5 ألف إلى 4 آلاف يورو. هذا القابس يتوافق تقريبًا مع متوسط ​​دخل المبرمج الأوروبي. في الختام ، يمكننا أن نتوقع مساواة تقريبية بين دخول هاتين المهنتين في السوق المحلية.


تلخيصًا ، يجب التأكيد على أن مسؤول حماية البيانات هو مهنة شابة تلقت زخمًا كبيرًا للتنمية بفضل دخول اللائحة الأوروبية الجديدة لحماية البيانات العامة حيز التنفيذ. اليوم ، حماية البيانات الشخصية على اللائحة العامة لحماية البيانات هو اتجاه علمي يجب على الشركات في جميع أنحاء العالم الانتباه إليه ، وليس في أوروبا فقط. قريبًا ، لن يصبح التعاون الكامل مع الشركاء الأوروبيين ممكنًا إلا إذا تم احترام اللائحة العامة لحماية البيانات ، وهو أمر يصعب تخيله دون دمج مهنة DPO في قطاع الخدمات الاستشارية ، على الأقل.