|
[导读:将于2018年5月生效的GDPR对企业的数据保护义务提出了全新的监管要求,将对中国企业在欧盟市场的投资、销售和运营产生显著影响,并成为中国企业必须直面的重大法律障碍。大成数据保护团队的欧盟与中国律师联合推出11篇系列原创文章,以协助中国企业从实务角度理解和遵从GDPR,并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。自2018年1月起,系列文章将于每周四通过公众号“个人信息与数据保护实务评论”定期推送。] 引言 本期我们将重点讨论数据保护官(Data Protection Officer, the “DPO”)的地位。DPO是指监督组织机构内部个人数据处理的自然人。DPO也因此可以被视为“内部监督员”。 根据《通用数据保护条例》(General Data Protection Regulation, the “GDPR”)规定,部分组织机构有义务设立DPO。而根据《荷兰数据保护法》(Dutch Data Protection Act, the “DPA”)规定,DPO的任命并不是强制性的:“控制者可选择设立自己的DPO”。 GDPR就DPO的任命提供了详细指引。依照GDPR,从2018年5月25日起,包括数据控制者和处理者在内的部分组织机构必须设立DPO。从GDPR正式施行之日起,DPO将成为这些组织机构内部隐私合规方面的核心人物。DPO将监督组织机构内部对GDPR的遵守情况,并应担任括包括数据主体和相关监管机构等利益相关方的联络人。 需设立DPO的情形 根据GDPR规定,如存在以下情况,相关组织机构有义务设立DPO: 1.数据处理是由以司法身份行事的法院以外的公共机构或机关主导的; 2.根据其性质、营业范围或目的,数据控制者或数据处理者的核心业务,需要对数据主体定期进行大规模系统监控的处理操作; 3.控制者或处理者的核心业务包括对诸如与健康有关的个人数据的特殊类别数据或与刑事定罪和犯罪有关的个人数据进行大规模处理的部分。 GDPR中b项和c项的规定只包含一些抽象的概念,而没有明确的标准。第29条数据保护工作组(The Article 29 Data Protection Working Party, the WP29,下称“第29条工作组”),是一个独立的欧洲顾问机构,该机构发布了一些有关DPO的指引,则包括有对这些抽象概念的解释: “核心业务”这一概念是指相关组织机构的主要工作内容:即实现其目标所必需的关键性操作。核心业务不包括支持性活动,如员工薪酬管理或正常的IT支持。 就“大规模处理”而言,该指引并未提供具体的数量标准。但是,在判断某一数据处理是否属于大规模处理时,有几个考量因素。这些因素包括所涉及的数据主体的人数、数据总量、处理活动的持续时间以及处理活动的地域范围。 “定期系统监控”指在任何情形下所进行的所有形式的互联网上的跟踪和侧写,包括出于行为广告目的的跟踪和侧写。但是,应该注意的是,定期系统监控不限于网络环境。第29条工作组将“定期”解释为以下一种或多种情况:(i)在特定期间内以特定时间间隔持续进行或发生;(ii)在固定时间内重复发生或反复发生;(iii)持续或定期发生。第29条工作组将“系统”解释为以下一种或多种情况:(i)依系统发生;(ii)预先安排、组织或有条不紊;(iii)作为数据收集总体计划的一部分发生;(iv)作为战略的一部分进行。 从根本上来说,设立DPO是组织机构自身的责任。除非事先明确某一组织机构没有设立DPO的义务,否则,考虑到GDPR中的合规义务,若一个组织机构决定不设立DPO,我们建议其记录与该决定有关的内部评估。 组织机构在自愿的基础上得以不受限制地设立DPO。但如果一个组织机构主动设立DPO,那么该DPO的任命、权利和职责亦应符合强制性设定规定。在这种情况下,该组织机构可考虑聘请外部数据保护顾问,而非设立DPO。 企业集团内部任命DPO 一个企业集团可以设立单一DPO,但要确保各营业机关与DPO之间的联系畅通。此外,值得各组织机构注意的是,DPO还应与地方监管机构以及内部外部的数据主体保持有效合作和联系。第29条工作组建议将DPO的工作地点安排在欧盟境内,但这并不是强制性的,存在数据控制者位于欧盟境外的情形。 在实践中,“联系畅通”是指DPO的联系方式在组织机构内部应该广为人知,以确保包括员工在内的人员能够直接私下联系DPO,而不必寻求该员工上级主管帮助。各组织机构亦可考虑在其内部网络和其官方网站上公布DPO的联系方式。 此外,与数据保护馆的“联系畅通”还有另外一层意思,它要求与DPO的沟通交流必须以监管机构和所涉及的数据主体使用的一种或多种语言进行。但这并不一定意味着DPO必须掌握所有欧盟成员国语言,只要相关团队可以协助数据主体和监管机构用其自己的语言联系DPO即可。值得注意的是,在这种情况下,DPO一般无需立即作出回应,而可以在合理期限内回应监管机构和数据主体的请求。 DPO的专业素养 DPO必须具备特定的专业素养,尤其是数据保护法律和实践方面的专业知识和履行职责的能力。但如果数据处理活动特别复杂,涉及大量敏感数据,或存在数据被传输到多个非欧盟国家的情形,则可能要求DPO具备更高水平的专业知识。此外,DPO对其所在的市场部门及的组织机构必须有充分的了解。 DPO在组织机构内部的地位 相关组织机构必须确保DPO能够独立履行其职责和义务。DPO受聘于数据控制者或数据处理者这一事实不得影响其独立地位。DPO既可由组织机构内部工作人员担任,也可由诸如根据服务合同履行其职责的外部顾问担任。 此外,相关组织机构有义务让DPO尽早参与组织机构内部与个人数据保护有关的一切事务。因此,相关组织机构有必要让DPO积极参与到组织机构内部的隐私相关会议中,以便在发生数据安全事件时能够及征询其意见。如果相关组织机构有义务进行隐私影响评估,应尽早让DPO参与其中。 各组织机构必须为其DPO履行职责提供充分支持。DPO须能够接触到其所处理的个人数据和处理活动。组织机构确保DPO有充足的财力支持,以确保其职责的履行及知识水平的维持。充分支持包括诸如给予工作人员和DPO参加相关培训课程的机会。此外,组织机构应该给予DPO足够的时间来履行其职责,在DPO是兼职行使其职能的情况下更是如此。 为了使DPO能够独立履行其职责,各组织机构必须采取特定保障措施以保证DPO的独立性。为了确保DPO的独立性,GDPR规定各组织机构不能因DPO履行其数据保护职责而解雇或处罚DPO。GDPR同时禁止组织机构向DPO下达与履行其职责有关的指示,如是否需要将数据泄露通知给监管机构等。DPA亦有类似要求。 与DPA一样GDPR规定DPO在履行其职责过程中受保密义务约束。尽管除了履行其DPO职责外,DPO还可履行其他职能,但只有在不与数据保护职责相冲突冲突的情况下,DPO才可担负其他职责和义务。通常而言,组织机构内部的冲突职位包括首席执行官、首席财务官、首席信息官、首席运营官、人力资源经理等高级管理职位。此外,我们亦建议不要委任内部法律顾问为DPO,因为DPO需以内部法律顾问身份履行职责,这可能会导致利益冲突,即严格遵守GDPR规定的利益与潜在商业利益之间的冲突。 DPO的职责 与DPA不同的是,GDPR对DPO的职责进行了明确界定。DPO的职责包括:
除了上述职责以外,相关组织机构还可为DPO增设包括执行和定期更新处理活动的法定记录制度等职责。 建议 首先,各组织机构应评估其是否有义务设立DPO。如果相关组织机构决定不设立DPO,则应记录与该决定有关的内部评估以证明其已考虑过所有关相关因素均。该建议同样适用于DPO提出的建议,尤其是当数据控制者决定不采纳其建议的情形。 若一个组织机构设有DPO,其必须为DPO履行其职责提供所需的充足资源。在存在单一DPO同时负责几个国家的数据保护事务的情况时,有必要设立一个协助DPO与主管监管机构和数据主体沟通交流的辅助团队。 可DPO将成为许多组织机构中的核心人员,因而选择具备充分经验和只是的人员担任DPO尤为重要。如果相关组织机构决定从内部任命DPO,我们建议使DPO及时全面参与整个过程,以使其能够及时获得与GDPR和组织机构内部处理活动有关的必要信息。 (本文原文为英文,作者系Dentons Boekel律师Marc Elshof、Barry Breedijk和Celine van Es。本中文版本由大成数据保护团队翻译,转载请注明文字出自本公众号。) -------------------- |
|
|
