gdpr规范中涉及的角色（一文读懂GDPR规则下的数据保护官）

gdpr规范中涉及的角色（一文读懂GDPR规则下的数据保护官）1、 公权力机构处理数据的（法院行使司法权除外）；根据GDPR37条，被监管主体符合以下情况，必须指定DPO：需要说明的，根据GDPR，即使你现在经营的中国公司并不在欧洲，并且在欧洲也没有分支机构，但如果你提供的产品与服务（APP、网站或远程设备）延伸到了欧洲，收集并处理了欧洲自然人的数据，那你的公司就也需要遵守GDPR。如果你的公司只在中国大陆经营，根据《网络安全法》第21规定，网络运营者应当按照网络安全等级保护制度的要求，制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。而网络安全负责人某种程度上类似DPO。在中国，与我们朝夕相处的腾讯早已宣布QQ国际版将于今年5月20日后停止在欧盟的服务。而在全球范围来看，86%的受访企业担心其或无法满足GDPR的合规性要求，甚至有近20%的企业认为有可能彻底退出欧洲市场。

如果你是一名律师或法务，并且对现在的工作不满意。那恭喜你，你火了!现在就有一份称（gao）心（xin）如（yang）意（lian）的工作摆在你的面前，它的名字叫DPO（Data Protection Officergaoxinyanglian），中文翻译："数据保护官"。

自进入2018年之后，无数从事互联网、资讯、医疗、数据和广告媒体的公司CEO都意识到一点，GDPR离我们只有不到几个月了。 准确的讲，只有两个星期。从美国马萨诸塞州的电话招聘公司，到德国的大数据公司，到中国互联网界大小独角兽们，大家都似乎只在忙着一件事，研究GDPR并饥渴的搜寻数据保护官。 "每个人都在寻找一个DPO，"Simplaex（一家专注于在线支付处理的金融科技公司）首席执行官杰夫里范埃德德说，"我需要准备一些现金，当有人试图挖走我的DPO，这样我就可以留住他。"

一、 为什么要设DPO？

依照GDPR，从2018年5月25日起，包括数据控制者和处理者在内的部分组织机构必须设立DPO，DPO将从内部监督组织机构遵守GDPR，并在数据主体和监管机构等利益相关方之间担任信息联络人。

需要说明的，根据GDPR，即使你现在经营的中国公司并不在欧洲，并且在欧洲也没有分支机构，但如果你提供的产品与服务（APP、网站或远程设备）延伸到了欧洲，收集并处理了欧洲自然人的数据，那你的公司就也需要遵守GDPR。

如果你的公司只在中国大陆经营，根据《网络安全法》第21规定，网络运营者应当按照网络安全等级保护制度的要求，制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。而网络安全负责人某种程度上类似DPO。

在中国，与我们朝夕相处的腾讯早已宣布QQ国际版将于今年5月20日后停止在欧盟的服务。而在全球范围来看，86%的受访企业担心其或无法满足GDPR的合规性要求，甚至有近20%的企业认为有可能彻底退出欧洲市场。

二、什么情况下需要设DPO？

根据GDPR37条，被监管主体符合以下情况，必须指定DPO：

1、 公权力机构处理数据的（法院行使司法权除外）；

2、 根据企业性质、营业范围和商业目的，企业的核心业务涉及对数据主体进行定期大规模、系统性的监控（包括所有形式的互联网上的跟踪、分析和预测，如在线行为跟踪）。核心业务是指实现其目标所必需的关键性操作；

3、 机构大规模处理敏感数据（如基因数据、生物特征数据、性生活或性取向数据等）或犯罪数据。其大规模处理的考虑因素包括所涉及的数据主体的人数、数据总量、处理活动的持续时间以及处理活动的地域范围。敏感数据包括如基因数据、生物特征数据、性生活或性取向数据等。

此外需要注意的是，在GDPR规定之下的欧盟成员国会有对DPO更严格的规定，比如德国的数据保护法案(Data Protection Act)的第4f条的规定，"自动收集、处理和使用个人数据的公共机构和私法主体应书面任命一名数据保护官。私法主体应在其开业1个月内任命此官员。如以其他方法处理个人数据并且至少20人为此目的被长期雇佣，则同样适用此规定"。

对于均不符合上述规定的企业来说， GDPR仍要求企业必须确保有足够的人员和技能来履行GDPR下的义务。意思是，可以不专门设置岗位，但GDPR的义务仍要遵守。

三、DPO的责任有哪些？

根据GDPR第39条规定，DPO的主要职责如下：

1、 向企业、企业员工提供GDPR数据保护方面的信息、建议；

2、 针对数据处理活动参与人员进行培训，提高企业及员工的合规意识；

3、 监督企业是否遵守GDPR合规要求和数据保护政策，参与责任分配；

4、 参与企业数据保护影响评估(DPIAs) 和监督隐私影响评估执行活动；

5、 与欧洲GDPR监管部门进行沟通和联系，负责数据外泄的紧急汇报；

6、 负责与数据主体进行沟通和联系，协助数据主体实现其数据权利；

7、 在履行职责过程遵守应受保密义务；

8、 执行和定期更新处理活动的法定记录制度等职责（企业自愿增设项）。

四、DPO有哪些权利和特权？

1、 DPO能够接触到企业所处理的个人数据和处理活动；

2、 DPO不应是短期合同员工；

3、 DPO可负责管理自己的预算；

4、 DPO有权向机构最高管理层报告工作，包括与董事会层面；

5、 DPO独立客观履行工作职责，在其职责范围内不受雇主行政命令的影响和干预；

6、 不因履行其数据保护职责而被各组织机构予以解雇或处罚；

7、 企业应对DPO独立履行职责提供必要资源、政策、制度协助。

需要注意的是，根据W29对GDPR的解读，企业可以不接受和不执行DPO的建议，但需要详细记录未接受和未执行的原因。

五、DPO有什么任职资格或要求？

GDPR并未要求DPO必须拥有比如律师等某项明确资质，但其大体要求如下：

1、 DPO应具有数据保护法（GDPR）的专业经验和知识，有能力建立和管理企业的数据保护和数据合规工作；

2、 DPO需要对其所在的企业部门和组织机构有充分的了解；

3、 DPO不应存在与其独立履职可能产生利益冲突的情形（如CEO、COO、CFO、市场总监、HR总监、IT总监等）；

4、 对隐私保护、安全保护以及必要的技术知识有相当的经验和能力；

5、 原则上讲，当数据保护和数据合规情况越复杂（如数据涉及传输至多个非欧盟国家），则对DPO的专业水平要求越高。

6、 由于与DPO需要与监管机构进行沟通，其需要自身掌握或在团队协助下拥有必要的沟通语言能力。

六、企业需要有几名DPO，能不能兼职或外包？

1、DPO可以由企业从内部予以委任，也可以从外部聘任。

2、如果企业从外部聘任DPO，则DPO需要同企业签订服务协议。

3、企业集团可以设立单一DPO，但应确保各集团企业与DPO间能畅通联系。

4、一名专业人士也可担任多家企业DPO（跨组织共享），但应在DPO能保证提供及时、尽责的服务的前提下；

5、GDPR鼓励组织机构根据自身的数据组成和规模，指定一名或多名DPO。

七、截至目前，有哪些企业已经设置了DPO

据不完全统计，国内的360公司、蚂蚁金服，美国的翰德国际、CGI集团 、希尔顿酒店都设置了与DPO类似的职位。在欧洲则更普遍，包括英国的里德公司、米高蒲志、Norwood、Swinton Group Ltd(SG)和政府单位UK Home Office。

八、 不设做DPO有什么法律责任？

按照GDPR规定，应该设立DPO却未设立的企业属于违规，将面临最高1000万欧元或企业全球年营业额2%的处罚（两者取高值）。

作者∣陈德志，锦天城律所资深律师，上海市律师协会证券业务研究委委员，从事公司证券行业近十年，主要执业领域为境内外上市、并购重组、企业投融资及企业合规。