欧洲联盟(简称“欧盟”)《通用数据保护条例》(GeneralDataProtec-tionRegulation,GDPR)于2018年5月25日生效,对企业收集、控制和处理个人数据的方式产生了深远影响。而且,并非位于欧盟的企业才会受到影响,事实上,任何与欧盟监管下的客户进行的业务,都需要遵守GDPR。如果违反GDPR企业将面临可高达2千万欧元或全球年营业额的4%的巨额罚款。
伴随着GDPR的实施,组织内应该根据具体职能配备相应的角色,包括数据控制者(DataController)、数据处理者(DataProcessor)以及数据保护官(DataProtectionOfficer,DPO)。
其中数据控制者定义了个人数据的处理方式和目的,此外,控制者还负责确保外部承包商能够遵守相关规定。数据处理者(DataProcessor)可以是维护和处理个人数据记录的内部团体(如业务分析师或开发商的直接雇员),也可以是执行全部或部分这些活动的任何外部服务提供商(如信用评级机构等)。
此外,最重要的是GDPR还要求指定1名数据保护官(DPO)来监管数据安全策略和GDPR合规性。核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定1名DPO。DPO主要负责就GDPR规定提供咨询意见,向最高管理
层报告。
中国企业需要设置DPO吗?
2018年5月25日正式实施的欧盟GDPR法案,提出了设置DPO的要求。
我们不要认为欧盟GDPR和中国企业没有什么关系,即使企业不在欧盟内,但如果在向欧盟内的个人提供商品和服务的过程中处理了欧盟居民的个人数据,或监测了在欧盟实施的个人行为,企业就会受GDPR约束。尽管中国有关个人信息保护方面的专门立法暂未生效,但已经公布实施的《网络安全法》和2018年5月1日正式实施的国家标准GB/T35273—2017«信息安全技术个人信息安全规范»(简称«个人信息安全规范»),分别提出了设置“网络安全负责人”“个人信息保护负责人”的要求。
DPO的职责
根据欧盟GDPR数据保护工作组2016年12月发布的《数据保护官指弓I》(简称《指引》),DPO的任务和职责包括:向数据控制者、处理者及负责数据处理的员工做出有关通知和建议;确保、监控企业活动的合规性;提出建议并监控数据保护影响评估;协助监管机构的工作,并担任指定联络人;负责风险管控工作等。DPO需要具备专业知识和技能。DPO必须有理解数据保护和信息安全方面的法律知识,且有能力指导企业在整个信息生命周期处理包括收集、使用、存储、清理等方面的具体问题。GD¬PR第37条明确要求DPO需要“有数据保护法律与实践的专业知识,且有能力完成第39条项下的职责”。