APUS研究院 | “数据保护官”都在忙什么？

开讲之前先补充一句上一期就该说的，“数据保护官”其实就是很多GDPR文章中都提到过的“DPO”，“数据保护官”和“DPO”是中文全称和英文缩写的关系。

上期小编给各位大佬介绍了什么是GDPR下的“数据保护官”，什么样的企业需要“数据保护官”，以及没有“数据保护官”会怎样。这期小编首次准备趁热打铁，再用一篇文章把“数据保护官”给各位大佬讲完。老规矩，读完这篇文章，小编希望各位大佬可以从以下几个方面了解“数据保护官”到底是干什么的：

全方位、全流程参与个人数据保护；

监控企业的GDPR合规情况；

风险基础方法； 

数据保护影响评估；以及

记录留存。

 #1 什么都要参与、越早参与越好 

职责开始前小编想先具体讨论一下，这么大一个企业，“数据保护官”应该在什么时间，什么场合出现？

GDPR第38条规定，“控制者”和“处理者”必须保证“数据保护官”适当且及时的介入所有与个人数据保护的有关事宜。

这里先从最好理解的“及时”说起。光看法条，似乎企业存在一个自行判断“数据保护官”介入时机的裁量权，只要保证是及时的就可以。但是看了WP29小组指南中的相关部分，小编发现，这个“及时”其实要直接理解成“尽早”，想要GDPR合规，拖延症真的要不得。

比如下面还要详细说明的“数据保护影响评估”（DPIA）工作中，GDPR法条明文规定，“数据保护官”越早介入越好。

而其他事宜虽然没有明文规定，但是WP29小组还是泛泛但坚决的表示，从开始阶段就咨询“数据保护官”的意见，可以促进企业的GDPR合规，贯彻“自设计开始合规”的保护理念，并且应被企业确立为标准的内部流程。

“适当”和“所有”相对抽象一些。WP29小组因此也没有针对“适当”和“所有”本身的内涵进行过多的阐释，而是从其一贯的风格，针对实践操作给出了一些意见。

企业应保证“数据保护官”：

经常被邀请参与中层和管理层的会议；

到场可能关涉到数据保护的决策的做出；

意见受到合理重视，如果意见相左，反对原因应书面记录，等等。

 #2 监控企业GDPR合规情况 

上期谈到过，“数据保护官”的主要任务，就是保证企业个人数据相关事宜符合GDPR的规定。

为了任务的实现，“数据保护官”一个重要职责是监控企业GDPR的合规情况。

WP29小组在指南中将该职责拆解成以下三个部分：

信息收集以确定企业的个人数据处理行为；

分析和核查处理行为的合规情况；以及

对企业进行通知、建议和推荐。

值得注意的是，WP29小组特意明文强调，虽说“数据保护官”有监控的职责，但是如果真的出现了不合规的情况，这个锅企业是甩不掉的，更不可能甩给“数据保护官”。这个问题，小编在本期结尾还会再多谈几句。

如果还觉着WP29小组的讲解不够落地的话，老规矩，各位大佬看看底下的小框框。

一般来说，监控职责还包括以下具体工作：

 监控数据管理的流程和合规；

参与经理级别会议，保证各项目“自设计开始”的合规；

撰写并更新企业内部数据保护具体政策；

内部审查并决定是否需要更新企业内部流程从而合规；

对员工进行GDPR合规培训；

跟踪法规变化并相应向企业提出合规建议。

 #3 风险基础方法 

“数据保护官”的时间、精力和资源总是有限的，因此GDPR和WP29小组特别要求“数据保护官”在履行职责时采取“风险基础方法”。

“风险基础方法”从更高的层面上来说也是GDPR企业合规义务设置的思路。

含义很简单，就是风险越高的越优先处理，越投入更多的资源去认真对待，风险低的优先级相应调低。

在了解了“风险基础方法”的含义后，小编还是想再给各位大佬强调一下，风险基础方法的前提是“数据保护官”的时间、精力和资源总是有限的。在安排工作时，千万不要将风险小的行为直接忽略掉，正确的做法是调低其优先级，和投入相应的资源。

具体来说，如下“数据保护官”工作场景涉及到风险基础方法的使用。

WP29小组中指南中提到，“数据保护官”决定某一事项是否应该进行“数据保护影响评估”时，应该采取风险基础方法。此外还应就公司的某一领域是否应该接受审查，是否应对负责数据处理的管理人员和员工是否应该接受GDPR培训，是否应重点关注某一数据处理行为等决定的做出采取风险基础方法。

 #4  数据保护影响评估 

参与“数据保护影响评估”，是“数据保护官”工作的重头戏。

“数据保护影响评估”，是“控制者”，也就是企业自身，发起的行为，旨在（1）描述某一数据处理行为、（2）评估该行为的必要性和合比例性以及（3）帮助企业管理因处理行为产生的自然人权利和自由的风险。“数据保护影响评估”，是GDPR针对高风险处理行为要求企业采取的重要的合规手段。

篇幅有限，小编这里这里不会展开谈评估本身，而是重点关注“数据保护官”在这一企业行为中扮演的角色和需要履行的具体工作。

“数据保护官”介入评估的基础逻辑是GDPR规定的“从设计阶段开始”保护的理念，具体的工作方法论就是上文提到的“风险基础方法”。

从基础逻辑出发，GDPR要求企业在决策是否进行 “数据保护影响评估”时，必须征求数据保护官的意见。反过来，GDPR规定，在被征求意见时，“数据保护官”也必须发表意见。

征求意见时，应至少涵盖以下具体问题：

是否进行评估；

评估时应采取的具体方法论（methodology）；

应由公司自行评估，还是应该外包；

应采取何种安全措施降低任何有关数据主体权利和自由的风险；

评估是否正确进行，并且取得了GDPR合规的结论。

 #5  记录留存 

遵循WP29小组的编排方式，给记录留存职责单辟一个部分出来。

上文也提到，“数据保护官”需要监控企业GDPR合规情况，因此其职责中包括留存相关的记录也是合乎逻辑的。

记录本身的重要性不言而喻。一方面，“数据保护官”可以通过记录了解和掌握企业的合规情况，也可以根据记录更有效的对于企业提出有针对性的合规建议和推荐。另一方面，在发生数据安全事件或者其他相关场合时，企业或者相应的数据保护机关也可以有资料对于企业整体的数据保护情况做出一个清晰的评估。

“数据保护官”最常见的记录方式就是制作数据库存盘点（data inventory）或者数据流转图（data map）。下图是一个比较常见的数据库存盘点的截图：

 尾声 

花了两期时间，小编把个人认为“数据保护官”比较重要的点就给各位大佬讲完了。当然，实践中进行相应的决策或者内部人员调整一定会碰到各种各样的问题，小编非常欢迎各位大佬进行留言互动，小编一定会认真回复哒！

这里还想唠叨一句。请各位大佬一定要理解 “数据保护官”的合规逻辑。“数据保护官”不是一个专门用来给企业背锅的角色，但是设置“数据保护官”本身，是相关数据保护机关在考量相关企业GDPR合规程度时一个非常重要的因素。另外，如果认真遵循GDPR的规定，相信“数据保护官”也一定会在企业个人数据保护工作中做出重要的贡献。

最后还是那句老话，GDPR合规无小事，各位大佬我们下期再见！

（本文谨代表APUS研究院观点，并非正式法律意见。如有问题欢迎随时沟通。）

APUS研究院

APUS旗下专注于全球互联网发展研究的智库平台，是面向未来移动互联网创新变革的孵化器及加速器。