白鲸出海—让中国互联网服务世界
{{user_info.user_name}}
您当前是白鲸会员
开通VIP,享受更多服务
会员到期时间:{{user_info.expire_date*1000 | formatDatebyDay}}
合作查看次数: {{users_vip_equities.view_cooperation || 0}}次
合作发布次数: {{users_vip_equities.release_cooperation || 0}}次
公司查看次数: {{users_vip_equities.view_company || 0}}次
榜单下载次数: {{users_vip_equities.download_rank || 0}}次
报告下载次数: {{users_vip_equities.download_book || 0}}次
鲸币数量:{{user_info.jingbi}}
发布
当前位置:白鲸出海 > 资讯 > 正文

GDPR 下的“数据保护官”是做什么的?为什么要有“数据保护官”?

APUS  •  •  原文链接

作者:APUS 研究院(ID:apusapps)

白鲸出海注:本文是 APUS 研究院发布在白鲸出海 APUS 专栏、GDPR 系列文章中的第六篇。转载须保留本段文字,并注明作者和来源。商业转载/使用请前往 APUS 主页,联系寻求作者授权。

这两天小编正在愁文章选题,隔壁在欧洲开公司的王老板突然过来问小编,知不知道“数据保护官”(Data Protection Officer)是干啥的。小编问他咋回事儿,王老板就说,有人跟他说欧洲做买卖需要雇一个。小编顿时豁然开朗,本期就给大家聊一聊“数据保护官”的那些事儿。老规矩,小编希望各位大佬在读完本文后可以了解:

1、啥是“数据保护官”;

2、什么样的公司需要有“数据保护官”;

3、没有“数据保护官”会有什么后果。

1、啥是“数据保护官”

“数据保护官”的主要任务,就是保证其所服务的组织,对于其员工、顾客、供应商以及其他任何人(这些个人即 GDPR 下的“数据主体”)的个人数据的处理,符合适用的数据保护规定(比如 GDPR)。

那么,企业应该依据什么标准来判断是否需要设置“数据保护官”呢?根据 GDPR 的规定,企业应该根据数据处理的实际情况来决定是否设置。判断可依据的方面包括企业处理数据的敏感度、企业处理数据的复杂程度以及处理数据的数量等。

为了确保“数据保护官”有搞定这个主要任务的能力,GDPR 要求,每个企业的“数据保护官”都应该具备这些能力:专业程度(Expertise level)、专业知识(比如数据保护知识和对于企业数据处理行为的理解等) 以及其他工作能力(比如沟通能力、职业伦理等)。

拿微软的“数据保护官”举个例子。至少具有七年以上的数据保护经验,或者十年以上的有关数据保护、安全和企业风险管理经验的人,才可能被微软列为候选人。

小编也注意到,也有国家通过立法,鼓励数据保护机构对“数据保护官”的资质进行认证,比如法国。不过至少在法国,这种认证是针对个人并且自愿进行的,而并非不认证就不能担任“数据保护官”。

“数据保护官”的具体形式是很灵活的,一个人、一队人、一家公司、一个组织都可以。同时,既可以从公司内部任命,也可以从公司外部选任。如果 “数据保护官”由多人组成,WP29小组的有关指南中提到一定要做好内部的职责分配,并明确一个人作为联系人,保证企业内部和有关的数据主体能及时联系到“数据保护官”。

还有一种特殊情况,在能够保证充分、适当履职的情况下,集团公司是可以只在集团层面设置一个“数据保护官”覆盖全集团的。

为了使“数据保护官”可以充分并适当地履职,GDPR 对“数据保护官”做出了不能有利益冲突的限制,又规定了“独立履职”“免于因履职遭受处罚乃至解雇”等形式的保护。此外,企业还应该给“数据保护官”提供充分的资源保障,并合理的确定以及公开“数据保护官”的联系方式。凡此种种在 WP29 的相关指南等资料中都有详细的阐释。企业“数据保护官”的设置是否满足这些种种,也要结合企业的实际情况进行判断。

这里再拿微软的“数据保护官”举个例子。为了保证独立履职和没有利益冲突,微软强调其“数据保护官”直接向微软的首席隐私官汇报。作为充分、适当履职的保障,“数据保护官”有权限调度微软的员工培训和客户服务资源。

2、谁需要“数据保护官” 

首先,GDPR 下的“控制者”或者“处理者”才需要操心这个问题。这个部分,如果需要回顾,可以参考文章《理清 GDPR 下的“控制者”和“处理者”》

如果企业是“控制者”或“处理者”,那么根据 GDPR 的规定,有以下两种情况,就必须设置“数据保护官”。

第一种核心行为中涉及对数据主体有规律的、系统的、大规模的监控;

第二种,核心行为中涉及到处理大规模的敏感个人数据,或者与刑事定罪和犯罪行为有关的数据。

不像人话吧?没关系,我们结合 WP29 小组的相关指南,给各位大佬掰扯掰扯上。

重点词:核心行为 

这里要分开理解两种情况。

第一种比较简单,企业的核心行为就是通过处理个人数据实现的。比如一家通过分析个人数据盈利的个人数据分析公司。

第二种稍微复杂一点,企业的核心行为并非处理个人数据,但是核心行为的实现与处理个

数据密不可分。这种情况下,个人数据处理也应该被看成这个企业的核心行为。

比如一家私立医院的核心行为,肯定是提供医疗服务,但是实际上如果不对患者的个人数据进行处理,也提供不好医疗服务。那么,处理数据行为也应该被视为这家医院的核心行为。

重点词:有规律、有系统的监控

根据 WP29 小组相关指南,很多种情况都可以被视作“有规律的监控”。比如,在给定时间范围内,持续或者根据一个特定频率发生的监控,重复发生固定次数的监控,以及持续的或者阶段性发生的监控等等。

“系统的监控”指的是根据某种系统发生的监控、提前安排好的、组织好的或者有方法论的,作为一个广泛的数据收集计划一部分的监控,或者作为某种策略的一部分的监控。说了这么多,反过来看,其实就是并非偶然或者意外发生的监控。

最近很流行的,健身可穿戴追踪设备(比如某米手环等)、行为分析广告推送啊、闭路电视监控啊,对个人数据都是“有规律的、系统的监控”。

重点词:大规模  

企业是否“涉嫌”“大规模”处理其实不太好界定。

处理一个国家、一个地区、一个行业的个人数据那肯定属于大规模。

处理一个人的个人数据,那肯定不属于大规模。

不过,大多数企业实际上落在两个极端中间。

小编个人认为关于这个点,WP29 小组的相关指南给出的参考因素实际上意义不大(无外乎从数量啊、占比啊、期限啊、覆盖的地域范围这些来判定)。不过指南给出的以下例子还是能给各位大佬一点感性认识的。

WP29 小组相关指南认为,一般达到医院、保险公司、银行、行为广告分析业务的广告平台等处理个人数据的规模,则很可能会被视作进行了大规模处理。

3、没有“数据保护官”会咋样  

首先,小编这里说的是根据 GDPR 规定,需要设置“数据保护官”的企业。

同时,光有“数据保护官”,应付了事也是不行的。小编在第一部分中提到的,对于“数据保护官”的种种要求,种种支持和种种保护都是含糊不得的。

大家知道,GDPR 向来不是吃素的。没有设置或者没有适当设置“数据保护官”的企业,可能最高被处以 1000 万欧元或者 2% 全球营收的罚款。

最后还是那句话,GDPR 合规无小事,各位大佬我们下期再见!

本文谨代表 APUS 研究院观点,并非正式法律意见。如有问题欢迎随时沟通。


文章信息来自于微信公号“APUS” ,不代表白鲸出海官方立场,内容仅供网友参考学习。对于因本网站内容所引起的纠纷、损失等,白鲸出海均不承担侵权行为的连带责任。如若转载请联系原出处

友情提醒:白鲸出海目前仅有微信群与QQ群,并无在Telegram等其他社交软件创建群,请白鲸的广大用户、合作伙伴警惕他人冒充我们,向您索要费用、骗取钱财!


分享文章

扫一扫 在手机阅读、分享本文

149936
{{votes}}
分享文章

扫一扫 在手机阅读、分享本文

149936
{{votes}}

要回复文章请先登录注册

与CEO聊合作

(备注姓名、公司及职位)