你的企业需要数据保护专员吗?
史上最具影响力的数据保护规定,欧盟《一般数据保护条例》(GDPR)即将在2018年5月25日实施。由于GDPR具有域外企业适用效力,且最高达2000万欧元或企业全球营收总额4%的罚款而备受企业重视。在GDPR实施倒计时不足50天之际,享法将陆续推出有关的小专题问答,围绕本专题中心概念的最关注问题,带您快速理解GDPR的相关规定。
数据保护专员(“DPO”)
GDPR构建的是一个以责任为基础的数据保护合规框架。在这个框架里,数据保护专员(“DPO”)可以被视为具有“心脏”的地位,有利于两大数据保护主体(“数据控制者”和“数据处理者”)遵守GDPR条款。
什么样的组织机构必须任命DPO ?
GDPR规定在如下情况下,指定DPO是一项义务:
● 如果数据处理是由行政机关和公共团体(Public authorities and bodies)执行的,不管它们处理什么样的数据;
● 如果数据控制者或数据处理者的核心活动包括数据处理行为,这种数据处理需要定期和系统化地在大规模的范围内监测数据主体;
● 如果数据控制者或数据处理者的核心活动包括大规模的范围内处理特殊类型的数据,或者有关刑事犯罪和违法行为的个人数据。
请注意联盟或成员国的法律可以规定在其他情况下也需要指定DPO。
例如,德国2017年7月5日颁布new German Data Protection Act,该法案就要求持续性进行个人信息自动化的企业,如果雇员人数超过10人的就需要任命DPO。
企业自愿任命DPO需要注意哪些问题?
如果有些组织可能会觉得即便DPO指定不是强制性的,基于自愿而任命一名DPO对组织数据保护合规,甚至企业形象宣传也是非常有用的,那么应该注意什么呢?
第29条数据保护工作小组(”WP29”)非常鼓励这些自愿行为。但是他们也指出,基于自愿而指定DPO时,同等要求将适用于这些人员的指定、地位和任务,就如同该指定是强制性的。如果不完全遵守GDPR有关DPO的相关规定,不能使用同样的职位名称。
一些组织机构是否可以共同任命一名DPO?
这个答案是肯定的。一个团体可以指定一个DPO,但要求这位人士应该“容易从每个机构接触访问到”。
“可访问性”的概念针对的是DPO作为和数据主体、监管部门和组织内部的联系点的任务。为了确保DPO是可访问的,无论是内部的还是外部的,确保可以获得他们的联系信息是很重要的。DPO,如果有必要在一个团队的帮助下,必须能够有效地与数据主体进行沟通,并与有关的监管部门合作。这意味着这种沟通必须以监管当局和有关数据主体使用的一种语言或多种语言进行。DPO的可获得性(无论是否与员工在同一个处所,通过热线或其他安全通信方式)是确保数据主体能够与DPO联系的关键。
考虑到其组织结构和规模,单一的DPO可能被指定给几个公共部门或机构。这时就应该从资源和通信方面考虑这位DPO可以被获得和方位到,确保一个DPO,尽管已经被指定为几个行政机关和公共团体,在必要的情况下,在团队的帮助下,能够高效地执行DPO任务。
DPO必须在欧盟办公吗?
为了确保DPO是可访问的,WP29建议DPO位于欧盟内,无论数据控制者或数据处理者是否在欧盟内设立。但是,不能排除,在某些情况下,数据控制者或数据处理者并没有在欧盟内建立营业场所, DPO位于欧盟之外可能可以更有效地开展其活动。
DPO必须是内部工作人员来担任吗?
DPO可能是数据控制者或数据处理者的工作人员(内部DPO),或根据服务合同完成任务。这意味着DPO可以是外部的。在这种情况下,可以根据与个人或组织达成的服务合同来执行他/她的DPO功能。
当DPO的功能由外部服务提供者执行时,为该实体工作的多个个人可以作为一个团队有效地执行DPO任务,由指定的主要联系人和客户负责人负责。在这种情况下,最重要的是外部组织的每一个成员行使DPO的职能时,满足GDPR的所有适用要求。
实践中。已有不少欧盟律师事务所熟悉数据法的律师组织服务团队,举荐自己担任数据企业的DPO。
DPO必须具备的专业素质哪些?
DPO应在专业素质的基础上指定,特别是对数据保护法律和实践的专家知识和完成其任务的能力。
应根据所执行的数据处理操作和处理的个人数据所需要的保护来确定必要的专家知识水平。例如,当数据处理活动特别复杂,或者涉及大量敏感数据时,DPO可能有关专业知识和支持的更高级别。
相关技巧和专家知识包括:
● 有关国内和欧洲的数据保护法律和实践方面的专业知识,包括对GDPR的深入理解;
● 对所进行的数据处理操作的理解;
● 对信息技术和数据安全的理解;
● 对业务部门和组织的了解;
● 有能力促进组织内的数据保护文化。
如何保障DPO“以独立的方式”履行任务?
相应的保障措施包括:
● 数据控制者或数据处理者对于DPO开展任务不会没有发出任何指令;
● 数据控制者不会因DPO履行任务而解雇或处罚;
● 与其他可能的任务和职责无利益冲突。
DPO的其他任务和职责不能导致利益冲突。这意味着,首先,DPO不能在组织内担任导致他或她决定处理个人数据的目的和手段的职位。由于每个组织的具体组织结构不同,这点必须个案分析考虑。
作为一最重要的规则,在组织内部构成冲突职位的可能包括高级管理职位(如首席执行官、首席运营官、首席财务官、首席医疗官、市场部主管、人力资源主管或IT部门的负责人),也包括在组织结构中地位降低的其他角色,只要这样的职位或角色导致他来决定数据处理的目的和手段。
此外,如果要求外部DPO在涉及数据保护问题的案件中代表数据控制者或数据处理者出庭,也会出现利益冲突。
DPO会为不遵守数据保护要求而承担个人责任吗?
这点无需担心。GDPR规定数据控制者或数据处理者需要确保并能够证明数据处理是按照GDPR规则执行的。数据保护合规是数据控制者或数据处理者的责任。企业不遵守数据保护要求时DPO无需承担个人责任。
访问文末左下角点击“阅读原文”获取更多相关内容
或点击以下二维码1秒解锁更多独家法律知识问答。
长按二维码
了解更多知识!
关于享法
享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部,致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今,我们已为近百家中小高科技创新公司提供了多样化服务。
享法的主要业务模块包括融资并购、合规管理、新三板等更具互联网思维创新的特色法律服务,同时也针对初创企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。
“GDPR”相关文章
GDPR实施倒计时:欧盟委员会发布直接适用指南| 互联网法律观察
往期好文回顾
水滴轻松无意联姻,一文助你辨别爱心互助的真与伪| 互联网法律观察
长点心吧!中国企业应该从Facebook数据泄露事件中吸取教训 | 互联网法律观察
B站上市,告诉你一个互联网娱乐世界的合规全貌| 互联网法律观察
GDPR实施倒计时:欧盟委员会发布直接适用指南| 互联网法律观察
从“信息安全”到“网络安全”,等级保护制度有哪些值得关注的变化?
从七彩斑斓到橙黄争霸 看共享单车走过2017| 互联网法律观察
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~