Bezustanne wycieki danych klientów, wszechobecne pliki cookies, unijne regulacje pod postacią RODO. Współczesny biznes naszpikowany jest niewyobrażalną wcześniej ilością okazji na utratę zaufania konsumenta i nielegalne wykorzystanie jego danych. Na kogo zatem spada odpowiedzialność za prywatność informacji o klientach? Po cyberochroniarzu, drugim absolutnie niezbędnym elementem firmowego wykazu płac staje się Chief Privacy Officer – specjalista ds. prywatności danych klientów organizacji.
Kartka z kalendarza
Jak przyznaje Bill Malik, analityk Gartner:
The chief privacy officer is a trend whose time has come.
Zawód Chief Privacy Officera pamięta jeszcze czasy sprzed wirtualnej rewolucji. Po raz pierwszy stanowisko utworzono w 1991 roku, w amerykańskiej firmie Axciom Corporation. Wzrost znaczenia CPO w strukturze organizacji nastąpił jednak dopiero w okresie dynamicznego rozwoju internetu i dot-comów. W 1999 roku w Chief Privacy Officera w agencji AllAdvantage wcielił się prawnik, Ray Everett-Church, a 12 miesięcy później podobny etat utworzono w renomowanym IBM. Dla organizacji stało się jasne, że w obliczu nadchodzącej wirtualnej rewolucji ochrona danych osobowych stanie się jednym z kluczowych czynników decydujących o reputacji firmy.
Dziś w przedsiębiorstwach znajdziemy ponad 25000 CPO certyfikowanych przez IAPP (International Association of Privacy Professionals; warto zaznaczyć, że wielu specjalistów ds. ochrony prywatności klientów tego rodzaju dyplomów nie posiada). Najwięcej z nich pracuje w branży IT (19%), druga w kolejce jest administracja, a na trzeciej pozycji – usługi bankowe. Jednocześnie, jak wynika z raportu IAPP, średnia wieku w tym zawodzie oscyluje w okolicach 43 lat, a na stanowiskach przeważa płeć męska, co wynika prawdopodobnie z wyższego odsetka posiadaczy certyfikatów IAPP[1].
RODO – Rozporządzenie o Ochronie Danych Osobowych
Nadchodzące zmiany unijnych przepisów dot. ochrony danych osobowych mogą wysunąć CPO na czoło rankingu najbardziej pożądanych zawodów w biznesie. Rozporządzenie o Ochronie Danych Osobowych (RODO) będzie dotyczyć wszystkich firm, które gromadzą i wykorzystują dane osobowe, a zatem – zarówno wielomilionowe korporacje, jak i sklepy internetowe czy salony kosmetyczne. Największe zmiany zajdą w następujących obszarach:
- obowiązek podawania większej ilości informacji nt. praw przechowywania, przenoszenia i przekazywania danych o klientach,
- konieczność przeprowadzania rejestru czynności przetwarzania danych wewnątrz firmy
- uwzględnienie danych genetycznych i biometrycznych w zakresie tzw. danych wrażliwych
- większe uprawnienia osób, których dane są wykorzystywane przez firmę, np. możliwość ich usunięcia,
- obowiązek przygotowywania proaktywnych zabezpieczeń,
- konieczność raportowania ewentualnych „wycieków danych” i informowania o nich zagrożonych klientów,
- obowiązek umieszczania informacji o profilowaniu klientów[2],
co w sumie daje sam następujący wniosek:
- przerzucenie całej odpowiedzialności za wdrożenie procedur ochrony danych na samo przedsiębiorstwo.
Intencją Unii Europejskiej było stworzenie przepisów znacznie bardziej aktualnych i dostosowanych do współczesnego środowiska biznesowego, aniżeli obowiązująca dotychczas regulacja o ochronie danych osobowych z 1995 roku. Jednocześnie unijni komisarze nie zamierzają formułować żadnych wskazówek odnośnie tego, jak chronić wrażliwe dane – zalecenia różniłyby się w zależności od branży i musiałyby być bezustannie aktualizowane.
Tym samym Unia Europejska błyskawicznie podniosła wartość Chief Privacy Officera o kilka(naście) finansowych pięter. To właśnie na tym stanowisku znajdzie się bowiem osoba, która przejmie pałeczkę od europejskich ustawodawców, wyręczy kierownictwo firmy i zajmie się tworzeniem systemu, który w najlepszy możliwy sposób ochroni dane klientów organizacji. A jak zauważa Deema Freij, Global Privacy Officer w Intralinks:
Ewentualne naruszenia prywatności danych osobowych będą kosztowały firmy do czterech procent ich rocznego przychodu.
Zadbanie o kontrolę nad prywatnością klientów będzie zatem oznaczało naprawdę spore oszczędności dla organizacji.
Płace będą rosnąć
Wg danych pochodzących z rynku amerykańskiego, Chief Privacy Officer może obecnie liczyć na wynagrodzenie w okolicach 154 331 dolarów rocznie[3] (ok. 566 117,43zł, 47 176zł/mies.[4]) – to o 50 tysięcy dolarów więcej niż w 2003 roku[5]. Biedy nie ma? To prawdopodobnie dopiero początek dynamicznych wzrostów, tym bardziej, że pensja CPO w Europie była wg danych z 2015 roku o 29% niższa[6] – wejście w życie RODO powinno zdecydowanie zbliżyć specjalistów ze Starego Kontynentu do ich kolegów zza Oceanu.
Wiele wskazuje bowiem na to, że Chief Privacy Officerowie odegrają w najbliższym czasie niezwykle istotną rolę na rynku pracy i z miejsca podbiją czołowe pozycje na liście życzeń rekruterów. Jednym z najważniejszych założeń RODO, które celowo postanowiliśmy wymienić dopiero przy okazji pointy, jest wymóg utworzenia stanowiska „Inspektora Ochrony Danych Osobowych” (IODO) w firmach, które administrują dane, bądź też przetwarzają je na dużą skalę na zlecenie zewnętrznych organizacji.
Obowiązek powołania IODO będą miały zatem wszystkie podmioty publiczne, które przetwarzają dane osobowe, z wyjątkiem sądów[7] – państwowe i samorządowe jednostki organizacyjne, szkoły, przedszkola, również organizacje wykonujące zadania publiczne, np. w zakresie transportu ludności, dostawy energii, itp. Powołanie IODO będzie również obowiązkiem przedsiębiorstw, dla których administrowanie lub przetwarzanie danych stanowi główną działalność, np. agencje ochrony, firmy zajmujące się monitoringiem, ubezpieczyciele czy… zakłady karne.
Z firmą na zawsze?
Inspektor Ochrony Danych Osobowych będzie również zobligowany do przeprowadzania szkoleń wewnątrz organizacji, realizowania audytów, a także raportowania i współpracy z organem nadzorczym – Generalnym Inspektorem Ochrony Danych Osobowych. Nie ulega więc wątpliwości, że stanowisko to powinien objąć ktoś niezwykle kompetentny. Zatrudnienie wykwalifikowanego Chief Privacy Officer zdaje się być znakomitym rozwiązaniem.
Na korzyść zastosowania takiego manewru przemawia również fakt, że w myśl RODO Inspektor Ochrony Danych Osobowych ma być zaangażowany w lwią część procesów zachodzących w organizacji. Nowe przepisy przewidują także niezwykle skomplikowaną i problematyczną procedurę w przypadku próby odwołania Inspektora Ochrony Danych Osobowych ze stanowiska.
Unijni komisarze chcą w ten sposób zagwarantować specjaliście ciągłość pracy i możliwość pozostania w zawodzie nawet w przypadku niepomyślnego audytu ochrony danych. Warto więc już zawczasu powołać do sprawowania pieczy nad informacjami o klientach osobę, której kompetencje posłużą firmie w naprawdę długim okresie.
—
Na podstawie:
[1] https://iapp.org/media/pdf/resource_center/2015_Salary-Survey_Full-Report_Final.pdf
[2] w oparciu o: https://odo24.pl/blog-post.rodo-najwazniejsze-zmiany-i-nowosci-infografika
[3] https://www.payscale.com/research/US/Job=Chief_Privacy_Officer/Salary
[4] https://pl.coinmill.com/PLN_USD.html#USD=154,331 (kurs z dn. 29.09)
[5] https://iapp.org/media/pdf/resource_center/2015_Salary-Survey_Full-Report_Final.pdf
[6] https://iapp.org/media/pdf/resource_center/2015_Salary-Survey_Full-Report_Final.pdf
[7] http://www.rp.pl/Firma/302179989-Inspektor-ochrony-danych-czyli-ABI-po-nowemu.html#ap-1