来与GDPR下的“数据保护官”说个Hi！

这两天小编正在愁文章选题，隔壁在欧洲开公司的王老板突然过来问小编，知不知道“数据保护官”（Data Protection Officer）是干啥的。小编问他咋回事儿，王老板就说，有人跟他说欧洲做买卖需要雇一个。小编顿时豁然开朗，本期文章就给大家聊一聊“数据保护官”的事情。小编这篇文章只从企业的角度出发。老规矩，小编希望各位大佬在读完本文后可以了解：

啥是“数据保护官”；

什么样的公司需要有“数据保护官”；以及

没有“数据保护官”会有什么后果。

 #1  啥是“数据保护官” 

“数据保护官”的主要任务，就是保证其所服务的组织，对于其员工、顾客、供应商以及其他任何人（这些个人即GDPR下的“数据主体”）的个人数据的处理，符合适用的数据保护（比如GDPR）规定。

为了确保“数据保护官”有搞定这个主要任务的能力，GDPR要求，每个企业的“数据保护官”都应该：

有符合这个企业数据处理实际情况（确定因素包括数据的敏感度、复杂程度、数量等）的

专业程度（Expertise level）、专业知识（比如数据保护知识和对于企业数据处理行为的理解等） 以及其他工作能力（比如沟通能力、职业伦理等）。

拿微软的“数据保护官”举个例子。至少具有七年以上的数据保护经验，或者十年以上的有关数据保护、安全和企业风险管理经验的人才可能被微软考虑作为候选人。此外，微软还要求候选人必须具有国际数据保护法律和实践的专业度。

小编也注意到，也有国家通过立法，鼓励数据保护机构组织对于“数据保护官”的资质认证，比如法国。不过至少在法国，这种认证是针对个人并且自愿进行的，而并非不进行认证就不能担任“数据保护官”。

“数据保护官”的具体形式是很灵活的，一个人、一队人、一家公司、一个组织都可以。同时，既可以从公司内部任命，也可以从公司外部选任。如果 “数据保护官”由多人组成，WP29小组的有关指南中提到一定要做好内部的职责分配，并明确一个人作为联系人，保证企业内部和有关的数据主体能及时联系到“数据保护官”。

还有一种特殊情况，在能够保证充分、适当履职的情况下，集团公司是可以只在集团层面设置一个“数据保护官”覆盖全集团。

为了使“数据保护官”可以充分和适当的履职，GDPR对“数据保护官”做出了不能有利益冲突的限制，又规定了“独立履职”和“免于因履职遭受处罚乃至解雇”等形式的保护。此外，企业还应该给“数据保护官”提供充分的资源保障，并合理的确定以及公开“数据保护官”的联系方式。凡此种种在WP29的相关指南等相关资料中都有进一步的阐释，企业“数据保护官”的设置是否满足这些种种也要结合企业的实际情况进行判断。

这里再拿微软的“数据保护官”举个例子。为了保证独立履职和没有利益冲突，微软强调其“数据保护官”直接向微软的首席隐私官汇报。作为充分、适当履职的保障，“数据保护官”有权限调度微软的员工培训和客户服务资源。

 #2谁需要“数据保护官” 

首先，GDPR下的“控制者”或者“处理者”才需要操心这个问题。如果哪位大佬这部分需要补补课，可以看看咱们研究院出品的GDPR实战指南十七，《一篇文章理清GDPR下的“控制者”和“处理者”》。

如果企业是“控制者”或“处理者”，那么根据GDPR的规定，有以下两种情况，就必须设置“数据保护官”。

核心行为中涉及对数据主体有规律的、系统的、大规模的监控；

核心行为中涉及到处理大规模的敏感个人数据，或者与刑事定罪和犯罪行为有关的数据。

不像人话吧，没事，就让小编结合WP29小组的相关指南给各位大佬掰扯掰扯上面一看就很关键的红字哈。

# 核心行为 

这里要分开理解两种情况。

第一种比较简单，企业的核心行为就是通过处理个人数据实现的。比如一家通过分析个人数据盈利的个人数据分析公司。

第二种稍微复杂一点，企业的核心行为并非处理个人数据，但是核心行为的实现与处理个人数据密不可分。这种情况下，个人数据处理也应该被看成这个企业的核心行为。

比如一家私立医院的核心行为肯定是提供医疗服务，但是实际上如果不对患者的个人数据进行处理，也提供不好医疗服务。那么，处理数据行为也应该被视为这家医院的核心行为。

#有规律的、系统的监控

根据WP29小组相关指南，很多种情况都可以被视作“有规律的监控”。比如在给定时间范围内持续的或者根据一个特定频率发生的监控，重复发生固定次数的监控，以及持续的或者阶段性发生的监控等等。

“系统的监控”指的是根据某种系统发生的监控、提前安排好的、组织好的或者有方法论的，作为一个广泛的数据收集计划一部分的监控，或者作为某种策略的一部分的监控。说了这么多，反过来看，其实就是并非偶然或者意外发生的监控。

最近很流行的，健身可穿戴追踪设备（比如某米手环等）、行为分析广告推送啊、闭路电视监控啊，对个人数据都是“有规律的、系统的监控”。

#大规模  

企业是否“涉嫌”“大规模”处理其实不太好界定。

处理一个国家、一个地区、一个行业的个人数据那肯定属于大规模。

处理一个人的个人数据，那肯定不属于大规模。

不过，大多数企业实际上落在两个极端中间。

小编个人认为关于这个点，WP29小组的相关指南给出的参考因素实际上意义不大（无外乎从数量啊、占比啊、期限啊、覆盖的地域范围这些来判定）。不过指南给出的以下例子还是能给各位大佬一点感性认识的。

WP29小组相关指南认为，一般达到医院、保险公司、银行、行为广告分析业务的广告平台等处理个人数据的规模，则很可能会被视作进行了大规模处理。

  #3 没有“数据保护官”会咋样  

首先，小编这里说的是根据GDPR规定，需要设置“数据保护官”的企业。

同时，光有“数据保护官”，但应付了事也是不行的。小编在第一部分中提到的对于“数据保护官”的种种要求，种种支持和种种保护都不能含糊。

看过咱们研究院之前文章的大佬一定清楚，GDPR从来不吃素。没有设置或者没有适当设置“数据保护官”提供的企业，可能最高被处以1000万欧元或者2%全球营收的罚款。

截止发稿日，小编尚未检索到现实中的案例可以供各位大佬参考。

  尾 声  

小编在这篇文章中没有写的是，根据GDPR的规定，“数据保护官”到底都负责哪些工作，开头提到的那个主要任务，应该如何具体展开。如果哪位大佬感兴趣，小编找个机会写一下（小编知道自己其实Flag已经立了好几根，其实是在暗示各位大佬积极的给小编留言互动啦）！

最后还是那句话，GDPR合规无小事，各位大佬我们下期再见！

（本文谨代表APUS研究院观点，并非正式法律意见。如有问题欢迎随时沟通。）

APUS研究院

APUS旗下专注于全球互联网发展研究的智库平台，是面向未来移动互联网创新变革的孵化器及加速器。