2018年5月25日,新的《
欧洲个人数据保护条例》(以下简称《 GDPR-通用数据保护条例》)生效。 该法规以其域外效力而闻名:在所有欧盟国家中都是强制性的,在某些条件下,它扩展到非欧洲公司,或迫使它们的活动与GDPR要求保持一致,以免失去其欧洲伙伴。 因此,俄罗斯的业务也可能会受到新法律的影响,有关新法律的一般分析可
在此处获得 。 GDPR加强了先前建立的个人数据保护机制,并为组织处理此类数据引入了新的义务。
尤其是,该法规对负责数据保护的现有专业进行了现代化改造(以下简称DPO-数据保护官)。
1995框架指令中也提供了此职位,该
指令已被新文本取代。 以前的立法对这种专家的活动进行了规定,但并没有坚持不懈地任命他。
何时应规定DPO?
今天,在GDPR时代,在以下情况下必须任命DPO(
GDPR第37条 ):
- 在系统地,定期地对个人进行大规模监视的公司中(大多数情况下是出于上下文广告的目的进行监视);
- 在对特殊类别的个人数据(例如健康数据等)进行大规模处理的公司中;
- 在处理个人数据的任何公共机构中。
在所有其他情况下,任命DPO仍然是可选的。 尽管如此,欧洲监管机构一致敦促不要忽视这样的专家,并将保护个人数据的权力下放给该领域的专业人员。
法规本身的理念很容易解释欧洲立法者的这种创新:增强的数据保护制度; 增加数据处理者的责任; 如果违反GDPR的规定,则将受到严厉制裁。 为了使活动符合新要求,企业需要高度专业化的专家的支持。
DPO服务市场的不足
的确,议员们没有考虑或根本不理会这样一个事实,即当前的个人数据保护服务市场尚未准备好承受这种被迫招募DPO的新客户的涌入。 尽管该专业已经存在了超过一天,但即使在欧洲市场,专家的数量仍然令人望而却步。 因此,根据
IAPP (国际隐私专业协会)的研究,仅在欧盟和美国,2018年应聘用28000名专家。 在全球范围内,这一数字正在增长到75,000。
显然,内部专业人员(公司内部雇员)不能完全满足这种要求。 在这方面,许多公司求助于提供DPO服务的外部咨询组织。 例如,对于中小型企业,这比雇用新员工要容易得多。 无论如何,外部或内部状态对DPO本身的活动几乎没有影响。
DPO-律师还是IT专家?
首先,您需要了解DPO必须具有法律知识。 该结论直接来自
《欧洲法规》
第39条,该条列出了DPO的任务和任务。 当然,在更大程度上,这是律师。 此外,必须是一位具有较强管理技能和适当技术专长的律师,即经理。
很少有DPO的角色是信息技术领域的专家,他们对法律只有基本的了解。 的确,这种情况是西方国家的特征。 在保护个人数据的国内市场上,由IT专家主导而不是律师。 GDPR已经生效,应该将规模缩小到俄罗斯法学家,更确切地说是专业法学家。
大公司当然会以某种方式聘请一些专家来确保IT安全,而其他人则聘用个人数据。 中小型企业正在尝试选择一个在这两个领域都胜任的员工。
为什么会这样呢? 答案浮出水面:GDPR对公司负有太多责任。
一方面,有必要确保个人数据的安全,以防万一泄漏。 这通常由IT人员完成。 另一方面,有必要在法律上订立符合法规要求的协议,保留专门提供的登记册,联系监管机构并履行其他“书面”职责。 律师,有时甚至经理,通常都参与其中。
结果,个人数据领域的优秀专家会综合所有这些专业。
DPO做什么?
对于DPO的范围,此类员工将尽一切必要使公司完全遵守欧洲法规和其他在个人数据保护领域的行为,从而避免重大制裁以及与合作伙伴之间的合同风险。
DPO将对该活动进行全面审核,识别公司处理的所有类别的个人数据,提出确保其安全性的措施,以及针对合法使用数据的总体发展策略。 如有必要,他还将与主管进行谈判。 它还将有助于正确响应公司处理其数据的人员的请求。 通常,几乎所有与个人数据有关的内容都将落入DPO的范围之内。
如果在GDPR时代以及在因个人数据泄露而引起的重大丑闻中忽略这样的员工,则取决于公司本身。 但是同样,这仅对没有直接责任任命DPO的人员是必需的。
提供DPO服务的功能
当组织考虑招聘DPO时,重要的是要了解该领域有两种主要服务类型:上述内部服务和咨询服务。 在第一种情况下,根据雇佣合同雇用员工,第二种情况下,由外部咨询公司根据民法合同提供DPO服务。 无论选择哪种选择,公司本身将继续是法律责任人。 在任何情况下,DPO对公司未能遵守GDPR处置概不负责。
此外,欧洲法规严格规定了个人数据保护专家的完全独立性。 在内部情况下,DPO只能对层次结构中担任最高职位的人员负责。 在进行外部咨询时,DPO不应处于利益冲突的情况,例如,如果是律师,这种情况通常会发生。
无论如何,利益冲突和DPO的独立性始终由主管在个人数据保护领域进行检查。 这是强制性的过程,任何DPO分配都必须向监管机构声明。 换句话说,每次任命DPO时,都必须通知主管。
您可以从
WP29工作组指南中了解有关DPO任命的各种细微差别,包括强制性和可选性,以及DPO的功能和任务。 该组织成立于1995年框架指令时代,其主要任务是解释个人数据保护领域的立法。 随着GDPR的生效,工作组被欧洲数据保护委员会取代,但是WP29的工作并没有失去其意义。
关于DPO专业的一些见解
如今,对于俄罗斯DPO的求职者应该具有什么样的背景是完全无法理解的。 教育机构几乎不提供数字法或个人数据保护方面的特殊计划。 当然,国内市场的需求要比欧洲市场少很多倍,但不足以弥补这一差距。 大型法学院刚刚开始引入有关IT的特殊课程。
长期以来,许多国际组织提供了各种认证方法。 例如,前面提到的
IAPP提供了GDPR的预备课程,并对成功通过考试的人进行认证。 所有学员都可以使用此课程,并且IAPP认证在世界范围内受到高度赞赏。
至于该行业的盈利能力,例如,如果您相信负责个人数据保护的法国协会,那么欧洲的DPO平均收入为2.5千欧元至4000欧元。 这个数字大致相当于欧洲程序员的平均收入。 结论是,我们可以预期这两个专业的收入在国内市场上大致相等。
总结一下,必须强调的是,由于新的欧洲GDPR法规的生效,数据保护官是一个年轻的职业,为发展提供了重要动力。 如今,保护GDPR上的个人数据已成为世界范围内的公司应关注的科学趋势,而不仅仅是在欧洲。 很快,只有尊重GDPR,与欧洲合作伙伴的全面合作才有可能实现,这至少在没有将DPO专业整合到咨询服务领域的情况下很难想象。
