学习表演,GDPR将需要28,000名DPO,研究表演
一项研究显示,欧盟数据保护规则将在欧洲和美国的未来两年中任命28,000名数据保护人员(DPO)。
尽管最终版本的一般数据保护规范(GDPR)只需要公共机构和从事貌相的其他实体,但根据国际隐私专业人士协会(IAPP)的一项研究,人员配置的影响将是大量的
到GDPR于2018年初生效时,德国以外的成千上万的欧洲公司将首次雇用,委任或签订数据保护官,但IAPP研究是第一个估计挑战规模的人。
GDPR第37条需要个人信息的控制人员和处理器,以便在公共机构执行处理时或者当“核心活动”需要“大规模的数据受试者”规范和系统监测“或组成时“加工大规模的特殊类别”。
GDPR要求“基于专业品质的基础指定DPOTO,特别是数据保护法和实践的专家知识”,以及履行第39条根据第39条指定的任务的能力。
这些任务涉及法规遵从性,培训人员在适当的数据处理和监督机构协调,具有理解和平衡数据处理风险的能力。
尽管单一DPO可能代表一群企业或多个公共当局或机构,但IAPP的研究表明,人员配置要求可能会提出巨大挑战。
IAPP研究从EuroStat的公开使用统计数据计算,计算大约有超过250名可能需要DPO的员工的大型欧盟企业数量。
为了保守其估计,IAPP除了所有的微量,中小型公司之外,虽然它们中的许多人将参与大规模监控或敏感数据的处理。
该研究假定任何至少有5,000名员工的公司都会在“大规模”上处理和监控人力资源数据,因此需要一个用于此类处理的DPO。
据欧洲统计局提供的员工数据介绍,大约15%的大型企业至少有5,000名员工。
该研究还假设,由于其运营的数据密集型性质,高达50%的大公司需要在运输和储存,住宿和食品服务中进行DPO,以及专业,科学和技术领域。
该研究还假设100%的“信息和沟通”中的大型企业需要一个DPO。
基于这些假设,IAPP估计欧盟11,790家非金融私营部门企业将在GDPR下进行DPO。
该研究假定所有金融机构(7,226)和人寿保险企业(535)都需要一个DPO,因为他们的业务的性质。
最后,研究假设许多美国公司有义务遵守GDPR也需要一个DPO;在那些公司中,这项研究假设在现已过错的安全港协议下自我认证的人 - 大约4,500人可能不会拥有欧盟子公司,所以不太可能被算作欧盟企业。
基于这些假设的IAPP的总估计是约24,000个私营部门DPO。
根据公共当局,根据2010年报告 - 欧盟成员国的公共就业 - 欧盟有约1900万公共行政雇员。平均每项机构1,000名员工 - 欧盟“大型”私营企业的平均规模 - 欧盟将需要19,000名大型公共机构,这需要一个DPO,并且太大而无法被DPO覆盖在高级机构。
该研究假定为各种五个机构保守一个DPO的机构 - 共享一些DPO - 共有公共部门所需的约4,000名DPO。
预计GDPR要求将导致DPO的招聘驱动,但鉴于网络安全和隐私专业人士的持续短缺,竞争可能会激烈,这可能会引发DPO的培训驾驶。
由于许多评论员是警告,因此在采取行动前等待出版GDPR的最终案文的组织可能会在规则执行规则时努力履行,并找到一个DPO可能是最具挑战性地区之一。
根据欧洲数据保护主管关于数据保护人员的专业标准的论文,DPO最相关的认证是“由国际隐私专业人士协会提供的”。
然而,在他的文章中,埃里克·Lachaud应该被DPO认证?对于牛津大学的国际数据隐私法学期刊,得出的结论是,DPO最合适的认证是IAPP的认证信息隐私专业资质专业凭证的欧盟专业人士和认证信息隐私经理。