Директор по конфиденциальности (CPO) является руководителем высшего звена в растущем числе глобальных корпораций. государственные учреждения и другие организации, ответственные за управление рисками, связанными с законами о конфиденциальности информации и нормативными актами. Варианты роли часто носят названия, такие как «Сотрудник по вопросам конфиденциальности», «Руководитель отдела конфиденциальности» и «Советник по вопросам конфиденциальности». Однако роль CPO значительно отличается от другой роли с таким же названием, сотрудника по защите данных (DPO), роль которого предусмотрена для некоторых организаций в соответствии с GDPR, и эти две роли должны не следует путать или путать.
Роль CPO была ответом на растущую «(c) обеспокоенность потребителей по поводу использования личной информации, включая медицинские данные и финансовую информацию, наряду с законами и постановлениями». В частности, расширение законов о конфиденциальности и новых правил, регулирующих сбор и использование личной информации, таких как Европейский союз Общие правила защиты данных (GDPR), повысил авторитет и увеличил частоту привлечения старшего руководителя в качестве лидера усилий по соблюдению требований, связанных с конфиденциальностью. Кроме того, некоторые законы и нормативные акты (например, Правило безопасности HIPAA ) требуют, чтобы определенные организации в рамках своей нормативной базы назвали руководителя по соблюдению конфиденциальности.
.
В Соединенных Штатах должность главного сотрудника по вопросам конфиденциальности была впервые учреждена в компании по маркетингу баз данных потребителей Acxiom в 1991 году с назначением Дженнифер Барретт директором по маркетингу. Эта роль оставалась неизвестной до августа 1999 года, когда компания, занимающаяся рекламными технологиями в Интернете AllAdvantage, назначила юриста по вопросам конфиденциальности Рэя Эверетта на роль первого экземпляра этой роли в эпоху Интернета. Это положило начало тенденции, которая быстро распространилась среди крупных корпораций как офлайн, так и онлайн. Роль директора по конфиденциальности была укреплена в корпоративном мире США в ноябре 2000 года с назначением Харриет Пирсон на должность директора по конфиденциальности в IBM Corporation. Это событие побудило одного влиятельного аналитика заявить: «Директор по конфиденциальности - это тенденция, время которой пришло».
К 2001 году некоммерческая исследовательская организация Privacy and American Business сообщила, что значительное количество компаний из списка Fortune 500 назначили руководителей высшего звена на должность или роль директора по конфиденциальности. Тенденция к росту числа руководителей по вопросам конфиденциальности была дополнительно усилена принятием Европейским союзом в конце 1990-х годов законов и постановлений о конфиденциальности данных, которые включали требование для всех корпораций иметь лицо, ответственное за соблюдение конфиденциальности..
К 2002 году должность директора по вопросам конфиденциальности и аналогичные руководящие должности, связанные с конфиденциальностью, были достаточно широко распространены, чтобы поддержать создание профессиональных обществ и торговых ассоциаций для продвижения программ обучения и сертификации. В 2002 году крупнейшая из этих организаций, Ассоциация сотрудников по вопросам конфиденциальности и Ассоциация сотрудников по корпоративной конфиденциальности, объединилась в Международную ассоциацию сотрудников по вопросам конфиденциальности, которая позже была переименована в Международная ассоциация специалистов по конфиденциальности (IAPP). Ежегодно IAPP проводит несколько конференций и обучающих семинаров по всему миру, принимая членов ассоциаций из крупных глобальных корпораций и государственных учреждений, а также руководителей, желающих получить программы сертификации по практике управления конфиденциальностью. По имеющимся сведениям, в 2019 году у него было более 50000 участников по всему миру, что его руководство объясняло такими законами, как GDPR.
Как лидер программы корпоративной конфиденциальности, CPO имеет ряд основных обязанностей, в том числе:
Многие из этих действий и требований включены в должностные инструкции CPO.
Роль требует s прочные отношения сотрудничества с другими заинтересованными сторонами в организации, включая инженеров и менеджеров по продукции (для защиты конфиденциальности продуктов и услуг), человеческих ресурсов (для воздействия на конфиденциальность данных сотрудников), юридических групп (для мониторинга и интерпретации применимых законов и мер соответствия), управление закупками и поставщиками, а также группы по информационным технологиям и информационной безопасности.
По мере того, как организации выявляют потребность в CPO, часто возникает проблема с размещением роль в организационной структуре и проблема перекрытия между схожими ролями высшего уровня, в первую очередь, многочисленные пересечения между ролями CPO и директора по информационной безопасности (CISO). В то время как CPO и CISO частично перекрывают обязанности в области защиты данных и управления данными, в конечном итоге конфиденциальность и безопасность играют разные роли. Например, в то время как CPO и CISO могут быть озабочены предотвращением утечки данных, ответственность за управление техническими мерами предотвращения будет, как правило, возлагаться на CISO, в то время как CPO будет более широко рассматривать вопрос о том, используются ли в других отношениях должным образом защищенные данные. это может подвергнуть компанию юридическому, нормативному или репутационному риску.
Еще одна область потенциального дублирования, а иногда и путаницы, - это взаимодействие между CPO и все более распространенной ролью сотрудника по защите данных (ДПО). Роль DPO особенно необходима для определенных организаций, подпадающих под юрисдикцию EU GDPR. У DPO очень специфические роли, требования и ожидания, изложенные в статье 39 GDPR и соответствующем нормативном руководстве, и они включают необходимый уровень независимости и организационное разделение, что сильно отличает его от CPO.
Хотя ряд CPO имеют юридическое образование и имеют степень Juris Doctor (или эквивалентную), роль CPO является междисциплинарной. Эта роль требует от руководителя понимания того, как сбор и использование данных, а также связанные с этим риски влияют на повседневные бизнес-операции организации. CPO также должны быть осведомлены о ряде юридических, нормативных, договорных и других факторов, которые влияют на стратегию организации рисков для конфиденциальности. По этим причинам многие считают, что юридическое образование является обязательным условием успешного CPO. Другие считают, что юридический опыт может привести к слишком узкой фокусировке, и CPO должны иметь больше, чем просто юридическое образование.
Среди других квалификаций, которые считаются ценными для CPO, - сильные коммуникативные навыки, особенно в области связи с общественностью, поскольку эта роль не только частично отвечает за разработку и выполнение стратегий работы с общественностью в случае утечки данных или другого инцидента, связанного с безопасностью данных, CPO часто выступает в качестве лица, связанного с общественностью в организации. КЗК также часто призывают действовать как лоббист, представляющий интересы организации перед законодателями. От руководителей высшего звена также все чаще требуется глубокое знание операционных практик и технологий организации, связанных с данными, а также взаимодействия между мерами соответствия, которые охватывают сферу конфиденциальности и безопасности.
Все большее число людей, ищущих карьеру в качестве CPO, будут стремиться пройти обучение по нескольким дисциплинам, связанным с данной областью. Среди наиболее распространенных учетных данных, которые можно увидеть в этой области:
Сложность роли и проблема поиска людей с правильным сочетанием навыков, образования и опыта отражены в данных о заработной плате. По состоянию на 2019 год средняя зарплата в должности CPO составляет 200000 долларов США во всем мире и более 212000 долларов США в США. По другим данным, в 2019 году медианная заработная плата сотрудников общей службы конфиденциальности достигла 112 857 долларов.
«Это актуальная тема», - говорит Шара Прибуток, администратор IAPP, который был недавно образован в результате слияния Ассоциации сотрудников по вопросам конфиденциальности и Ассоциации сотрудников по корпоративной конфиденциальности.
IAPP насчитывает 50 000 членов по всему миру.
Всего за две недели до крайнего срока GDPR мы превысили 40 000 участников в более чем 100 странах мира.
Выстраивайте прочные отношения сотрудничества с ключевыми партнерами из ИТ-безопасности, отдела кадров, закупок, юриспруденции, финансов, глобальной безопасности и Подразделения
Практический опыт работы с технологии и возможность видеть продукты и услуги компании через призму клиента, заботящегося о конфиденциальности, очень важны.
[T] он должен, по замыслу, иметь прочную связь с офисом главного юрисконсульта фирмы
... в Канаде, США и Европе компании, которые делятся личной информацией с поставщиком, должны обеспечить наличие у поставщика соответствующих процессов безопасности для защиты этой информации.
позиция сотрудника по вопросам конфиденциальности изменилась таким образом, что необходимо больше разбираться в мерах безопасностиCS1 maint: location (ссылка )
CPO помогает разрабатывать стратегии для поддержки того, как личная информация защищена от подобных инцидентов, и может полностью проинформировать высшее руководство о проблемах - как технических, так и деловых, - которые могут возникнуть в результате взлома
И директора по конфиденциальности занимаются не только внешними угрозами. Иногда нарушения происходят, когда государственные служащие непреднамеренно раскрывают данные, содержащие личную информацию, отправляют конфиденциальный документ по электронной почте в незащищенном формате или не хранят его в надежном месте.
«В этой области есть действительно хорошие люди, у которых нет юридического образования [...] Но большинство высокопоставленных людей, как правило, имеют ученые степени».
«Если это юридическое лицо, которое собирается посещать встречи и попытаться ограничить ответственность, это не совсем бесполезно, но я не думаю, что это будет делать то, что нам действительно нужно, а именно общаться с нашей клиентской базой и обучать нашу потребительскую базу...
Вам нужен гораздо более широкий набор навыков, чем только закон. Так, например, я не юрист, и мне удалось быть уполномоченным [по вопросам конфиденциальности Онтарио] в течение трех сроков.
«Я танцую между тремя разными областями: юриспруденция / политика, маркетинг и технологии». -Рэй Эверетт-Черч, главный исполнительный директор и вице-президент по государственной политике AllAdvantage.com
Ms. Иган, который также является директором по конфиденциальности Facebook, отвечал за лоббирование и отношения с правительством в качестве главы политики в течение последних двух лет.
Согласно исследованию заработной платы профессионалов в области конфиденциальности, проведенному IAPP за 2019 год, средняя заработная плата американских CPO составляет 212 000 долларов по сравнению с 185 000 долларов в Великобритании и 142 000 долларов в Европейском союзе. Мировая средняя заработная плата CPO составляет 200 000 долларов в 2019 году.