数据隐私101:什么是数据保护官?

2019-05-22 01:02:02 沃嫒 26
发布于2018年7月3日下午12点05分
更新时间:2018年7月3日下午12点07分

我们生活在一个个人数据非常有价值的时代,现在许多商业模式和经济实际上是围绕其收集和使用而建立的。 为了防止或至少阻止滥用,政府制定了旨在规范这种现象的法律。 菲律宾有第10173号共和国法案或2012年数据隐私法案(DPA),国家隐私委员会(NPC)负责监督其正确实施。

对许多人来说,理解法律的许多规定并将DPA合规性转化为组织的日常运作是一项艰巨但必要的任务。

为了解决这个问题,我们直接找到了消息来源,并签了两位专家--Jate Jacob,Ateneo de Manila大学的数据保护官和NPC隐私政策办公室的前负责人; 和全国人大的政策和规划副隐私专员Ivy Patdu。

从两个有利位置可以看出,这两个文章将起到一系列文章的作用,这些文章涉及法律的各种合规要素,并以FAQ形式呈现。 在本期中,他们谈论了等式中的关键人物:数据保护官,或者用最简单的术语解释负责确保公司符合DPA的人员

问:根据法律要求任命DPO的原因是什么?

常春藤:任命数据保护官(DPO)的要求符合DPA的问责制原则。 各司法管辖区的法规强调问责制是数据保护的核心原则。

现在,法规不仅仅是提供数据主体权利声明,而是关注所有处理个人数据的人员的相应义务,以确保遵守数据隐私原则和实施数据保护保障措施。 他们必须能够证明符合现有法规。

指定个人对遵守DPA负责,被理解为表明组织内存在有助于培养隐私文化的治理结构的手段。 DPO在组织内的地位,其职责范围以及他或她可用的报告线都反映了该组织正在实施的隐私策略。

也就是说,不应将DPO视为治理的最终目标。 或许,它最多可以让人们在构成NPC合规和责任框架的许多方框中找到第一个。 如果DPO无法履行其职能,则该指定仅限于纸张合规性。

理想情况下,制定DPO应预示组织的变化,其中应包括高层管理人员参与数据保护,建立内部数据隐私网络,以及为DPO履行其职责分配资源。 参与处理个人数据的其他人也可以在组织的合规性和问责制之旅中发挥作用。

问:DPO的理想角色是什么?

常春藤: DPO是一个组织的隐私良知,其作用是帮助组织满足问责制的要求。

这意味着DPO主要监控组织对DPA的遵守情况,提供有关数据保护问题的信息和建议。 他或她应该了解隐私和数据安全,并且必须了解组织的数据处理活动。

必须给予宽阔的自由度,允许DPO独立执行其职能。 DPO应该做的事情包括确保进行隐私影响评估,适当的安全事件管理,以及管理组织与内部和外部利益相关者(包括NPC)之间关系的指导。

有关更多信息,请参阅 ,该 提供了正确指定DPO的指南,包括他或她应履行的职能。

问:公司和政府机构是否记录了他们在遵守此要求时遇到的任何困难?

常春藤:是的。 在私营部门和公共部门提出的挑战中,可能没有比将DPO的职责分配给已经在组织内承担其他责任的个人而产生的挑战更为普遍。

当然,这意味着该人的额外职责,而不会相应增加薪酬或其他福利。 结果,很少有人 愿意 接受 这个角色。 更糟糕的是,许多人因担心如果组织中存在隐私侵权或数据泄露而被克服,他或她作为DPO将主要承担责任。

关于最后一点,我认为值得强调的是,恐惧是没有根据的,因为DPA规定的义务不是强加给DPO,而是强加于控制个人数据处理的实体。 这意味着整个组织。 与此同时,在全国人大方面,我们主张为政府中的残疾人组织创​​建单独的plantilla职位迄今为止都没有成功。

另一个常见的不满涉及对DPO需求的混淆。 例如,与欧盟不同的是,所有组织都不需要通过其通用数据保护法规(GDPR)进行DPO,我们的DPA强制要求。

即使在今天,仍有组织将指定DPO的要求与数据处理系统的注册要求混为一谈,这是一个单独的合规要素。 为了澄清,处理个人数据的组织可能不需要向委员会登记其数据处理系统,但始终需要指定一个DPO。

其他经常提出的问题包括:a)为一组公司制定共同的DPO的概念; b)DPO是否可以在组织外部,或在国外以实际为基础; c)允许由由不同职能部门组成的机构任命一个单独的DPO,并进行复杂的数据处理操作。

在处理这些案件和其他类似问题时,组织应该记住问责制原则。 在指定DPO时,您的首要考虑因素应该是该人是否能够有效和高效地履行其职责,以确保对个人及其个人数据的保护。

因此,需要考虑的其他因素包括DPO的可访问性,其可支配的资源量以及可在必要时提供支持的内部隐私网络的存在。

数据安全。数据保护比以往任何时候都更加重要,因为预计未来几年网络犯罪率将会增加

数据安全。 数据保护比以往任何时候都更加重要,因为预计未来几年网络犯罪率将会增加

问:你能否提供一些关于你作为DPO的帖子的背景知识,包括你的办公室?

Jam:作为一所大学的数据保护官,我领导其数据保护办公室的主任级别。 我和其他四个人一起加入 - 一旦我们能够填补副DPO的职位,我就加入了五个人。

该办公室大约一年前正式成立,恰逢我的任命。 它直接在大学校长的监督下运作。 尽管如此,学校在开展事务时给予了相当大的自主权。 这些特征以及其他一些特征使得设置与 的建议一致

办公室的管辖范围很广。 该大学有几个校区,拥有一百多个不同的运营单位和办公室。 正如人们所料,每个人都维护着数据处理系统,办公室需要对其进行全面检查。 这也意味着我们需要照顾的权利相当大的利益相关者数量。

问:您在组织内担任DPO的角色和职能是什么?

Jam:目前,数据保护办公室有四个关键的运营领域:合规,能力建设,咨询和事件管理。

1)合规性 这主要来自DPA的指示,要求每个处理个人数据的实体都有人负责其遵守法律的合规义务。 在我们的案例中,办公室负责注册大学数据处理系统或提交年度安全事故报告等具体任务。

2)能力建设 一个人(甚至办公室)很少能够处理组织的合规义务。 因此,DPO还应该花时间进行能力建设,以确保其他单位和办公室,特别是其人员熟悉DPA的基本概念和原则。

在大学内部,我们计划通过政策和程序,表格和模板以及信息意识活动来实现这一目标。

3)咨询 对于办公室而言,这个角色有效地转化为两个主要任务:1)回答与数据隐私有关的问题; 2)审查其他单位和办公室提及的影响或涉及个人数据处理的政策和其他文件。

4)事件管理 如果情况需要,办公室会对任何报告的安全事件采取行动,并发出必要的通知。 我们还处理个人数据与大学有关的人提出的投诉,包括他们希望根据DPA行使其权利的情况。

问:你能分享一些你在工作中遇到的困难吗?

Jam: DPO的工作面临许多挑战,其中一些比大多数人更明显。 在我遇到的那些人中,不仅在我的大学工作中,而且在协助其他组织时,包括:

1)缺乏对数据隐私的熟悉 即使是现在,许多菲律宾人仍然没有意识到数据隐私,更不用说在试图遵守DPA时所涉及的错综复杂。

这导致各种各样的问题,从难以找到合格人员到加入数据保护办公室,到组织中未能遵守DPO指示的其他人,向传统法律和咨询公司提供错误的建议,使他们无能为力客户端。

2)过时或不存在的政策和做法 对于那些习惯遵守DPA过时政策的政党来说,必然会产生抵制 - 或者更糟糕的是,那些被允许一直操作的人几乎不考虑他们所处理的个人数据的保护。 他们认为数据保护只不过是他们应该避免的额外负担。

3)内部管理不善 对于任何DPO来说,建立企业范围的隐私计划是很困难的。 对于那些没有明确的流程或操作指南,文档很差,功能办公室和职能重叠的公司来说,这样做是一个噩梦般的场景。

为避免对组织业务造成干扰,将数据保护措施简单地嵌入到现有系统中是理想的。 如果不存在这样的系统,那将是不可能的。

问:DPO的未来是什么?

常春藤: DPO的未来前景看好。 他们的职业肯定会成为一个独特的专业领域。 我们生活在一个信息改变者的世界里。 也就是说,不是以保护个人和基本权利为基础的进步只不过是虚幻的。

出于这个原因,DPO在确保在这个日益数据驱动的环境中保护个人时应该认真对待他们的角色。 不久之后,这将作为大学的学士学位提供,并包括在选修课和高级课程中。

此外,还有许多已经为有抱负的隐私专业人士提供的独立程序的持续发展。 就全国人大而言,该机构正在寻求成为该领域的主要知识中心,提供DPO培训和认证,包括专为培训提供者设计的培训和认证。

Jam: DPO将继续发展成为一个组织内独特的专业角色。 现在许多机构都提供认证课程,不久大学和学院也会提供正式课程。 过去两年引入数据科学计划已经是一个好兆头。

但是,就目前而言,我只能与其他人一样同情这个角色,他们对于他们应该如何完成任务毫无头绪。 如果我仍然觉得自己像一个新手,即使有超过五年的数据隐私工作在我的掌控之下,对于那些刚刚进入这个位置的人来说还有更多的东西,没有任何关于它所涉及的工作量和类型的暗示。

也就是说,我感到安慰,希望只要一个人给予工作足够的重点和努力,再加上不断增长的同行社区的支持,事情就会变得更加容易。 - Rappler.com

Ivy Patdu是国家隐私委员会的成员,他是负责政策和规划的副隐私专员。 她还是电子健康隐私专家组的成员,也是Ateneo de Manila法学院和San Beda Law of Law-Alabang的教员。 自2011年以来,她一直致力于数据隐私。

Jam Jacob(@jamjacob)是Ateneo de Manila大学的数据保护官。 他还是民间社会组织媒体替代基金会隐私和监督计划的协调员,并且是政府和私营部门几个组织的顾问。 他曾担任国家隐私委员会隐私政策办公室主任,自2011年以来一直致力于数据隐私。

这里的个人陈述不是其各自隶属关系的官方立场。