欧盟《通用数据保护条例》(以下简称GDPR)将数据保护官(以下简称DPO)界定为个人数据保护系统中的关键参与者,为DPO赋予了“企业中持续和动态合规管理者”的角色。
围绕DPO,我们整理了如下八个典型问题,进行回答。
一问:企业是否必须设立DPO?
DPO设立目的之一在于个人数据保护,蕴含着公共利益属性,是GDPR框架下的强制性要求。若企业未设立DPO或具体设立违反GDPR的明确规定,将被认定为是对数据控制者或处理者法定责任的违背。依据GDPR第83.4(a)条之规定,数据控制者或者处理者需要面临最高万欧元或全球年营业额的2%的处罚(两者取高值)
GDPR要求企业必须设立DPO的情形:
(1)数据处理主体为公共主体(法庭在履行其司法职能时除外);
(2)依据数据处理者/控制者的性质、目的和范围,企业对数据主体的数据监控和使用是系统性和常规化的,且规模较大,如以精准投放为主业的在线广告公司,可穿戴智能设备公司等;
(3)企业涉及收集和处理一些敏感数据,例如犯罪数据、医疗数据、生理数据等等,如医院、体检中心,人脸识别公司等。。
一些企业认为自己规模较小无需设立DPO,这种认知是错误且危险的。是否必须设立DPO与企业规模大小无直接关系。此外,对于DPO设立问题,每个欧盟国家可能存在特殊要求。例如,德国联邦数据保护法案要求,如企业拥有10名以上员工需要经常性处理用户数据,那么企业必须设立DPO。
最后,根据EuropeanArticle29WorkingParty(WP29),作为GDPR合规的评判项,监管部门强烈推荐企业设立DPO。北欧一些国家实行“有益设立”政策。如果企业任命了DPO,那么某些事项就无须进行申报,相当于给予“奖励”。
二问:DPO是否有任职资质或要求?
GDPR没有对DPO提出任职资质要求。结合GDPR下DPO的地位和职责,DPO可被理解为以独立的立场和方式确保数据控制者和数据处理者对GDPR的遵守,监督数据控制者和数据处理者的数据合规,并协助监管机构执法的专业人员。因此,企业任命DPO时,专业性和独立性是必须考量的两大核心因素。
专业性是指DPO需要充分了解数据保护合规法律与技术,并具备实务经验。
独立性包括两方面含义:一是指DPO的履职行为不受数据控制者与处理者的指示和干预,企业不得因其履职行为对其进行惩罚或解雇(即“DPO尽职豁免制度”);并且,企业应当为DPO提供良好的工作环境与资源;二是DPO自身不得从事与其履职相冲突的工作,以保障自身的独立判断。具体表现为,DPO不得兼任COO(首席运营官)、CEO(首席执行官)等可能带来利益冲突的职位。根据GDPR第38条,DPO可以履行其他任务和职责,但数据控制者和处理者应保证这些任务和职责不会导致利益冲突。
三问:DPO有哪些权利、哪些职责?
根据GDPR第37条至第39条的规定以及《DPO指南》,DPO的首要任务是为所在企业提供咨询和支持、建议和监督。DPO职责范围被表述为“参与和个人数据保护相关的所有事项”、“及于数据控制者和数据处理者所有的数据处理活动“。因此,DPO对数据合规的监督职责是全流程的。
具体包括:
(1)DPO需要向服务的企业和企业员工提供GDPR相关的信息和建议;
(2)对企业GDPR合规以及数据保护方面的工作进行监管;
(3)对企业数据保护影响评估(DPIAs)方面的工作参与和管理;
(4)作为沟通渠道同欧洲GDPR监管部门保持联系,负责数据外泄的紧急汇报;
(5)负责同数据主体的沟通和联系,协助实现数据主体的数据权利;
(6)客观独立地履行自身职责,不应因雇主命令而影响客观事实和结论;
(7)担任企业或机构负责人的数据保护管理咨询顾问。
GDPR下的DPO,既要协助数据控制者评估数据处理的风险,在数据控制者违规或存在违规风险时提出整改建议,又要在发生数据泄露事件时需要与监管机构合作(如在现场调查期间回应请求、调查投诉、通报数据泄露等),担当所在企业与监管机构对话的“促进者”。
四问:DPO是由自然人履职,还是可由特定机构/委员会担当?
GDPR并未明确DPO必须由自然人履职,因此特定机构/委员会在能够完成DPO相应职责,不存在利益上的冲突的情况下,也可以担任该职位。
五问:DPO是内部选任,还是可以外聘?
首先,GDPR没有对DPO提出任何资质要求,不需要是内部高级管理人员或法律背景的人担任,但是出于专业性要求,DPO需要对数据保护相关法律及实践比较熟悉。
其次,如果由内部高管(CEO、COO、CFO、市场总监、HR总监、IT总监等)来担任DPO,很难避免不存在利益上的冲突,所以高管担任DPO需谨慎。根据企业自身的情况,DPO可以不要求一定是全职,在这种情况下,企业就可以外聘DPO人员。GDPR允许一名DPO同时为多家企业工作。外聘DPO由于是专职从事,经验上更加丰富,对行业的动向标准掌握得更加准确,同时也节省了企业内部培养技能的过程和成本。但外聘DPO会存在其他问题,如需要磨合可能熟悉企业实际运营情况,给出的方案适配性和实操性不强,沟通成本高等。
六问:DPO是否要做所在企业不合规的背锅侠?
WP29在《DPO指南》中明确指出,DPO对企业数据不合规不承担个人责任,应且只应当是数据控制者才负有确保企业数据合规的义务。企业不可以通过授权/委托等方式将特定于数据控制者或数据处理者的义务转移给DPO。如未遵循DPO的建议,数据控制者或DPO可以有效地记录已做出的决定,以及(如适用)未遵循的原因。因此,GDPR下的DPO的个人责任原则上被单位责任所吸收,而中国法下的网络安全责任实行双罚制,企业责任和合规负责人个人责任绑定。
GDPR上这一特殊责任制度的设计,在于尽可能的维持DPO的独立性,让DPO不受数据控制者的不当辖制,更好地行使监督职能,体现出立法者期望将监管延伸入企业内部的决心。所以,当DPO由企业内部人员兼任时,可能会涉嫌DPO职责和企业利益冲突,DPO任职者可能认定为数据控制者的组成部分,从而仍应承担相应的法律责任;另外,DPO如未尽职则不能豁免责任;并且,DPO仍可能因履行职务行为以外的其他原因被合法解雇。
七问:DPO如何对数据控制者合规的有效性进行监管?
DPO负责监管所在企业遵守GDPR的合规情况。这项任务必须由DPO组织核查,可联系外部审计或与内部核心职能部门(如:CISO)合作进行,。
DPO对企业合规有效性监管的工作内容包括:
(1)核查所在企业实施的数据处理活动记录的准确性(处理活动清单、处理目的范围、数据主体、所处理数据的性质、接收方和可能转移到的欧盟以外的地域、保留期、安全措施);
(2)核查敏感信息的处理合规情况,进行影响评估(特别注意:降低风险可能性和严重性相关措施的执行情况);
(3)实施跟踪和监测数据处理使用情况的工具(分析日志、检测违禁数据、核查保留期的合规情况等);
(4)监督其所在企业承诺实施的技术和数据保护措施的有效性。
八问:GDPR下的DPO与中国《个人信息保护法》下的“个人信息保护负责人”是否相同?
中国法下的”个人信息保护负责人”虽借鉴了DPO的相关内容,但两者不完全一致。
从设立条件上,GDPR以数据控制者的性质及个人数据处理活动的情况作为设立DPO的依据,而”个人信息保护负责人”则是以处理个人信息的数量及种类作为判断依据。
从选任条件上,DPO的选任由于需要尽量避免与数据控制者存在利益冲突,因此可推知GDPR在逻辑上并不鼓励高管出任DPO,而”个人信息保护负责人”由于需要全面统筹实施组织内部的个人信息安全工作,因此除非个人信息处理者在内部制度上特别安排,否则该职位天然存在由企业内部高管出任的倾向。
从法律责任上,GDPR为保护DPO并确保其充分履职,通过一系列的制度设计尽可能降低DPO因数据控制者合规性问题而承担个人责任的可能,而中国《个保法》则明确将”个人信息保护负责人”与个人信息处理者原则上进行责任绑定,承担更大的法律责任。
权利声明
本
转载请注明:http://www.0431gb208.com/sjszlfa/392.html
