欧盟《通用数据保护条例(“GDPR”)》要求成规模处理数据的企业必须设立“数据保护官(Data protection officer)”一职承担与数据保护有关的职责。GDPR对该职位的性质和职责进行了归纳和梳理,今天我们就来看看该职位的职责有哪些。
A. GDPR项下数据保护官的职责
(1). 合理解答数据搜集对象就自己被搜集信息提出的相关问题;
(2). 对企业里的数据处理人员提出意见和建议,保证他们的数据处理行为符合本法的相关规定;
(3). 实时跟进本法和其它欧盟数据法律的制定和修改,保证本企业的数据处理工作符合相关法律的要求。这至少包括了三个方面的工作:为各个环节的数据处理者划分具体的责任,提高企业整体的数据保护意识以及相关的员工培训;
(4). 对数据保护影响评估报告(data protection impact assessment)提出建议和意见,并跟进和监管评估的实施。
数据保护影响评估报告:当企业运用了某种新的数据处理技术而且综合考虑数据内容,处理目的等要素后,认为该处理活动很可能危及个人权利和自由,那么该企业就需要向监管机关提交这一报告。具体来说,如果企业的数据活动涉及较大规模的自动化决策或画像机制,大量处理个人敏感数据或者监控向公众开放的领域,则这一报告是必须提交的。
数据官应当保证该报告包含了下列内容:对于数据处理行为进行系统性描述,说明数据处理的合理目的;说明为达成这一合理目的,该数据处理活动的必要性是如何体现的;该数据处理活动对搜集对象的那些权利构成了威胁,如何防范;企业采取了哪些措施来保证该数据处理活动符合本法的要求。
另外,数据官应当就有关该报告的下列问题提出自己的意见:1.是否需要制作报告;2. 报告的逻辑结构;3. 起草该报告是否需要外部专业人士的协助;4. 施行何种措施以防范和降低侵犯风险,保护数据对象的权益;5. 报告是否有正确的说理和结论。
同时,数据官应当实时监控上述防范措施是否得到执行,关注企业的运行,根据新的运行情况及时调整该报告的内容。
(5). 与监管机构合作。负责对接监管机构处理数据合规方面的一切问题。尤其是事前咨询事项。
事前咨询:如果监管机构认为在上述第四点中的《数据保护影响评估报告》中,企业没有明确描述数据对象可能遇到的风险,没有提出可行的防范措施,那么在处理数据之前,企业应该书面咨询监管机构该处理的可行性,该咨询文件的内容包括各个数据处理者的责任,数据处理活动的方法和目的,企业采取的针对性保护措施的内容,数据保护官的职责,等等。并附上《数据保护影响评估报告》。
另外,综合各个欧盟相关的数据立法,如《数据保护官选任指导》(Guidelines on Data Protection Officers (‘DPOs’) ),数据保护官有着这样一些任职标准:
1. 其必须居住在欧盟境内,除非有证据表面居住在境外能更好的履行职责;2. 其必须有资格参加公司中层例会及高层数据议题相关的会议;3. 所有关于数据方面的公司决定必须经数据保护官的建议而后执行;4. 公司必须重视数据保护官的意见和建议,若公司决定不遵循相关的意见和建议,公司将说明不遵循的理由并且明确记录在案;
B. 关于数据处理者(企业及其员工)和数据保护官的职责划分
我们观察到这样一个现象:GDPR项下的规定给数据处理者设定了大量的具体义务。而数据保护官有责任去监管这些义务的落实。那么,当这些义务和责任没有被落实的时候,数据保护官需要承担怎样的责任呢?对于这个问题,监管机构出台过指导意见,给出明确说明:即使GDPR为数据保护官设定了监管义务,数据保护官无需就数据处理者违反本法规定的行为承担连带责任或者个人责任。该责任仍然由数据处理者自己承担。
对于数据存贮义务,监管机构也持相似的态度:数据处理相关信息和记录的存储是数据处理者的义务,数据保护官并不需要对此承担个人责任;但是,监管机构强调,数据处理者有权将数据处理信息的存储作为一项工作任务分配给数据官。一方面,这种做法给数据官提供了大量资料和信息,有助于数据官监管工作的开展,并基于此提出更完善的建议;另一方面,这也为数据处理活动的信息存储提供了更多保障。
综上所述,我们可以看到,数据保护官的职责十分的庞杂,需要十分丰富的法律专业知识和对细节的把控来为企业的数据处理工作保驾护航。数据保护官既可以是公司职员也可以是外部人士,但是GDPR对该职位的独立性有一定的要求,因此在现阶段,无论从实际功能的角度还是从企业成本方面考量,选择一个专业的数据保护律师协助公司的数据保护工作显然是公司更明智的选择。
