如果你是一名律師或法務,並且對現在的工作不滿意。那恭喜你,你火了!現在就有一份稱(gao)心(xin)如(yang)意(lian)的工作擺在你的面前,它的名字叫DPO(Data Protection Officergaoxinyanglian),中文翻譯:"數據保護官"。
自進入2018年之後,無數從事互聯網、資訊、醫療、數據和廣告媒體的公司CEO都意識到一點,GDPR離我們只有不到幾個月了。 準確的講,只有兩個星期。從美國馬薩諸塞州的電話招聘公司,到德國的大數據公司,到中國互聯網界大小獨角獸們,大家都似乎只在忙著一件事,研究GDPR並飢渴的搜尋數據保護官。 "每個人都在尋找一個DPO,"Simplaex(一家專注於在線支付處理的金融科技公司)首席執行官傑夫裡範埃德德說,"我需要準備一些現金,當有人試圖挖走我的DPO,這樣我就可以留住他。"
一、 為什麼要設DPO?
依照GDPR,從2018年5月25日起,包括數據控制者和處理者在內的部分組織機構必須設立DPO,DPO將從內部監督組織機構遵守GDPR,並在數據主體和監管機構等利益相關方之間擔任信息聯絡人。
需要說明的,根據GDPR,即使你現在經營的中國公司並不在歐洲,並且在歐洲也沒有分支機構,但如果你提供的產品與服務(APP、網站或遠程設備)延伸到了歐洲,收集並處理了歐洲自然人的數據,那你的公司就也需要遵守GDPR。
如果你的公司只在中國大陸經營,根據《網絡安全法》第21規定,網絡運營者應當按照網絡安全等級保護制度的要求,制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任。而網絡安全負責人某種程度上類似DPO。
在中國,與我們朝夕相處的騰訊早已宣佈QQ國際版將於今年5月20日後停止在歐盟的服務。而在全球範圍來看,86%的受訪企業擔心其或無法滿足GDPR的合規性要求,甚至有近20%的企業認為有可能徹底退出歐洲市場。
二、什麼情況下需要設DPO?
根據GDPR37條,被監管主體符合以下情況,必須指定DPO:
1、 公權力機構處理數據的(法院行使司法權除外);
2、 根據企業性質、營業範圍和商業目的,企業的核心業務涉及對數據主體進行定期大規模、系統性的監控(包括所有形式的互聯網上的跟蹤、分析和預測,如在線行為跟蹤)。核心業務是指實現其目標所必需的關鍵性操作;
3、 機構大規模處理敏感數據(如基因數據、生物特徵數據、性生活或性取向數據等)或犯罪數據。其大規模處理的考慮因素包括所涉及的數據主體的人數、數據總量、處理活動的持續時間以及處理活動的地域範圍。敏感數據包括如基因數據、生物特徵數據、性生活或性取向數據等。
此外需要注意的是,在GDPR規定之下的歐盟成員國會有對DPO更嚴格的規定,比如德國的數據保護法案(Data Protection Act)的第4f條的規定,"自動收集、處理和使用個人數據的公共機構和私法主體應書面任命一名數據保護官。私法主體應在其開業1個月內任命此官員。如以其他方法處理個人數據並且至少20人為此目的被長期僱傭,則同樣適用此規定"。
對於均不符合上述規定的企業來說, GDPR仍要求企業必須確保有足夠的人員和技能來履行GDPR下的義務。意思是,可以不專門設置崗位,但GDPR的義務仍要遵守。
三、DPO的責任有哪些?
根據GDPR第39條規定,DPO的主要職責如下:
1、 向企業、企業員工提供GDPR數據保護方面的信息、建議;
2、 針對數據處理活動參與人員進行培訓,提高企業及員工的合規意識;
3、 監督企業是否遵守GDPR合規要求和數據保護政策,參與責任分配;
4、 參與企業數據保護影響評估(DPIAs) 和監督隱私影響評估執行活動;
5、 與歐洲GDPR監管部門進行溝通和聯繫,負責數據外洩的緊急彙報;
6、 負責與數據主體進行溝通和聯繫,協助數據主體實現其數據權利;
7、 在履行職責過程遵守應受保密義務;
8、 執行和定期更新處理活動的法定記錄制度等職責(企業自願增設項)。
四、DPO有哪些權利和特權?
1、 DPO能夠接觸到企業所處理的個人數據和處理活動;
2、 DPO不應是短期合同員工;
3、 DPO可負責管理自己的預算;
4、 DPO有權向機構最高管理層報告工作,包括與董事會層面;
5、 DPO獨立客觀履行工作職責,在其職責範圍內不受僱主行政命令的影響和干預;
6、 不因履行其數據保護職責而被各組織機構予以解僱或處罰;
7、 企業應對DPO獨立履行職責提供必要資源、政策、制度協助。
需要注意的是,根據W29對GDPR的解讀,企業可以不接受和不執行DPO的建議,但需要詳細記錄未接受和未執行的原因。
五、DPO有什麼任職資格或要求?
GDPR並未要求DPO必須擁有比如律師等某項明確資質,但其大體要求如下:
1、 DPO應具有數據保護法(GDPR)的專業經驗和知識,有能力建立和管理企業的數據保護和數據合規工作;
2、 DPO需要對其所在的企業部門和組織機構有充分的瞭解;
3、 DPO不應存在與其獨立履職可能產生利益衝突的情形(如CEO、COO、CFO、市場總監、HR總監、IT總監等);
4、 對隱私保護、安全保護以及必要的技術知識有相當的經驗和能力;
5、 原則上講,當數據保護和數據合規情況越複雜(如數據涉及傳輸至多個非歐盟國家),則對DPO的專業水平要求越高。
6、 由於與DPO需要與監管機構進行溝通,其需要自身掌握或在團隊協助下擁有必要的溝通語言能力。
六、企業需要有幾名DPO,能不能兼職或外包?
1、DPO可以由企業從內部予以委任,也可以從外部聘任。
2、如果企業從外部聘任DPO,則DPO需要同企業簽訂服務協議。
3、企業集團可以設立單一DPO,但應確保各集團企業與DPO間能暢通聯繫。
4、一名專業人士也可擔任多家企業DPO(跨組織共享),但應在DPO能保證提供及時、盡責的服務的前提下;
5、GDPR鼓勵組織機構根據自身的數據組成和規模,指定一名或多名DPO。
七、截至目前,有哪些企業已經設置了DPO
據不完全統計,國內的360公司、螞蟻金服,美國的翰德國際、CGI集團 、希爾頓酒店都設置了與DPO類似的職位。在歐洲則更普遍,包括英國的裡德公司、米高蒲志、Norwood、Swinton Group Ltd(SG)和政府單位UK Home Office。
八、 不設做DPO有什麼法律責任?
按照GDPR規定,應該設立DPO卻未設立的企業屬於違規,將面臨最高1000萬歐元或企業全球年營業額2%的處罰(兩者取高值)。
作者∣陳德志,錦天城律所資深律師,上海市律師協會證券業務研究委委員,從事公司證券行業近十年,主要執業領域為境內外上市、併購重組、企業投融資及企業合規。
閱讀更多 百律 的文章
