查看原文
其他

互联网出海实战指南:DPO该由谁来担任?内聘与外聘之优劣比对

白鲸出海 2021-02-24

以下文章来源于出海互联网法律观察 ,作者王捷 资深出海法律顾问

编辑点评:DPO 英文全称为 Data Protection Officer,中文一般叫做数据保护官,也有的称为数据保护监察专员,是 GDPR 明确指出的一个承担企业数据合规保护职责的职能角色。希望可以通过本系列文章可以声情并茂地带领大家一起对这个新鲜名词有一些了解,对自己的企业是否需要相关布局也能提前做出考量。


在前三篇关于 DPO 系列文章中,我们有序地给大家深入浅出地介绍了 DPO 是什么?为什么要设立 DPO?什么公司需要有 DPO?没有的话会有哪些结果?以及 DPO 在实际业务过程中的具体工作内容等,并蹭了一下科罗娜病毒的热点,以著名的不存在考研网站 pornhub 为例,从 DPO 的角度分析了一下他们的隐私政策。

接下来的这一篇,我们来聊一下 DPO 可以由谁来担任的问题,通过阅读,你会解决以下问题:

1. DPO 需要满足哪些基本条件?有哪些主要职责范围?

2. DPO 由谁来担任?可以任命现有员工吗?

3. 是否可以把 DPO 角色进行外包?内聘与外聘有哪些优劣势?

4. 企业可以有多个 DPO 吗?或者企业可以与其他组织共享 DPO 吗?

5. 企业需要给 DPO 提供哪些支持?



DPO 需要满足哪些基本条件?

有哪些主要职责范围?

解决 DPO 由谁来担任这个问题之前,我们先来看一下要成为一个合格的 DPO,至少要满足的基本条件包括:

(1)专业性要求:具有丰富的数据保护法律知识与实践经验;

(2)职业性要求:具有较强的沟通协调能力与统筹能力;

(3)实务性要求:需要熟悉公司业务、了解相关技术知识,能将具体的数据处理行为与法律要求进行结合与应用,提供有效的合规解决方案。

我们在这里扼要归纳一下关于 DPO 的主要职责范围:

(1)监督 GDPR 的合规性:对企业是否遵守 GDPR 及相关法律规定进行数据合规监督;

(2)提供合规建议:向企业和内部员工提供数据合规的指导建议;

(3)参与评估:参与数据保护影响评估(DPIA),监督评估活动并提出意见;

(4)与监管机构协助:与数据主体、数据控制者及处理者、监管部门进行有效的沟通与协调;

(5)提供培训:为数据处理的相关人员进行培训,提供合规信息和动态



DPO 由谁来担任?

可以任命现有员工吗?

当你自信地认为你满足了上面的条件并且能提供并履行以上的服务和职责时候,那么你离 DPO 就不远了。

目前,GDPR 并没有对 DPO 提出资质的要求,但 GDPR 同时也要求了,如果 DPO 同时拥有其他职能,例如管理职能等,那么这些管理职能是不能与 DPO 本身应有的职能产生利益冲突的。

因此,在任务 DPO 的时候需要注意关键两大点:

(1)可以任命内部员工,只要该员工的专业职责与 DPO 的职责兼容并且不会导致利益冲突即可。此时,需要特别注意如果任命内部管理人员,例如 CEO、IT 总监、CFO 等等,则需要非常谨慎,因为实务操作中比较难避免利益冲突问题的发生。

(2)虽然暂未对 DPO 有资质要求,但 WP29 中明确给出了对 DPO 专业性和技能的最低要求,因此,建议尽量任命或聘任对数据保护合规法律与技术有充分了解和认识,并且具备一定实务经验的专业人士。DPO 不是一个形同虚设的职位,他/她需要有能力帮助企业建立和管理企业的数据保护和合规工作。



是否可以把 DPO 角色进行外包?

内聘与外聘有哪些优劣势?

企业在高速发展的过程中,合规事务可能并不能及时跟上业务的速度,企业内部可能也未必能及时找到合适的数据合规专业人士提供支持。

这个时候,一种高效的方式就是通过外部聘任的方法进行解决了。企业可以根据与个人或组织的服务协议将 DPO 的角色进行外包出去。但需要注意的是,外部任命的 DPO 应该具有与内部任命的 DPO 相同的职位,任务和职责。

聘任外部的 DPO 的优点包括:

一来可以提高企业的运行效率,节省成本;二来可以避免 DPO 的职能冲突问题。同时,外部的专家可能具备更加专业的知识和能力,专人专用。

缺点可能是,没有像内聘 DPO 那样对企业的所有经营活动都了如指掌,需要有一个信息传达与转换的过程。

内聘 DPO 的优点包括:

一方面,内部任命的 DPO 可能会对企业内部的经营活动情况,业务场景更为熟悉,对管理者的意图以及公司发展方向以及合规程度的深浅更能有效把握。

缺点可能是,能满足 DPO 人选条件的专业人士较少,或可能需要另外招聘,运营成本增大。



企业可以有多个 DPO 吗?

者企业可以与其他组织共享 DPO 吗?

首先,GDPR 明确规定,落入规定的这些组织必须任命 DPO 来执行第 39 条中要求的任务,至于这个职位是由一个人还是一个团队甚至一个公司来担任,GDPR 都意见不大。

而关于企业可以与其他组织共享 DPO 的问题,我们可以从这些组织的结构和规模的角度来看。

首先,企业可以任命一个 DPO 来代表一个公司或公共机构。

其次,如果企业的 DPO 同时身兼多个组织的活儿,那么,可以具体考虑到这些组织的结构和规模之后,确保 DPO 仍然能够有效地执行这些组织的任务。

再次,如果涉及支持的组织范围大且复杂,那么企业还需要确保 DPO 他们能拥有必要的资源,并能得到团队的支持。

当然,不论是否是多个还是共享,企业都需要把 DPO 的联系方式公布出来,让大家容易获取并联系到这位责任重大的 DPO 本人。



企业需要给 DPO 提供哪些支持?

根据 GDPR 的要求,企业必须确保:

(1)DPO 密切及时地介入所有数据保护事务;

(2)DPO 向企业的最高管理级别(即董事会级别)报告;

(3)DPO 独立运作,不会因执行任务而被解雇或受到处罚;

(4)提供足够的资源(足够的时间、财务、基础设施以及在适当情况下的人员),以使 DPO 履行其 GDPR 义务并保持其专家知识水平;

(5)授予 DPO 适当的访问个人数据和处理活动的权限;

(6)授予 DPO 适当的访问组织内其他服务的权限,以便它们可以获取基本的支持,投入或信息;

(7)在执行 DPIA 时向 DPO 寻求建议;

(8)将 DPO 的详细信息记录为处理活动记录的一部分。

从 GDPR 的规定,可以看出,企业对于 DPO 这么重要的角色,是必须提供足够的支持,以便 DPO 可以独立地发挥作用。

因此,企业不仅要保障 DPO 能参与公司内部业务活动,同时也需要保障 DPO 与现有组织机构在人事上的独立性问题,更要通过设立一些有效的制度,确保 DPO 不应当因履行职责而受到惩罚。

值得一提的是,GDPR 需要提到了企业的 DPO 需要向最高管理层进行相关数据合规报告的工作,但这并不是指一定要承担任何管理职能,而是表达了只有确保了 DPO 具有直接的访问权限,报告途径等,才可以保障 DPO 有能向进行数据处理决策的管理层提供具体建议的条件和能力。

【声明】本文内容可能会因法律法规修改而变更,司法实践中依个案实际情况来处理。本文仅代表作者目前所持的理论观点,不代表作者供职机构或其他相关机构的意见。本文仅为交流之用,所有内容不构成对任何个案的意见、建议或观点。作者和发布平台明示不对任何根据本文任何内容的作为或不作为所导致的后果承担责任。

推荐阅读

印度陌生人社交还有哪些方向可以尝试?

偏爱益智游戏的德国游戏市场 你不得不知的几个关键点

对话Crazy Labs:“捡钱”时代已过 当下如何打造爆款超休闲游戏?

印度之后如果WhatsApp Pay登陆印尼 东南亚支付格局会大变吗?

财报解读 | 左手挑Zoom、右手挑Tinder Facebook在疫情期间都干了什么?



商务合作

Cassie | 微信:18506490569

媒体咨询

Ares | 微信:18606066421

开发者对接

刘艳婷 | 微信:18850230356


长按图片扫码

加入白鲸社群

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存