當下,我們已進入了一個現實世界與虛擬世界並存且超融合的數字世界,數字世界安全的基礎是人,包含了人和人的因素。而2020年RSAC提出:「人的因素—這是網絡安全的意義所在」。
什麼是DPO?
DPO(Data Protection Officer)數據保護官是一個職能崗位,最早是是由歐盟GDPR法律法規強制要求相關企業必須設立的崗位。從字面意義理解,數據保護官設立就是為了保護與人或重要事項有關的數據,直接落腳點在於數據。所以數據保護官的職責更多的是圍繞數據的生命周期展開工作。
新加坡個人數據保護機構(PDPC)制定了一個全面的能力培訓框架,涵蓋從數據保護管理到數據創新的九種能力,如業務風險管理、網絡和數據泄露事件管理等。這種系統化的培訓有助於提高DPO的專業水平和知識儲備。
是否需要委任一名數據保護官?
根據最新的新加坡《個人數據保護法》(PDPA)規定,每個新加坡企業都必須指定一位數據保護官(DPO),DPO的職責對確保企業遵守PDPA的規定至關重要。
如果未能任命DPO,或不遵守PDPA的要求,可能會導致政府的執法行動,這些行動可能包括警告、指導或經濟處罰,具體取決於違規的嚴重程度及數據泄露的具體情況。因此,任命DPO對於保障企業免受此類風險,並確保數據保護治理舉足輕重。
數據保護官的職責
DPO 的職責包括但不限於:
確保公司完全遵守《個人數據保護法》
發展數據保護文化
高效處理數據查詢
個人信息風險預警管理
必要時與個人數據保護委員會(PDPC)聯絡
常見問題
1.必須通過BizFile+註冊任命DPO嗎? 法律強制要求各企業指定一名DPO負責確保遵守PDPA,並公開DPO的業務聯繫信息。通過ACCOUNTING AND CORPORATE REGULATORY AUTHORITY(ACRA)新加坡會計與企業管理局的BizFile+註冊任命您的DPO即滿足PDPA的義務。
2.企業主應該任命誰作為企業的DPO? DPO可以是其工作範圍僅與數據保護相關的人員,也可以是企業中主要管理者。
優秀的DPO應該是: -企業管理層成員或直接向管理層彙報的人員;或 -有足夠的技能、知識和能力來推動企業中的數據保護的政策和實踐;或 -建議DPO參加PDPA的基礎課程,以便更好地學習了解PDPA和PDP從業者證書(新加坡)從而獲得為企業建立健全的數據保護打下紮實基礎;或
-人力資源有限的企業也可以將 DPO 職能崗位外包給服務商。需要明確的是,組織遵守 PDPA 仍然是組織的責任。
3.如果企業沒有運作、正在進行清盤或在未來幾個月後會停止運作,是否還需要委任DPO? 只要企業在收集、使用和披露個人數據,或者擁有或控制個人數據,就必須確保遵守PDPA。
4.DPO必須是新加坡或常駐新加坡的新加坡永久居民員工嗎?
PDPA 沒有規定 DPO 的國籍以及其工作地址。此外,DPO 也不一定是該企業的雇員。
