当我们提到隐私专业人员时,我们通常会想到具有数据保护官 (DPO) 称号的人,但这是一种狭隘的观点。隐私专业人员无需拥有 DPO 头衔即可履行隐私责任。隐私专业人员是负责、管理或支持收集、使用、访问或处理个人信息的人员。这些角色包括安全专业人员、开发人员、分析师、销售和营销人员以及人力资源和法律专业人员。
虽然这个定义可能看起来很宽泛,但这只是因为它表明我们大多数人都在某种程度上与个人信息互动,因此,我们都有平等的责任保护它。为此,我们必须了解在我们作为数据处理者(自然人或法人、当局、机构或其他代表控制者处理个人数据的机构)或数据控制者(自然人或法人、当局、机构或其他与他人一起或与他人共同确定处理个人数据的目的和方式的机构)时需要遵从哪些法律。
基于以下五大原因,我们认为是时候在你的职业技能中增加隐私知识了!
1、您是否收集、记录、组织、构建、存储、改编、更改、检索、查阅、使用、通过传输披露、传播或以其他方式提供、排列或组合、限制、删除或破坏个人数据?如果您的工作职责涉及上述任何操作,请阅读《通用数据保护条例》(GDPR)第5条至第17条,特别是第5条-处理个人数据的原则;第6条-处理的合法性;第7条-同意条件。
2、您是否在处理个人数据或向欧盟成员国提供商品或服务?您可能会争辩说您不在欧盟境内,因此 GDPR 不适用。进一步阅读第3条 – “地域范围”将提供为什么您的组织可能在GDPR适用范围内的背景知识。
3、听说过《加州消费者隐私法案 (CCPA)》吗?所有为加州居民提供服务且年收入至少为2500万美元的公司都必须遵守 CCPA。此外,拥有至少5万人个人数据或半数以上收入来自出售个人数据的任何规模的公司也属于该法律的管辖范围。贵公司是否出售个人数据?不确定吗?根据 CCPA,加州居民可以反对出售数据。
4、您是否在跨国公司工作并定期不分国界地传输个人数据?如果你这样做了,那就停下来。如果您不知道,安全港和隐私盾是无效的。6月,欧盟委员会预先批准了新的标准合同条款 (SCC),用于将个人数据传输到第三国的合同。如果您还没有查看新的 SCC,现在是时候开始了。
5、卢森堡数据保护局(Luxembourg Data Protection Authority)最近因亚马逊违反 GDPR 而对其处以7.46亿欧元的罚款。具体细节尚未透露。GDPR 允许欧盟数据保护机构处以最高2000万欧元(2410万美元)或全球年营业额4%(以较高者为准)的罚款。您的组织能否承受被发现违反 GDPR 的后果?不合规的后果在财务上是严重的,还可能导致声誉受损,而这可能需要数年时间才能修复。
随着我们日益互联网化和全球化,个人数据的使用和传输也在增加,滥用、丢失甚至被盗的风险也在增加。您可能会争辩说,上述情况均不适用于您,但我想请您考虑一下您在日常互动中如何使用个人数据——注册新的商店卡、使用互联网、社交媒体,网上购物。所有这些触点都会收集您的个人数据并进行存储,希望以一种安全可靠的方式来防止未经授权的访问。了解您如何管理您的个人数据并询问收集您个人数据的人是否真的需要他们要求的所有信息,不是很有益处吗?
很少有工作不处理个人数据或不与个人数据交互,因此了解如何保护数据并遵守一系列现行和新的隐私法只会增强您的专业技能。
ISACA的CDPSE国际注册数据隐私安全专家证书自2020年推出以来,全球有超过20,000名专业人士获得了认证,证明了他们跨部门合作的经验和能力,以及对合规要求的理解和实施恰当隐私控制的能力。对CDPSE感兴趣的,咱们可以私信交流经验。
CDPSE认证被迅速接受,可以很好的帮助安全、隐私、审计、治理和风险管理专业人员,应对安全和数据隐私领域的新挑战。
CDPSE认证帮助企业中的技术、安全、法律及合规人员更好地掌握数据隐私保护所涉及的相关管理和技术能力,助力企业更好落地隐私保护管理措施和技术方案,从而构建并提升更全面的数据隐私保护体系以应对不断变化的外部监管环境。
持有CDPSE证书可以证明您建立和实施全面的隐私解决方案的经验和能力,弥合了隐私合规性的技术和法律方面之间的鸿沟。CDPSE持有人可以促进整个组织对隐私最佳做法的共识,以确保正确集成可降低风险的IT隐私解决方案。
CDPSE适合在IT、运营、信息安全、系统和应用开发、企业架构和项目管理等部门工作负责落实一线防御的专业人员,负责评估和确保法务和合规的专业人员,负责隐私保护政策和流程的开发、实施和运维的专业人员,与信息技术和数据治理流程打交道的人员,负责评估隐私保护实践以及合规,与审计和风险管理流程打交道的专业人员。