Facebook Germany任命DPO违反通知义务

德国DPA通过2019年3月的一项投诉得知，尽管Facebook从其爱尔兰总部任命其数据保护团队为所有欧洲子公司的DPO，但它没有将这一情况与当地监管机构进行事先沟通。德国汉堡数据保护和信息自由专员于2019年12月因此对Facebook德国子公司进行了罚款，罚款额为5.05万欧元。

仅仅因为任命DPO后没有通知监管机构，该处罚是否适当呢？根据GDPR第37条规定，数据控制者或处理者不仅应当需要公开数据保护专员的联系方式，并且需要承担告知监管机构的义务。也就是说，企业任命DPO的最后一环是通知监管机构其已经任命DPO的事实，履行通知义务后才算是整个DPO任命义务的完成。

Facebook 德国子公司（Facebook Germany GmbH）是一家年营业额约3500万欧元的公司，与母公司相比，虽然其业务主要不是处理用户个人数据，但是其DPO应当在被任命后立即通知当地监管机构告知其已经被任命，未履行告知程序便是有疏忽，其违反了GDPR第37条第7款的规定(数据控制者或处理者应当公开数据保护专员的联系方式，并且告知监管机构)。虽然通知义务仅在37条最后进行了简单的规定，但此次的罚款正是强调了监管机构对任命DPO程序的严格要求。正如此，德国DPA在报告中也谈到，罚款应被视为对其他公司的警告，并指出任命DPO和通知地方监管机构是每个数据控制者应当严肃对待的义务。Facebook没有上诉罚款，并已支付罚款，由于Facebook对其违规行为处理专业，罚款没有明显增加。

企业需更加严格遵守GDPR规定

有些隐私保护专家对于本次罚款事件，认为监管机构采取了强硬路线，因为这是Facebook。也有专家认为，当涉及到像Facebook这样的大型科技公司时，监管机构将在全球范围内，利用一切可能的机会，在任何可能的时候，对这些公司进行有力监管。

但不管如何，每家公司应该遵守GDPR的所有要求，甚至更多的行政责任。企业应当意识到，即便是轻微违反隐私法，也可能导致罚款和品牌受损的结果。重要的是，在不同司法管辖区开展业务的跨国公司必须理解并遵守GDPR，以及其所在的欧盟司法管辖区数据保护法律的细微差别。

对于跨国大型企业来说，监管机构对这类企业是否合规将以更高标准进行要求，这实际上也体现了在数据保护领域的进步，监管机构不仅在整体上要求企业符合法律规定，并已经开始从细节方面规范企业的行为。因此，此案正在提醒企业应当注意到非常细微的规定，最大程度降低合规风险，避免金钱及商誉受损。

任命DPO的义务

根据GDPR的要求，如果组织存在以下的处理情形，则必须任命DPO：

• 公司的核心业务的性质、范围以及目的要求经常性、系统性地大规模处理个人数据或大规模监控数据主体。

• 公司的核心业务包括大规模处理特殊类别的数据和与犯罪有关的数据。
  

显然，GDPR对必须任命DPO的情形是进行限定的，但是它允许成员国法律可以增加必须任命DPO的情景。

比如英国法律没有额外规定任命DPO的其他情形，与GDPR保持一致；而德国FDPA则对要求任命DPO的情形进行了额外规定，即如果公司至少有20个员工（包括自由职业者）的日常工作为处理个人数据的话（例如HR，财务部门、销售部门、市场推广部门、采购部门、法务部门等），则必须任命DPO。

如果不存在上述情况，公司可以自愿决定任命DPO。DPO的身份可能存在三种情形：

• 根据GDPR第37条(6)款[1]，公司可以任命公司的员工担任DPO。
  

• 此外，GDPR第37条(6)款，允许公司任命外部人员担任DPO，例如当地的律所。

• 根据GDPR第37条(2)款[2]，公司可以为欧盟境内的多个实体任命同一个DPO。

如果公司不符合法定需要任命DPO的情形，且不愿意任命DPO的话，可以考虑在企业内部设置数据保护人员。GDPR没有明确提及“数据保护人员”，但如果数据资产对于公司及其重要，仍推荐设置类似的数据保护人员。GDPR对控制者提出了有责性要求，即要求控制者须证明自身合规。根据EDPB的指南，证实合规中一个有力的证明为组织里有专门人员负责数据保护，以确保组织按照GDPR的规定处理数据。

在实践中，数据保护人员的职责与DPO的职责相似，但不需要满足GDPR对DPO形式上的要求。数据保护人员可以从数据合规的角度对公司上线的新产品进行审查、组织内部变动、数据保护的影响进行评估等。

任命DPO vs 本地代表

任命DPO的义务与任命本地代表的义务是两回事。DPO是公司的内部员工或者由外聘人员担任，其职责是监督组织的个人数据处理行为，并提出建议。相反，本地代表实际为联络官，即应居住在欧盟境内，供欧盟境内的数据主体和数据监管机构能够容易联络到，并响应其需求。

需要任命本地代表的情形为控制者或处理者在欧盟境内没有营业场所，但向欧盟境内提供商品或服务（不管数据主体是否需要付款）或在欧盟范围内监视欧盟数据主体行为的组织。

不少中国企业在欧盟境内未必设有办事机构，但会向欧盟境内销售商品或者提供互联网服务或者因在Google Play/ Facebook上发版App而可能收集欧盟用户的个人数据，因此适用GDPR并需任命本地代表（尚不符合设立DPO条件）。

DPO专业能力

GDPR并未要求DPO必须拥有某项明确资质，但根据GDPR规定，数据保护官应当建立在专业素养和履行GDPR第 39 条规定任务的能力基础上，需要具备数据保护法律的专业知识、相应的实践能力甚至是对信息技术的掌握。根据GDPR对数据保护官的实务指引，DPO不仅需要向数据控制者、处理者及负责数据处理的员工作出有关通知和建议，还需要确保、监控企业活动的合规性，提出建议并监控企业开展数据保护影响评估，协助监管机构的工作，担任指定联络人，负责风险管控工作等。DPO是企业、监管机构的联络点，其既是企业内部人员，同时具有独立的地位，帮助并监督企业落实数据主体个人信息保护的义务，其重要地位也决定了该职位必须具备更高的专业要求。可即便通过对其职责义务的高要求来限制DPO职位必须由具备专业素养的人来担任，但并没有社会公认的硬性资质条件的限制，也使得DPO功效和能力如何衡量成为一个值得探讨的问题。

随着大数据产业和分享经济繁荣发展，数据保护和个人信息安全问题已经被广泛关注，而对在企业数据保护中承担重要角色的DPO也提高要求，其不仅需要具备相应数据保护法律知识、信息技术知识等，还需要具有解决问题、善于沟通的能力，其所承担的社会期待值也在持续上升，如专家讲到的一样，DPO将被要求提高其价值，甚至超越不仅具备法律知识的基本要求。虽然目前未出现明确的DPO有效性和能力衡量标准，但作为DPO不断提升专业素养应是当下最核心且有效的应对方式。具体能力要求还可参见《数据保护岗位需求与能力发展》。

[1] GDPR第37条(6)款：数据保护专员可以是数据控制者或处理者的员工，也可以按照服务合同来完成任务。

[2]  GDPR第37条(2)款：若该专员能够轻易接触到每个部门，一个企业集团可以只任命一个数据保护专员。