爱尔兰新数据保护专员发布论dpo的适当资格爱尔兰数据保护专员最近发布了一份关于GDPR下数据保护官员（DPO）所需资质水平的指南。GDPR规定，DPO的选择必须基于其在数据保护方面的专业素质和专业水平（第37.4条），但它没有解释如何在实践中进行评估-它只提供了第97条中非常有限的信息。新的爱尔兰指南对这一问题作出了澄清。虽然本指南部分反映了第29条DPO资格和培训工作组已经提出的建议（见WP29 2016年12月13日DPO指南），但它更进一步，并就如何选择适当的DPO培训计划提供了建议。 基于风险的方法，以达到所需的资格和专业知识水平爱尔兰PDC采取了基于风险的方法。该指南规定，适用于特定DPO的资格/专业知识水平将根据以下情况而有所不同：进行的个人数据处理操作的类型；数据处理的复杂性和规模；处理数据的敏感性；以及正在处理的数据所需的保护。举个例子，爱尔兰PDC建议，鉴于保险公司通常进行的处理活动的复杂性，它们的dpo可能需要更高水平的专业知识。所需技能和专业知识该指南还提供了一份非详尽的相关技能和专业知识清单，其中包括：国家和欧洲数据保护法律和实践方面的专业知识（包括对GDPR的深入理解）；了解所进行的加工活动；了解信息技术和数据安全；商业部门和组织的知识；以及在组织内促进数据保护的能力。根据具体情况，DPO可能还需要国际数据传输、某些IT职能或部门特定数据保护实践方面的专门知识。选择正确的DPO培训计划或许最重要的是，该指南强调了这样一个事实：组织有责任主动决定他们的DPO需要什么水平的专业知识和培训。在这方面，爱尔兰PDC警告说，存在大量培训方案，但并非所有培训方案都是平等的。因此，组织应谨慎行事，确保选择适合其处理活动的培训计划。指南列出了在选择DPO培训计划时应考虑的四个非详尽因素：培训和考核的内容和方式；是否需要通过培训获得认证；认证机构的地位；以及培训和认证是否得到国际认可。隐私相关培训和认证的一个例子是IAPP认证计划，该计划根据ANSI/ISO标准17024:2012进行认证，并提供多个领域的隐私特定培训。该指南可能会产生重大影响，因为许多美国公司，包括大型科技跨国公司，选择爱尔兰作为其欧盟活动的基地，从而使爱尔兰PDC成为最具影响力的数据保护机构之一。OneTrust的帮助OneTrust的模板和调查问卷可以帮助知情的DPO做出准确且有据可查的选择。通常，通过OneTrust填写PIA和其他评估是员工对其隐私办公室的第一印象。OneTrust使DPO能够在组织内以一种精致和专业的方式促进数据保护文化。分享这篇文章