您什么时候需要数据保护官?

GDPR 2021年08月04日

欧盟通用数据保护条例 2016/679 或“GDPR”告诉我们组织何时应该拥有“数据保护官”(DPO)、他们在组织中的职位以及他们应该负责的数据保护任务。 即使英国现在已经离开欧盟,GDPR 规则仍然适用。 在本文中,我们将探讨这些要求中的每一个,了解它们对组织的适用性,并回答有关数据保护官角色的最常见问题。

什么是数据保护官?


数据保护官帮助组织履行与处理和处理个人数据有关的监管义务。考虑到组织在未安全管理数据时面临严重声誉损害的风险,DPO 的角色在当今的商业环境中变得越来越重要。


我的企业需要 DPO 吗?


GDPR 第 37 条规定了必须任命 DPO 的三个领域,这适用于数据控制者和数据处理者。如果您是公共机构或公共机构,则第一个适用。其次,如果您的业务活动包括对个人的大规模系统监控,例如活动或行为监控,可能使用算法用于广告目的,则您将需要 DPO。最后,如果您的组织进行大规模的个人数据“特殊类别”处理(根据 GDPR 第 9 条)或处理与刑事犯罪和定罪有关的数据,您同样需要证明您有 DPO 在职。

请注意,即使这些条件不适用于您的组织,您仍然有义务提供适当的人员和资源来提供您的数据保护框架。如果您决定自愿任命一名 DPO,您应该意识到这与您被要求任命一名作为强制性要求承担相同的责任。在这方面,较小的组织通常会考虑为该角色使用其他职位。


DPO 负责什么?


DPO 有明确定义的责任,帮助其组织及其员工了解并遵守 GDPR 和相关数据保护义务。他们的典型活动包括:

  • 提供数据保护培训

  • 对处理个人数据的活动进行内部审计

  • 审查数据保护影响评估(根据 GDPR 第 35 条)

  • 作为信息专员办公室 (ICO) 和任何希望查询其个人数据处理情况的数据主体的指定联系人

  • 可用于协调可能发生的任何个人数据泄露的识别和报告。

值得考虑的是,虽然 DPO 负责就如何遵守 GDPR 并满足其特定要求向其业务领导提供建议,但这些高级人员仍有责任了解和实施 DPO 传达的事项。因此,数据保护官通常向最高管理层报告,并且该角色期望组织的合作(无论企业是数据控制者还是数据处理者)。虽然数据保护官可能在组织内有其他职责,但应注意确保他们不会干扰他们完成 DPO 任务的能力。


谁可以成为 DPO?


第 37 条进一步说明,职位持有人应为具有数据保护法专业知识并能完成 GDPR 第 39 条规定任务的专业人员。因此,DPO 很可能能够证明 GDPR 方面的全面培训,并拥有专业的方法,使他们能够在组织内的各个级别进行清晰的沟通和建议。一个重要的属性是风险管理经验,这将使他们能够优先处理专注于高风险数据处理活动的任务,或者与个人数据泄露等相关的风险会造成最大损害的任务。

风险评估将使 DPO 能够更深入地了解个人数据处理活动的充分性和安全性,特别是在涉及处理特殊类别数据(例如审查健康保险保单持有人的医疗状况)或刑事犯罪和定罪的操作中(例如监察罪犯的日常活动)。有经验的 DPO 会考虑诸如涉及的数据主体数量、正在处理的个人数据量、处理活动的永久或临时性质以及与处理相关的可能风险的评估等因素。


慈善机构需要数据保护官吗?


一个常见的关注领域是注册慈善机构是否需要任命一名数据保护官。这里的主要考虑是慈善机构的活动是否包括第 37 条(上文已审查)定义的个人数据处理活动。尽管许多慈善机构不会满足这一要求,但慈善委员会指出,拥有 DPO “是可取的”。但是,合格的 DPO 不会是低成本的雇用,许多慈善机构已经考虑聘请外部 DPO 的服务,该外部 DPO 可能是兼职或按需提供的,并且可能独立代表许多无法承诺的组织全职资源。无论采用何种参与模式,每个慈善机构都有责任招募、选择和管理 DPO(如果需要),他们可以依靠该 DPO 为他们提供及时、适当和负责任的 GDPR 合规指导。


结论


无论您对 DPO 有强制性要求、选择自愿任命,还是依赖于不同职位的经验丰富的个人,他们在数据保护立法方面的经验以及如何在您的企业中实施都将提供显着提高您对 GDPR 的遵守程度。

为了帮助企业完成 GDPR 之旅,我们提供了一个在线 GDPR 知识和意识课程,仅需 49 英镑 + 增值税。


返回所有文章


留言