互联网出海实战指南之DPO系列:DPO该由谁来担任?内聘与外聘之优劣比对
文/王捷
点击蓝字关注我们
互联网出海实战指南——数据合规
DPO系列
04
DPO该由谁来担任?内聘与外聘之优劣比对
DPO这个系列由垦丁律所海外业务负责人及资深出海法律顾问王捷(Jackie)和曾任职大型欧盟企业的DPO魏彤主笔。Jackie曾为业务遍布多个国家的众多不同类型互联网出海企业提供过数据合规服务与解决方案(GDPR方向),东南亚数据合规,以及数据合规出境等服务支持,魏彤曾作为著名老牌欧盟企业DPO在第一线接触数据安全业务,希望可以通过本系列文章可以声情并茂地带领大家一起对这个新鲜名词有一些了解,对自己的企业是否需要相关布局也能提前做出考量。
在前三篇关于DPO系列文章中,我们有序地给大家深入浅出地介绍了DPO是什么?为什么要设立DPO?什么公司需要有DPO?没有的话会有哪些结果?以及DPO在实际业务过程中的具体工作内容等,并蹭了一下科罗娜病毒的热点,以著名的不存在考研网站pornhub为例,从DPO的角度分析了一下他们的隐私政策。
想要复习前文内容的朋友们,可以点击下方链接进行回顾:
第一篇:出海实战指南之DPO系列:宇宙中又多了一个GDPR科普|今天让我们来聊聊DPO
接下来的这一篇,我们来聊一下DPO可以由谁来担任的问题,通过阅读,你会解决以下问题:
1. DPO需要满足哪些基本条件?有哪些主要职责范围?
2. DPO由谁来担任?可以任命现有员工吗?
3. 是否可以把DPO角色进行外包?内聘与外聘有哪些优劣势?
4. 企业可以有多个DPO吗?或者企业可以与其他组织共享DPO吗?
5. 企业需要给DPO提供哪些支持?
01
DPO需要满足哪些基本条件?有哪些主要职责范围?
解决DPO由谁来担任这个问题之前,我们先来看一下要成为一个合格的DPO,至少要满足的基本条件包括:
(1) 专业性要求:具有丰富的数据保护法律知识与实践经验;
(2) 职业性要求:具有较强的沟通协调能力与统筹能力;
(3) 实务性要求:需要熟悉公司业务、了解相关技术知识,能将具体的数据处理行为与法律要求进行结合与应用,提供有效的合规解决方案。
结合前几篇文章,你可能对DPO究竟是干嘛的有所了解了,我们在这里扼要归纳一下关于DPO的主要职责范围:
(1) 监督GDPR的合规性:对企业是否遵守GDPR及相关法律规定进行数据合规监督;
(2) 提供合规建议:向企业和内部员工提供数据合规的指导建议;
(3) 参与评估:参与数据保护影响评估(DPIA),监督评估活动并提出意见;
(4) 与监管机构协助:与数据主体、数据控制者及处理者、监管部门进行有效的沟通与协调;
(5) 提供培训:为数据处理的相关人员进行培训,提供合规信息和动态
02
DPO由谁来担任?可以任命现有员工吗?
当你自信地认为你满足了上面的条件并且能提供并履行以上的服务和职责时候,那么你离DPO就不远了。
目前,GDPR并没有对DPO提出资质的要求,但GDPR同时也要求了,如果DPO同时拥有其他职能,例如管理职能等,那么这些管理职能是不能与DPO本身应有的职能产生利益冲突的。
因此,在任务DPO的时候需要注意关键两大点:
(1) 可以任命内部员工,只要该员工的专业职责与DPO的职责兼容并且不会导致利益冲突即可。此时,需要特别注意如果任命内部管理人员,例如CEO,IT总监,CFO等等,则需要非常谨慎,因为实务操作中比较难避免利益冲突问题的发生。
(2) 虽然暂未对DPO有资质要求,但WP29中明确给出了对DPO专业性和技能的最低要求,因此,建议尽量任命或聘任对数据保护合规法律与技术有充分了解和认识,并且具备一定实务经验的专业人士。DPO不是一个形同虚设的职位,他/她需要有能力帮助企业建立和管理企业的数据保护和合规工作。
03
是否可以把DPO角色进行外包?内聘与外聘有哪些优劣势?
企业在高速发展的过程中,合规事务可能并不能及时跟上业务的速度,企业内部可能也未必能及时找到合适的数据合规专业人士提供支持,
这个时候,一种高效的方式就是通过外部聘任的方法进行解决了。企业可以根据与个人或组织的服务协议将DPO的角色进行外包出去。但需要注意的是,外部任命的DPO应该具有与内部任命的DPO相同的职位,任务和职责。
聘任外部的DPO的优点包括,
一来可以提高企业的运行效率,节省成本,二来可以避免DPO的职能冲突问题。同时,外部的专家可能具备更加专业的知识和能力,专人专用。
缺点可能是,没有像内聘DPO那样对企业的所有经营活动都了如指掌,需要有一个信息传达与转换的过程。
内聘DPO的优点包括,
一方面,内部任命的DPO可能会对企业内部的经营活动情况,业务场景更为熟悉,对管理者的意图以及公司发展方向以及合规程度的深浅更能有效把握。
缺点可能是,能满足DPO人选条件的专业人士较少,或可能需要另外招聘,运营成本增大。
04
企业可以有多个DPO吗?或者企业可以与其他组织共享DPO吗?
首先,GDPR明确规定,落入规定的这些组织(见出海实战指南之DPO系列:宇宙中又多了一个GDPR科普|今天让我们来聊聊DPO)必须任命DPO来执行第39条中要求的任务,至于这个职位是由一个人还是一个团队甚至一个公司来担任,GDPR都意见不大。
而关于企业可以与其他组织共享DPO的问题,我们可以从这些组织的结构和规模的角度来看。
首先,企业可以任命一个DPO来代表一个公司或公共机构。
其次,如果企业的DPO同时身兼多个组织的活儿,那么,可以具体考虑到这些组织的结构和规模之后,确保DPO仍然能够有效地执行这些组织的任务。
再次,如果涉及支持的组织范围大且复杂,那么企业还需要确保DPO他们能拥有必要的资源,并能得到团队的支持。
当然,不论是否是多个还是共享,企业都需要把DPO的联系方式公布出来,让大家容易获取并联系到这位责任重大的DPO本尊。
05
企业需要给DPO提供哪些支持?
根据GDPR的要求,企业必须确保:
(1) DPO密切及时地介入所有数据保护事务;
(2) DPO向企业的最高管理级别(即董事会级别)报告;
(3) DPO独立运作,不会因执行任务而被解雇或受到处罚;
(4) 提供足够的资源(足够的时间,财务,基础设施,以及在适当情况下的人员),以使DPO履行其GDPR义务并保持其专家知识水平;
(5) 授予DPO适当的访问个人数据和处理活动的权限;
(6) 授予DPO适当的访问组织内其他服务的权限,以便它们可以获取基本的支持,投入或信息;
(7) 在执行DPIA时向DPO寻求建议;和
(8) 将DPO的详细信息记录为处理活动记录的一部分。
从GDPR的规定,可以看出,企业对于DPO这么重要的角色,是必须提供足够的支持,以便DPO可以独立地发挥作用。
因此,企业不仅要保障DPO能参与公司内部业务活动,同时也需要保障DPO与现有组织机构在人事上的独立性问题,更要通过设立一些有效的制度,确保DPO不应当因履行职责而受到惩罚。
值得一提的是,GDPR需要提到了企业的DPO需要向最高管理层进行相关数据合规报告的工作,但这并不是指一定要承担任何管理职能,而是表达了只有确保了DPO具有直接的访问权限,报告途径等,才可以保障DPO有能向进行数据处理决策的管理层提供具体建议的条件和能力。
【声明】本文内容可能会因法律法规修改而变更,司法实践中依个案实际情况来处理。本文仅代表作者目前所持的理论观点,不代表作者供职机构或其他相关机构的意见。本文仅为交流之用,所有内容不构成对任何个案的意见、建议或观点。作者和发布平台明示不对任何根据本文任何内容的作为或不作为所导致的后果承担责任。
作者简介
编辑:魏彤
主编:王捷
#更多往期出海业务精彩文章#
出海实战指南系列:每天五分钟—13亿人口的印度是怎么进行民主选举的?
每天五分钟 之 疫情数据系列 | “就地避难“ 还是 数据保护?
【重磅】印度FDI新政“生效令”发布—中国投资印度需走政府路径
【重磅】你的企业真的会“负责任”的使用人脸识别技术吗?暨WEF《负责任地限制人脸识别使用的框架》中译本发布
互联网出海实战指南之DPO系列:当Pornbub在注视你,他都在看些什么
互联网出海实战指南之DPO系列:KNOCK KNOCK, DPO究竟是干嘛的啦
出海实战指南之DPO系列:宇宙中又多了一个GDPR科普|今天让我们来聊聊DPO
中海油不可抗力声明被拒——再看疫情下的不可抗力,涉外的你不能错过!!!
【首发】美国《人脸识别道德使用法案》全文翻译与评价
【首发】《2019美国国家安全与个人数据保护法案》全文翻译及评价
【最新案例解读】“被遗忘权”也有地域范围限制——欧洲最高院支持谷歌主张
GDPR治下,德国有律师以不正当竞争为由提出禁令,还获得了支持
转发,是对作者最大的鼓励
在看,是对作者最大的认可
创作不易,请点击一下“在看”↓