Geekly articles weekly

डेटा सुरक्षा अधिकारी - जीडीपीआर अद्यतन पेशा



25 मई, 2018 को, प्रोटेक्शन ऑफ पर्सनल डेटा (इसके बाद GDPR - जनरल डेटा प्रोटेक्शन रेगुलेशन) पर नया यूरोपीय विनियमन लागू हुआ। इस विनियमन को इसके अलौकिक प्रभाव के लिए जाना जाता है: यह सभी यूरोपीय संघ के देशों में उपयोग के लिए अनिवार्य है, और कुछ शर्तों के तहत यह गैर-यूरोपीय कंपनियों तक फैली हुई है या उन्हें अपनी गतिविधियों को जीडीपीआर आवश्यकताओं के अनुरूप लाने के लिए मजबूर करती है ताकि उनके यूरोपीय साथी को खोना न पड़े। नतीजतन, रूसी व्यापार भी एक नए कानून से प्रभावित हो सकता है, जिसका एक सामान्य विश्लेषण यहां उपलब्ध है । जीडीपीआर व्यक्तिगत डेटा की सुरक्षा के लिए पहले से स्थापित शासन को मजबूत करता है, साथ ही ऐसे डेटा को संसाधित करने वाले संगठनों के लिए नए दायित्वों का परिचय देता है।

विशेष रूप से, विनियमन ने डेटा संरक्षण के लिए जिम्मेदार पहले से मौजूद पेशे को आधुनिक बनाया (इसके बाद डीपीओ - ​​डेटा सुरक्षा अधिकारी)। यह पद 1995 के ढांचे के निर्देश के लिए भी प्रदान किया गया था, जिसे एक नए पाठ द्वारा बदल दिया गया था। पिछले कानून ने इस तरह के विशेषज्ञ की गतिविधियों को विनियमित किया, लेकिन बिना असफलता के उनकी नियुक्ति पर जोर नहीं दिया।

डीपीओ कब निर्धारित किया जाना चाहिए?


आज, GDPR के युग में, निम्नलिखित मामलों में एक DPO की नियुक्ति अनिवार्य हो गई है: GDPR का अनुच्छेद 37 :

  • कंपनियों में जो व्यवस्थित और नियमित रूप से व्यक्तियों की बड़े पैमाने पर निगरानी करते हैं (ज्यादातर यह प्रासंगिक विज्ञापन के उद्देश्य के लिए निगरानी कर रहा है);
  • ऐसी कंपनियों में जो व्यक्तिगत डेटा की विशेष श्रेणियों, जैसे स्वास्थ्य डेटा, आदि की बड़े पैमाने पर प्रसंस्करण करती हैं;
  • किसी भी सार्वजनिक प्राधिकरण में जो व्यक्तिगत डेटा को संसाधित करता है।

अन्य सभी मामलों में, डीपीओ की नियुक्ति वैकल्पिक बनी हुई है। फिर भी, यूरोपीय नियामकों ने सर्वसम्मति से इस तरह के एक विशेषज्ञ की उपेक्षा नहीं करने और इस क्षेत्र में एक पेशेवर को व्यक्तिगत डेटा की रक्षा करने के लिए प्राधिकरण को सौंपने का आग्रह किया है।

यूरोपीय विधायक के इस तरह के एक नवाचार को विनियमन के दर्शन द्वारा आसानी से समझाया गया है: एक बढ़ाया डेटा संरक्षण शासन; डेटा प्रोसेसर की जिम्मेदारी बढ़ गई; जीडीपीआर के निपटान के उल्लंघन के मामले में भारी प्रतिबंध। अपनी गतिविधियों को नई आवश्यकताओं के अनुरूप लाने के लिए, उद्यमों को अत्यधिक विशिष्ट विशेषज्ञों के समर्थन की आवश्यकता होती है।

डीपीओ सेवा बाजार में कमी


सच है, सांसदों ने ध्यान नहीं दिया या बस इस तथ्य को नजरअंदाज कर दिया कि व्यक्तिगत डेटा संरक्षण सेवाओं के लिए मौजूदा बाजार नए ग्राहकों की ऐसी आमद को झेलने के लिए तैयार नहीं है, जो डीपीओ की भर्ती के लिए मजबूर हैं। इस तथ्य के बावजूद कि यह पेशा एक दिन से अधिक समय से मौजूद है, विशेषज्ञों की संख्या यूरोपीय बाजार में भी वांछित होने के लिए बहुत कुछ छोड़ देती है। इसलिए, IAPP (इंटरनेशनल एसोसिएशन ऑफ प्राइवेसी प्रोफेशनल्स) के शोध के अनुसार, 28 हजार विशेषज्ञों को 2018 में केवल ईयू और यूएसए में काम पर रखा जाना चाहिए। और दुनिया भर में, यह आंकड़ा 75 हजार तक बढ़ रहा है।

जाहिर है, इस तरह की मांग को केवल इन-हाउस पेशेवरों (कंपनियों के आंतरिक कर्मचारी) द्वारा संतुष्ट नहीं किया जा सकता है। इस संबंध में, कई कंपनियां बाहरी परामर्श संगठनों की ओर रुख करती हैं जो डीपीओ सेवाएं प्रदान करते हैं। उदाहरण के लिए, छोटे और मध्यम आकार के व्यवसायों के लिए, नए कर्मचारी को काम पर रखने की तुलना में यह बहुत आसान हो सकता है। किसी भी मामले में, बाहरी या आंतरिक स्थिति का डीपीओ की गतिविधियों पर लगभग कोई प्रभाव नहीं पड़ता है।

डीपीओ - ​​वकील या आईटी विशेषज्ञ?


सबसे पहले, आपको यह समझने की आवश्यकता है कि डीपीओ को कानूनी ज्ञान होना चाहिए। यह निष्कर्ष सीधे यूरोपीय विनियमन के अनुच्छेद 39 से आता है , जो डीपीओ के कार्यों और मिशनों को सूचीबद्ध करता है। अधिक हद तक, यह, निश्चित रूप से, एक वकील है। इसके अलावा, यह एक वकील होना चाहिए जिसके पास मजबूत प्रबंधकीय कौशल और उचित तकनीकी विशेषज्ञता है, अर्थात एक प्रबंधक।

कम बार, डीपीओ की भूमिका सूचना प्रौद्योगिकी के क्षेत्र में विशेषज्ञों द्वारा निभाई जाती है, जिनके पास कानून के बारे में केवल मूल विचार हैं। सच है, यह स्थिति पश्चिमी देशों की विशेषता है। व्यक्तिगत डेटा की सुरक्षा के लिए घरेलू बाजार में, यह आईटी विशेषज्ञ हैं जो हावी हैं, और वकील बिल्कुल नहीं। जीडीपीआर, जो पहले से ही लागू है, रूस में न्यायविदों के पक्ष में तराजू को टिप देना चाहिए, अधिक सटीक, विशेष रूप से न्यायविद।

एक तरीका या दूसरा, बड़े निगम, निश्चित रूप से, व्यक्तिगत डेटा के लिए आईटी सुरक्षा और अन्य सुनिश्चित करने के लिए कुछ विशेषज्ञों को नियुक्त करना पसंद करते हैं। छोटे और मध्यम आकार के व्यवसाय एक ऐसे कर्मचारी के पक्ष में चुनाव करने की कोशिश कर रहे हैं जो दोनों क्षेत्रों में सक्षम है।
ऐसा क्यों हो रहा है? इसका जवाब सतह पर है: जीडीपीआर में कंपनियों के लिए बहुत अधिक जिम्मेदारियां हैं।

एक तरफ, रिसाव के मामले में व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए, सही ढंग से जवाब देना आवश्यक है। यह आमतौर पर आईटी लोगों द्वारा किया जाता है। दूसरी ओर, विनियमन की आवश्यकताओं के अनुरूप कानूनी रूप से समझौते को समाप्त करना आवश्यक है, विशेष रूप से प्रदान किए गए रजिस्टर रखें, पर्यवेक्षी अधिकारियों से संपर्क करें और अन्य "पेपर" कर्तव्यों को पूरा करें। और वकील, कभी-कभी प्रबंधक भी, आमतौर पर इसमें शामिल होते हैं।

नतीजतन, व्यक्तिगत डेटा के क्षेत्र में एक अच्छा विशेषज्ञ इन सभी व्यवसायों का एक प्रकार का मिश्रण है।

डीपीओ क्या करता है?


डीपीओ की परिधि के लिए, ऐसा कर्मचारी कंपनी के लिए व्यक्तिगत डेटा संरक्षण के क्षेत्र में यूरोपीय नियमों और अन्य कृत्यों का पूरी तरह से पालन करने के लिए आवश्यक सब कुछ करेगा और इस प्रकार, प्रमुख प्रतिबंधों से बचें, साथ ही साथ भागीदारों के साथ अनुबंध संबंधी जोखिम भी।

DPO गतिविधि का एक सामान्य ऑडिट करेगा, कंपनी द्वारा संसाधित व्यक्तिगत डेटा की सभी श्रेणियों की पहचान करेगा, उनकी सुरक्षा सुनिश्चित करने के उपायों का प्रस्ताव करेगा, साथ ही डेटा के वैध उपयोग के लिए एक सामान्य विकास रणनीति भी तैयार करेगा। यदि आवश्यक हो तो वह पर्यवेक्षक के साथ भी बातचीत करेगा। यह उन व्यक्तियों के अनुरोधों को ठीक से जवाब देने में भी मदद करेगा जिनके डेटा को कंपनी द्वारा संसाधित किया जाता है। सामान्य तौर पर, व्यक्तिगत डेटा से संबंधित लगभग सभी चीजें डीपीओ की परिधि में आएंगी।

क्या इस तरह के कर्मचारी को जीडीपीआर के युग में उपेक्षित किया जाना चाहिए, साथ ही व्यक्तिगत डेटा के रिसाव के साथ प्रमुख घोटालों के बीच, यह स्वयं कंपनियों पर निर्भर है। लेकिन फिर, यह केवल उन लोगों के लिए आवश्यक है जिनके पास डीपीओ नियुक्त करने की सीधी जिम्मेदारी नहीं है।

डीपीओ सेवाओं के प्रावधान की विशेषताएं


जब कोई संगठन डीपीओ की भर्ती के बारे में सोचता है, तो यह समझना महत्वपूर्ण है कि इस क्षेत्र में दो मुख्य प्रकार की सेवाएं हैं: उपर्युक्त इन-हाउस और परामर्श। पहले मामले में, कर्मचारी को एक रोजगार अनुबंध के तहत काम पर रखा जाता है, दूसरे में, एक बाहरी परामर्श कंपनी एक नागरिक कानून अनुबंध के तहत डीपीओ सेवाएं प्रदान करती है। चुने गए विकल्प के बावजूद, कंपनी स्वयं कानूनी रूप से जिम्मेदार व्यक्ति बनी रहेगी। किसी भी स्थिति में डीपीओ जीडीपीआर डिस्पोजल के अनुपालन में कंपनी की विफलता के लिए उत्तरदायी नहीं होगा।

इसके अलावा, यूरोपीय विनियमन सख्ती से व्यक्तिगत डेटा की सुरक्षा में एक विशेषज्ञ की पूर्ण स्वतंत्रता के लिए प्रदान करता है। इन-हाउस के मामले में, डीपीओ केवल पदानुक्रम में सर्वोच्च स्थान रखने वाले व्यक्ति के प्रति जवाबदेह हो सकता है। बाहरी परामर्श के मामले में, डीपीओ को ब्याज की स्थिति के विवाद में नहीं होना चाहिए, जो अक्सर ऐसा होता है, उदाहरण के लिए, एक वकील।
किसी भी मामले में, व्यक्तिगत डेटा संरक्षण के क्षेत्र में पर्यवेक्षक द्वारा हितों के टकराव और डीपीओ की स्वतंत्रता की हमेशा जांच की जाती है। यह एक अनिवार्य प्रक्रिया है और किसी भी डीपीओ असाइनमेंट को नियामक को घोषित किया जाना चाहिए। दूसरे शब्दों में, हर बार एक डीपीओ नियुक्त होने पर, पर्यवेक्षक को इसकी सूचना दी जानी चाहिए।

आप डीपीओ की नियुक्ति से जुड़ी विभिन्न बारीकियों के बारे में अधिक जान सकते हैं, दोनों अनिवार्य और वैकल्पिक, साथ ही इसके कार्यों और मिशनों से WP29 वर्किंग ग्रुप के दिशानिर्देश से। यह संगठन 1995 के ढांचे के निर्देशन के युग में अस्तित्व में था, और इसका मुख्य कार्य व्यक्तिगत डेटा संरक्षण के क्षेत्र में कानून की व्याख्या करना था। GDPR के बल में प्रवेश के साथ, कार्यदल को यूरोपीय डेटा संरक्षण बोर्ड द्वारा बदल दिया गया था, लेकिन WP29 के काम ने अपना महत्व नहीं खोया है।

डीपीओ पेशे के बारे में कुछ अंतर्दृष्टि


आज, यह पूरी तरह से समझ से बाहर है कि रूस में डीपीओ के लिए नौकरी तलाशने वाले की पृष्ठभूमि किस तरह की होनी चाहिए। शैक्षिक संस्थान लगभग डिजिटल कानून या व्यक्तिगत डेटा की सुरक्षा के क्षेत्र में विशेष कार्यक्रम प्रदान नहीं करते हैं। बेशक, घरेलू बाजार में मांग यूरोपीय एक की तुलना में कई गुना कम है, लेकिन इस तरह के अंतर को सही ठहराने के लिए पर्याप्त नहीं है। बड़े लॉ स्कूल अभी आईटी में विशेष पाठ्यक्रम शुरू करने जा रहे हैं।

कई अंतरराष्ट्रीय संगठनों ने लंबे समय से विभिन्न प्रमाणन विधियां प्रदान की हैं। उदाहरण के लिए, उपरोक्त IAPP GDPR पर एक प्रारंभिक पाठ्यक्रम प्रदान करता है और उन लोगों को प्रमाणित करता है जो सफलतापूर्वक परीक्षा उत्तीर्ण करते हैं। यह कोर्स सभी कामर्स के लिए सुलभ है और IAPP मान्यता पूरी दुनिया में बहुत सराही जाती है।

पेशे की लाभप्रदता के लिए, यदि आप मानते हैं, उदाहरण के लिए, व्यक्तिगत डेटा की सुरक्षा के लिए जिम्मेदार लोगों की फ्रांसीसी एसोसिएशन, यूरोप में औसत डीपीओ 2.5 हजार से 4 हजार यूरो तक कमाती है। यह प्लग लगभग एक यूरोपीय प्रोग्रामर की औसत आय से मेल खाती है। निष्कर्ष के रूप में, हम घरेलू बाजार में इन दो व्यवसायों की आय के बीच अनुमानित समानता की उम्मीद कर सकते हैं।


सारांशित करते हुए, इस बात पर जोर दिया जाना चाहिए कि डेटा संरक्षण अधिकारी एक युवा पेशा है जिसे नए यूरोपीय जीडीपीआर विनियमन के बल में प्रवेश के लिए विकास के लिए एक महत्वपूर्ण प्रेरणा मिली है। आज, GDPR पर व्यक्तिगत डेटा की सुरक्षा एक वैज्ञानिक प्रवृत्ति है, जिसे दुनिया भर की कंपनियों को ध्यान देना चाहिए, न कि केवल यूरोप में। जल्द ही, यूरोपीय भागीदारों के साथ पूर्ण सहयोग केवल तभी संभव होगा जब जीडीपीआर का सम्मान किया जाएगा, जो कि कम से कम परामर्श सेवा क्षेत्र में डीपीओ पेशे को एकीकृत किए बिना कल्पना करना मुश्किल है।

छवि

Source: https://habr.com/ru/post/hi420597/

More articles:


All Articles