Главный специалист по конфиденциальности

Директор по защите конфиденциальности (CPO) — это руководитель высшего звена в растущем числе глобальных корпораций, государственных учреждений и других организаций, отвечающий за управление рисками, связанными с законами и правилами о защите конфиденциальности информации . ^[1] Вариации этой роли часто имеют такие названия, как «Дежурный по защите конфиденциальности», «Руководитель по защите конфиденциальности» и «Советник по защите конфиденциальности». ^[2] Однако роль CPO существенно отличается от другой похожей по названию роли — директора по защите данных (DPO), роли, предписанной для некоторых организаций в соответствии с GDPR , и эти две роли не следует путать или объединять. ^{[3] [4]}

Роль CPO стала ответом на растущую «озабоченность потребителей (c) использованием личной информации, включая медицинские данные и финансовую информацию, а также законов и нормативных актов». ^[5] В частности, расширение законов о конфиденциальности информации и новых нормативных актов, регулирующих сбор и использование личной информации, таких как Общий регламент Европейского союза по защите данных (GDPR), повысило значимость и увеличило частоту назначения старшего руководителя в качестве лидера усилий по обеспечению соответствия требованиям конфиденциальности. ^[6] Кроме того, некоторые законы и нормативные акты (например, Правило безопасности HIPAA ) требуют, чтобы определенные организации в рамках их сферы регулирования назначали лидера по обеспечению соответствия требованиям конфиденциальности. ^{[7] [8]}

История

В Соединенных Штатах должность главного сотрудника по вопросам конфиденциальности была впервые учреждена в маркетинговой компании потребительских баз данных Acxiom в 1991 году с назначением Дженнифер Барретт на должность главного специалиста по вопросам конфиденциальности. ^[9] Эта должность оставалась неизвестной до августа 1999 года, когда компания AllAdvantage, занимающаяся технологиями интернет-рекламы, назначила юриста по вопросам конфиденциальности Рэя Эверетта на первую должность в эпоху Интернета. ^[10] Это положило начало тенденции, которая быстро распространилась среди крупных корпораций как в офлайне, так и в онлайне. ^{[11] [12]} Роль главного сотрудника по вопросам конфиденциальности была укреплена в корпоративном мире США в ноябре 2000 года с назначением Харриет Пирсон на должность главного сотрудника по вопросам конфиденциальности в корпорации IBM . Это событие побудило одного влиятельного аналитика заявить: «Главный сотрудник по вопросам конфиденциальности — это тенденция, время которой пришло». ^[13]

К 2001 году некоммерческая исследовательская организация Privacy and American Business сообщила, что значительное количество компаний из списка Fortune 500 назначили старших руководителей с должностью или ролью главного должностного лица по вопросам конфиденциальности. ^{[14] [15]} Рост популярности главного должностного лица по вопросам конфиденциальности был дополнительно подкреплен принятием Европейским союзом в конце 1990-х годов законов и положений о конфиденциальности данных , которые включали требование ко всем корпорациям назначить лицо, ответственное за соблюдение конфиденциальности. ^{[6] [16]}

К 2002 году должность главного сотрудника по вопросам конфиденциальности и аналогичные должности, связанные с управлением конфиденциальностью, были достаточно распространены, чтобы поддержать создание профессиональных обществ и торговых ассоциаций для продвижения программ обучения и сертификации. В 2002 году крупнейшие из этих организаций, Ассоциация сотрудников по вопросам конфиденциальности и Ассоциация корпоративных сотрудников по вопросам конфиденциальности, объединились в Международную ассоциацию сотрудников по вопросам конфиденциальности, которая позже была переименована в Международную ассоциацию специалистов по вопросам конфиденциальности (IAPP). ^[17] IAPP ежегодно проводит несколько конференций и обучающих семинаров по всему миру, принимая членов ассоциации из крупных мировых корпораций и государственных учреждений, а руководители стремятся получить программы сертификации в области управления конфиденциальностью. ^[6] По сообщениям, в 2019 году в ней было более 50 000 членов ^[18] по всему миру, что ее руководство связывает с реакцией компаний на новые законы, такие как GDPR. ^[19]

Обязанности и обязанности

Как руководитель корпоративной программы по обеспечению конфиденциальности, CPO имеет ряд важных обязанностей, ^[20] в том числе:

• Управление политиками, процедурами и данными компании
• Повышение осведомленности и обучения сотрудников в вопросах конфиденциальности
• Руководство реагированием на инциденты, включая готовность к утечке данных
• Информирование о целях и ценностях конфиденциальности как внутри компании, так и за ее пределами
• Разработка средств контроля для обеспечения соблюдения конфиденциальности
• Оценка рисков, связанных с конфиденциальностью, возникающих в связи с существующими продуктами и услугами
• Проведение оценок воздействия на конфиденциальность для выявления рисков в новых или измененных видах деятельности
• Мониторинг эффективности мер по снижению рисков, связанных с конфиденциальностью, и обеспечению соответствия требованиям

Многие из этих видов деятельности и требований включены в должностные инструкции CPO. ^{[21] [22]}

Роль требует прочных отношений сотрудничества ^[23] с другими заинтересованными сторонами в организации, включая инженеров и менеджеров по продуктам ^[24] (для влияния на конфиденциальность продуктов и услуг), человеческие ресурсы ^[25] (для влияния на конфиденциальность данных сотрудников), юридические группы ^[26] (для мониторинга и толкования применимых законов и мер по обеспечению соответствия), управление закупками и поставщиками ^[27] и группы по информационным технологиям и информационной безопасности . ^[28]

Взаимодействие с другими старшими ролями

Поскольку организации определяют потребность в CPO, часто возникает проблема в отношении размещения роли в организационной структуре и вопроса дублирования между схожими ролями «уровня C», ^[29] в частности, многочисленные пересечения между ролями CPO и директора по информационной безопасности (CISO). ^{[30] [31]} Хотя CPO и CISO имеют некоторое дублирование в обязанностях по защите данных и управлению данными, в конечном итоге конфиденциальность и безопасность играют разные роли. Например, в то время как CPO и CISO могут быть оба озабочены предотвращением утечек данных, ответственность за управление техническими мерами профилактики, как правило, будет лежать на CISO, в то время как заботы CPO будут более широко рассматривать, используются ли в противном случае должным образом защищенные данные способами, которые могут подвергнуть компанию юридическому, нормативному или репутационному риску. ^[32]

Еще одной областью потенциального совпадения, а иногда и путаницы, является взаимодействие между CPO и все более распространенной ролью сотрудника по защите данных (DPO). Роль DPO особенно необходима для определенных организаций, подпадающих под юрисдикцию GDPR ЕС . ^[33] У DPO есть очень конкретные роли, требования и ожидания, изложенные в статье 39 GDPR и связанных с ними нормативных указаниях, и они включают уровень требуемой независимости и организационного разделения, что делает его очень отличным от CPO. ^[4]

Квалификации и опыт

Хотя ряд CPO имеют юридическое образование и степень доктора права (или эквивалент), роль CPO является многопрофильной. Для этой роли требуется руководитель с пониманием того, как сбор и использование данных, а также связанные с ними риски влияют на повседневную деятельность организации. ^[34] CPO также должны знать ряд правовых, нормативных, договорных и других факторов, которые влияют на стратегию организации в отношении рисков конфиденциальности. По этим причинам многие считают, что юридическое образование является обязательным условием для успешного CPO. ^[35] Другие считают, что юридическое образование может привести к слишком узкой направленности, ^[36] и CPO должны иметь больше, чем просто юридическое образование. ^[37]

Среди других квалификаций, которые считаются ценными для CPO, — сильные коммуникативные навыки, особенно в области связей с общественностью. Это связано с тем, что эта роль частично отвечает за разработку и реализацию стратегий по связям с общественностью в случае утечки данных или другого инцидента, связанного с безопасностью данных, и CPO часто выступает в качестве лица организации по связям с общественностью. ^{[38] [39] [40]} CPO также часто привлекаются для работы в качестве лоббиста, представляющего интересы организации перед законодателями. ^[41] CPO также все чаще должны обладать глубокими знаниями операционных практик и технологий организации, связанных с данными, а также взаимодействия между мерами по обеспечению соответствия, которые охватывают сферы конфиденциальности и безопасности. ^[42]

Профессиональная сертификация

Все больше людей, желающих работать в качестве CPO, будут стремиться получить подготовку по нескольким дисциплинам, связанным с этой областью. ^[43] Среди наиболее распространенных в этой сфере документов, подтверждающих квалификацию, можно назвать:

• Сертифицированный специалист по защите конфиденциальности информации (CIPP) с региональными специализациями, такими как США, Канада, Европа и Азия ^{[44] [45]}
• Сертифицированный менеджер по защите конфиденциальности информации (CIPM) ^{[46] [45]}
• Сертифицированный технолог по защите конфиденциальной информации (CIPT) ^{[47] [45]}
• Сертифицирован в области конфиденциальности и безопасности в сфере здравоохранения (CHPS) ^[48]
• Сертифицирован в области соблюдения конфиденциальности в здравоохранении (CHPC) ^[49]
• Сертифицированный специалист по безопасности информационных систем (CISSP) ^[50]

Зарплата

Сложность роли и проблема поиска людей с правильным сочетанием навыков, образования и опыта отражены в данных о зарплатах. По состоянию на 2021 год, должность CPO имеет среднюю зарплату в размере 200 000 долларов США во всем мире и более 212 000 долларов США в Соединенных Штатах. ^{[51] [52]} По другим данным, средняя зарплата в 2021 году для должностей в офисе по защите конфиденциальности в США варьировалась от 114 638 до 126 000 долларов США. ^{[53] [54]}

Смотрите также

• Главный специалист по защите конфиденциальности, Министерство внутренней безопасности
• Директор по защите конфиденциальности - Министерство образования США
• Главный специалист по вопросам конфиденциальности и гражданских свобод - Министерство юстиции США
• Офис по защите конфиденциальности - Государственный департамент США
• Окружной офис по защите конфиденциальности — округ Санта-Клара, Калифорния (США)
• Директор по защите конфиденциальности — Бюро по защите прав потребителей в сфере финансов США
• Главный государственный служащий по вопросам конфиденциальности - Правительство Новой Зеландии
• Сотрудник по защите конфиденциальности в кампусе

Ссылки

1. «Новая терминология конфиденциальности». The New York Times . 10 апреля 2019 г. Получено 23 мая 2019 г.
2. "Полный отчет: Сравнительный анализ управления конфиденциальностью и инвестиций в рейтинге Fortune 1000". www.iapp.org . Получено 23.05.2019 .
3. Coseglia, Jared (3 января 2019 г.). «Кофе с преимуществами конфиденциальности: DPO против CPO. Юрист против технического специалиста. Двойственность конфиденциальности». Журнал CPO . Data Privacy Asia Pte. Ltd. Получено 26 мая 2019 г.
4. «Главные сотрудники по защите конфиденциальности не могут иметь права занимать должности сотрудников по защите данных в соответствии с GDPR, говорит эксперт». Out-Law.com . Pinsent Masons LLP. 7 сентября 2017 г. Получено 26 мая 2019 г.
5. "Главный сотрудник по вопросам конфиденциальности | DefineFinance". www.definefinance.com . Получено 2015-10-31 .
6. Tittel, Ed (6 июня 2018 г.). «Подготовка к сертификации GDPR: только несколько хороших вариантов». Hewlett Packard Enterprise . Hewlett Packard Enterprise Development LP . Получено 24 августа 2019 г. .
7. "Summary of the HIPAA Security Rule". Министерство здравоохранения и социальных служб США (HHS) . Получено 25 мая 2019 г.
8. "Обязанности сотрудника по защите конфиденциальности HIPAA". Compliancy Group . Получено 24 мая 2019 г.
9. "О IAPP - Дженнифер Барретт Глазго, CIPP/US". IAPP.org . Получено 23 мая 2019 г. .
10. Дэн Тайнан (23 ноября 2012 г.). «Вопросы и ответы: Пионер конфиденциальности Рэй Эверетт». IT World . IDG . Получено 23 мая 2019 г. .
11. Джастин Браун (30 мая 2014 г.). «Восход главного офицера по защите конфиденциальности». Правительственные технологии . Получено 23 мая 2019 г.
12. Улфельдер, Стив (15.01.2001). «О, нет, не еще один О!». Журнал CIO . Архивировано из оригинала 06.12.2006 . Получено 18.12.2006 .
13. "IBM назначает главного сотрудника по вопросам конфиденциальности". CNET.com . 2 января 2002 г. Получено 23 мая 2019 г.
14. Сэндберг, Джаред (16 июля 2001 г.). «Сотрудник по защите конфиденциальности». The Wall Street Journal . Dow Jones & Company Inc. Получено 26 августа 2019 г.
15. Шварц, Джон (12 февраля 2001 г.). «Первая линия обороны; руководители служб конфиденциальности формируют развивающиеся корпоративные роли». The New York Times . Получено 26 августа 2019 г.
16. "Международная ассоциация профессионалов в области конфиденциальности: Руководство по карьере и сертификации". Business News Daily. 15 июня 2018 г. Получено 10 мая 2019 г.
17. Maselli, Jennifer (25 августа 2003 г.). «Privacy Group фокусируется на RFID». RFID Journal . Emerald Expositions, LLC . Получено 18 августа 2019 г. .«Это актуальная тема», — говорит Шара Прибуток, администратор IAPP, которая была недавно образована в результате слияния Ассоциации должностных лиц по защите конфиденциальности и Ассоциации должностных лиц по защите конфиденциальности корпораций.
18. «50 тыс. участников: веха для IAPP и глобальной конфиденциальности». IAPP.org . Международная ассоциация профессионалов в области конфиденциальности. 2 мая 2019 г. Получено 1 октября 2019 г. Количество участников IAPP по всему миру достигло 50 000 человек.
19. Хьюз, Дж. Тревор (25 мая 2018 г.). «GDPR Day 1: Reflections on what the hell just happened». IAPP.org . Международная ассоциация профессионалов в области конфиденциальности . Получено 2 июня 2019 г. Всего за две недели до крайнего срока GDPR мы превысили 40 000 членов в более чем 100 странах мира.
20. Densmore, Russell, ред. (2019). Управление программой конфиденциальности (второе изд.). Международная ассоциация профессионалов в области конфиденциальности. ISBN 978-1-948771-24-5.
21. "Образец описания работы (главного) сотрудника по защите конфиденциальности". AHIMA Body of Knowledge . AHIMA . Получено 2 июня 2019 г. .
22. "Руководство по карьере главного сотрудника по вопросам конфиденциальности". Florida Tech Online . Флоридский технологический институт . Получено 2 июня 2019 г.
23. "Chief Privacy Officer". Ethics.org . Ethics and Compliance Initiative . Получено 2 июня 2019 г. Постройте прочные и партнерские отношения с ключевыми партнерами из отдела ИТ-безопасности, отдела кадров, отдела закупок, юридического отдела, отдела финансов, отдела глобальной безопасности и бизнес-подразделений.
24. Росс, Александра (29 сентября 2014 г.). «5 главных качеств великого директора по конфиденциальности (CPO)». TrustArc . Получено 2 июня 2019 г. Практический опыт работы с технологиями и способность видеть продукты и услуги компании через призму клиента, заботящегося о конфиденциальности, имеют решающее значение.
25. О'Коннор, Брайан; Йейтс, Эми (1 августа 2009 г.). «Обзор текущих проблем конфиденциальности HR». IAPP.org . Международная ассоциация профессионалов в области конфиденциальности . Получено 2 июня 2019 г.
26. МакКрири, Марк Г. (9 августа 2017 г.). «Заметки директора по защите персональных данных юридической фирмы: CPO против CISO». Fox Rothschild . Получено 2 июня 2019 г. [ П]ост должен, по замыслу, иметь тесную связь с офисом генерального юрисконсульта фирмы.
27. Меррик, Роберт; Райан, Сюзанна (1 апреля 2019 г.). «Управление конфиденциальностью данных в эпоху GDPR». Журнал Risk Management . RIMS . Получено 2 июня 2019 г. ...в Канаде, США и Европе компании, предоставляющие поставщику персональные данные, обязаны гарантировать, что поставщик использует адекватные процессы безопасности для защиты этой информации.
28. Бассетт, Майк (февраль 2015 г.). «Итак, вы хотите стать офицером по обеспечению конфиденциальности?». Для справки . Том 21, № 2. Great Valley Publishing Co. Inc., стр. 24. Получено 2 июня 2019 г. . Должность офицера по обеспечению конфиденциальности изменилась таким образом, что необходимо больше знать о мерах безопасности.
29. Уайт, Сара К. (31 марта 2018 г.). «Пять причин, по которым вам нужно нанять директора по конфиденциальности (CPO)». Журнал CIO . IDG Communications Inc. Получено 2 июня 2019 г. CPO помогает разрабатывать стратегии, обеспечивающие защиту персонально идентифицируемой информации от подобных инцидентов, и может полностью проинформировать высшее руководство о проблемах — как технических, так и деловых, — которые могут возникнуть в результате нарушения.
30. Дэвис, Джессика (17 апреля 2019 г.). «CPO и CISO: Эволюция ролей специалистов по конфиденциальности и безопасности». Health IT Security . Xtelligent Healthcare Media, LLC . Получено 2 июня 2019 г. .
31. Gloeckle, Maggie; Royal, K (15 ноября 2017 г.). «CPO и CISO: меняющиеся роли специалистов по конфиденциальности и безопасности». ACCDocket.com . Association of Corporate Counsels . Получено 2 июня 2019 г. .
32. Бергал, Дженни (21 августа 2018 г.). «Все больше штатов назначают «главных должностных лиц по защите конфиденциальности» для защиты данных людей». Журнал Government Technology Magazine . e.Republic . Получено 2 июня 2019 г. И главные должностные лица по защите конфиденциальности имеют дело не только с внешними угрозами. Иногда нарушения происходят, когда государственные служащие непреднамеренно раскрывают данные, содержащие личную информацию, отправляют по электронной почте конфиденциальный документ в незащищенном формате или не хранят его надежно.
33. "Data protection employees". ico.org.uk . Управление комиссара по информации Великобритании . Получено 2 июня 2019 г. .
34. Лоутон, Стивен (5 апреля 2018 г.). «Как нанять директора по конфиденциальности». Журнал SC . Haymarket Media Inc. Получено 2 июня 2019 г.
35. Карсон, Анжелика (25 августа 2015 г.). «Выведет ли юридическое образование вашу карьеру в сфере конфиденциальности на новый уровень». IAPP.org . Международная ассоциация профессионалов в области конфиденциальности . Получено 2 июня 2019 г.«В этой области есть действительно хорошие люди, у которых нет юридического образования [...] Но большинство высокопоставленных лиц, как правило, имеют юридическое образование».
36. Кример, Мэтью (25 апреля 2011 г.). «Нужен ли вашему агентству директор по конфиденциальности?». Журнал AdAge . Crain Communications . Получено 2 июня 2019 г.«Если это юридическое лицо, которое будет посещать собрания и пытаться ограничить ответственность, это не совсем бесполезно, но я не думаю, что это сделает то, что нам действительно нужно, а именно, будет общаться с нашей клиентской базой и обучать нашу потребительскую базу...
37. Ng, Cindy (2 июня 2017 г.). «Интервью: д-р Энн Кавукян о конфиденциальности по замыслу». Varonis . Получено 2 июня 2019 г. Вам нужен гораздо более широкий набор навыков, чем просто юриспруденция. Так, например, я не юрист, и мне удалось быть комиссаром [по вопросам конфиденциальности Онтарио] в течение трех сроков.
38. Дэн Тайнан (23 ноября 2012 г.). «Вопросы и ответы: Пионер конфиденциальности Рэй Эверетт». IT World . IDG . Получено 23 мая 2019 г. .
39. Улфельдер, Стив (15.01.2001). «О, нет, не еще один О!». Журнал CIO . Архивировано из оригинала 06.12.2006 . Получено 18.12.2006 .«В итоге я балансирую между тремя разными областями: юриспруденция/политика, маркетинг и технологии». — Рэй Эверетт-Черч, CPO и вице-президент по государственной политике AllAdvantage.com
40. Дитерле, Э. Дж. «Будущие роли: должен ли подбор кадров на должность директора по конфиденциальности быть приоритетом?». YesPartners . Получено 2 июня 2019 г.
41. Канг, Сесилия (24 апреля 2018 г.). «Facebook заменяет лоббистского руководителя на фоне контролирующих органов». The New York Times . Получено 2 июня 2019 г. Г -жа Иган, которая также является главным должностным лицом Facebook по вопросам конфиденциальности, в течение последних двух лет отвечала за лоббирование и связи с правительством в качестве главы политики.
42. Симберкофф, Дана (11 декабря 2018 г.). «Следует ли объединять роли директора по конфиденциальности и директора по информационной безопасности?». CMS Wire . Simpler Media Group Inc. Получено 2 июня 2019 г.
43. Ким, Ли (11 марта 2019 г.). «Мой путь к получению двух профессиональных сертификатов, CIPP и CISSP». HIMSS . Получено 2 июня 2019 г.
44. "Сертифицированный специалист по конфиденциальности информации". IAPP.org . Получено 2 июня 2019 г.
45. "Является ли сертификация IAPP необходимым условием для ИТ-специалистов в сфере здравоохранения?". USF Health Online . Университет Южной Флориды . Получено 24 августа 2019 г.
46. "Сертифицированный менеджер по конфиденциальности информации". IAPP.org . Получено 2 июня 2019 г. .
47. "Сертифицированный технолог по конфиденциальности информации". IAPP.org . Получено 2 июня 2019 г.
48. "Сертифицировано в области конфиденциальности и безопасности в сфере здравоохранения". AHIMA . Получено 2 июня 2019 г.
49. "Сертифицировано в области соблюдения конфиденциальности в здравоохранении". Compliance Certification Board . Получено 2 июня 2019 г.
50. "Сертифицированный специалист по безопасности информационных систем". ISC2.org . Получено 31 мая 2020 г. .
51. "Обзор зарплат специалистов по конфиденциальности IAPP 2021 года". IAPP.org . Получено 18 июня 2021 г.
52. Спиецио, Кэролайн (7 мая 2019 г.). «US Chief Privacy Officers Get Paid More Than EU Peers, Have Closer Ties to Legal». Law.com . ALM Media Properties LLC . Получено 24 августа 2019 г. Согласно исследованию зарплат специалистов по конфиденциальности IAPP 2019 года, средняя зарплата американских CPO составляет 212 000 долларов США по сравнению с 185 000 долларов США в Великобритании и 142 000 долларов США в Европейском союзе. Средняя зарплата CPO в мире в 2019 году составила 200 000 долларов США.
53. "Privacy Officer Salary". ziprecruiter.com . Получено 18 июня 2021 г. .
54. «Пандемия не остановила рост зарплат за конфиденциальность, но еще есть над чем поработать». scmagazine.com . 29 июня 2021 г. . Получено 1 июля 2021 г. .