GDPR《一般數據保護條例》對數據保護官DPO的解析

06-01

*如需引用轉載，請務必聯繫作者，同意後可引用或轉載

DPO（Data Protection Officer）是GDPR明確指出的企業內承擔數據保護合規相關職責的職能角色。多數企業在初次接觸這一概念時都比較迷茫，不清楚對於自己企業該如何界定DPO這一崗位。那麼下面就對DPO的一些定義和要求做大致介紹，希望能夠幫助相關企業完成GDPR合規。

一、DPO的職責究竟是什麼？

· DPO需要向服務的企業和企業員工提供GDPR數據保護方面的信息和建議；

· 對企業GDPR合規以及數據保護方面所做的工作進行監管；

· 對企業data protection impact assessments

(DPIAs)方面工作的參與和管理；

· 作為溝通渠道同歐洲GDPR監管部門保持聯繫，負責數據外泄的緊急彙報；

· 負責同數據主體溝通和聯繫，協助實現數據主體的數據權利；

· 客觀獨立的履行自己的職責，不應因僱主行政命令而影響客觀事實和結論；

· 有許可權可直接向企業最高管理決策層彙報工作。

二、誰可以擔任DPO？必須是內部員工么？

企業通常存在的誤區是，DPO是否必須由內部高級管理人員或者法律背景的人員擔任。

首先，這裡需要明確一下，雖然GDPR允許DPO同時在企業擁有其他職能，但是GDPR要求DPO的其他職能不可以同DPO職能產生利益衝突。企業內絕大多數管理職能存在同DPO職能衝突的情況，也就是說如果內部管理人員（例如CEO、COO、CFO、市場總監、HR總監、IT總監等）來擔任DPO，很難避免不存在利益上的衝突。所以需要謹慎。

其次，GDPR並沒有對DPO提出任何資質要求，不需要DPO是法律人士。

我們的建議是，DPO最好是對數據保護相關法規（特別是GDPR）有深入了解的、同時對信息技術和數據保護技術有足夠知識的專業人士。

因為，雖然GDPR並未給出對DPO資質的要求，但在歐洲監管部門最新發布的GDPR解讀材料WP29中明確給出了對DPO專業性和技能的最低要求。要求中指出，DPO必須有能力建立和管理企業的數據保護和數據合規工作。而且，越是複雜的數據保護和數據合規情況，對DPO的專業水平要求越高。

最後，DPO並不需要一定從內部員工產生。DPO可以在企業內部委任，也可以從外部聘任。外部聘任的DPO需要同企業簽訂服務協議。

對於內部缺乏數據合規相關人才的企業來講，外部聘任提供了一種經濟而高效的解決方案。外部聘任可以避免DPO的職能衝突問題，規避GDPR違規風險。同時，外聘人員如果專業能力過硬，會給企業GDPR合規解決很多煩惱。

另外，根據W29對GDPR的解讀，企業可以不接受和不執行DPO的建議，不過需要詳細記錄未接受和未執行的原因。

三、那麼，企業必須設立DPO么？

GDPR並未規定所有企業必須設立DPO。但是，在以下三種情況下，必須設立DPO：

1.機構為公共主體；

2.機構對數據主體的數據監控和使用是系統性和常規化的，且規模較大；

3.機構涉及收集和處理一些敏感數據，例如犯罪數據、醫療數據、生理數據等等。

這裡根據以往諮詢經驗的對DPO設立問題做三點補充：

1.很多SME（中小型企業）認為自己規模較小無需設立DPO。事實上，如果簡單的依據企業規模來確定是否需要設立DPO是錯誤且危險的認識。是否必須設立DPO與企業規模大小無直接關係，還要查一下監管的要求。

2.對DPO設立的問題每個歐盟國家可能存在特殊的要求。例如，德國的數據保護法案要求，如果企業擁有超過十名員工需要經常性處理用戶數據，那麼企業必須設立DPO。

3. 根據European

Article 29 Working Party (WP29)，作為GDPR合規的一項，DPO的設立被監管部門強烈推薦。

四、需要設立而未設立DPO會有怎樣的後果？

按照GDPR要求，需要設立DPO卻未設立DPO的企業屬於違規，面臨最高1000萬歐元或2%

of worldwide annual turnover的處罰（兩者取高值）。

*如需引用轉載，請務必聯繫作者，同意後可引用或轉載