你了解三证合一的数据保护官(DPO)吗？ – 作者:secguo

大数据时代，在充分挖掘和发挥大数据价值的同时，解决好数据安全与个人信息保护等问题刻不容缓，个人信息保护既包括了传统信息安全的知识体系，也包含了法律法规及标准的知识内容，合规是企业发展的第一考虑因素。<< 免费课程了解：深度解析隐私数据保护及应急响应>>

作为新一代的信息技术、信息安全或法务人员，需要全面学习了解对个人信息保护及合规的知识，以便迎接即将到来的个人信息保护与合规时代。根据GDPR要求，核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据（健康记录、犯罪记录）的组织必须指定数据保护官DPO。

啥是“数据保护官”

“数据保护官”的主要任务，就是保证其所服务的组织，对于其员工、顾客、供应商以及其他任何人（这些个人即 GDPR 下的“数据主体”）的个人数据的处理，符合适用的数据保护规定（比如 GDPR），未来设立DPO职位也将会在国际化企业和政府部门内成为趋势。

为了确保“数据保护官”有搞定这个主要任务的能力，GDPR 要求，每个企业的“数据保护官”都应该具备这些能力：专业程度（Expertise level）、专业知识（比如数据保护知识和对于企业数据处理行为的理解等）以及其他工作能力（比如沟通能力、职业伦理等）。

如何获取DPO证书？

DPO不是一门单独的考试，而是EXIN为已经获得相关认证的专业从业者提供的一种集成认证。考取以下三门认证后（PDPF+PDPP+ISO27001)即可获得DPO认证：

1、 EXIN Privacy and Data Protection Foundation认证，是一门验证专业人员如何保护个人数据，以及对数据保护相关欧盟法规了解程度的认证。

2、 EXIN Privacy and Data Protection Practitioner认证，首先主要验证专业人员对欧盟隐私法规和其国际关联性的理解程度；更会进一步考察从业者在专业领域的实践中应用其知识的能力。

3、EXIN Information Security Foundation based on ISO/IEC 27001 基于ISO27001的信息安全管理精要课程。

就DPO证书申请涉及到的ISO27001证书的特别说明：

1 .考完PDPF和PDPP后，拥有2019年1月1日之前考的其他国外认证机构颁发的的ISO27001 Foundation或ISO27000的Auditor的认证均视为有效的ISO27001证书，例如，BSI，DNV和SGS；中文认证机构发的ISO27001证书需要有英文翻译件。申请 DPO证书时必须提交这些证书的电子版。

2.目前没有ISO27001证书的想申请DPO证书的，考完PDPF和PDPP后还必须通过EXIN的ISO27001考试才能申请。

　当你成为EXIN认证的数据保护官DPO时，这不仅意味着你成功通过了对欧盟法规的全面考察，更加意味着你拥有了在组织中担任实施与维护GDPR这一角色的能力。

谁要考DPO？

所有GDPR中定义的需要了解数据保护和欧洲相关法律要求的组织成员/机构代表/企业员工。目标群体包括（不限于）：

· 组织内的数据保护官（Data Protection Officer，简称DPO*）

· 组织内的数据隐私官Privacy Officer· 组织内的法务人员/ 合规人员Legal Officer / Compliance Officer

· 组织内的安全负责人Security Officer

· 组织内的业务连续性经理Business Continuity Manager

· 组织内的数据管控专家Data Controller· 组织的数据保护审核员（包括内审员和外审员）Data Protection Auditors

· 人力资源经理HR Manager

*GDPR法规实施后，欧盟要求欧盟境内的政府部门和大规模处理和监控个人数据的企业内均应设立有DPO职位；未来设立DPO职位也将会在国际化企业和政府部门内成为趋势。

什么样的公司需要有“数据保护官”

GDPR并未规定所有企业必须设立DPO。但是，在以下三种情况下，必须设立DPO：

1.机构为公共主体；

2.机构对数据主体的数据监控和使用是系统性和常规化的，且规模较大；

3.机构涉及收集和处理一些敏感数据，例如犯罪数据、医疗数据、生理数据等等。

DPO有什么好处？

1. 充分了解欧盟GDPR法律法规条例，构建个人数据保护的知识体系和实施能力，梳理企业数据合规和安全需求，设定制度流程，进行数据安全体系建设。

2. 提升企业的数据安全和隐私保护能力，组织建设数据安全治理团队，规避企业违规成本。

3. 考试通过可获得国际EXIN DPO证书，提升个人竞争力，对个人岗位提升、未来转型均有帮助。

欧美国家早在2000年开始，已有至少数百家公司设有DPO的职位，如花旗集团、美国运通、惠普、微软、脸书等。安永的一份调查数据显示，欧盟GDPR根本性地改变了全球范围内隐私保护的管理模式。75%的欧盟公司以及50%的美国公司声称GDPR合规要求是驱动其隐私工作的主要原因。在培训方面的投入、隐私岗位聘用人数都在近几年大幅增长。