查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
欧盟《通用数据保护条例》(GDPR)实务指引(4/4)
【作者】 邓志松;戴健民【合作机构】 北京大成律师事务所
【中文关键词】 通用数据保护条例;欧盟投资;法律保护【主题分类】 互联网法律
【发布时间】 2018.06.13
【全文】法宝引证码CLI.A.226830    
  导读:
  于2018年5月25日生效的GDPR对企业的数据保护义务提出了全新的监管要求,将对中国企业在欧盟市场的投资、销售和运营产生显著影响,并成为中国企业必须直面的重大法律障碍。大成数据保护团队的欧盟与中国律师联合推出系列原创文章,以协助中国企业从实务角度理解和遵从GDPR,并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。
  数据保护官
  引言
  数据保护官(Data Protection Officer,“DPO”)是指监督组织机构内部个人数据处理的自然人。DPO也因此可以被视为“内部监督员”。
  根据《通用数据保护条例》(General Data Protection Regulation, the “GDPR”)规定,部分组织机构有义务设立DPO。而根据《荷兰数据保护法》(Dutch Data Protection Act, the “DPA”)规定,DPO的任命并不是强制性的:“控制者可选择设立自己的DPO”。
  GDPR就DPO的任命提供了详细指引。依照GDPR,从2018年5月25日起,包括数据控制者和处理者在内的部分组织机构必须设立DPO。从GDPR正式施行之日起,DPO将成为这些组织机构内部隐私合规方面的核心人物。DPO将监督组织机构内部对GDPR的遵守情况,并应担任包括数据主体和相关监管机构等利益相关方的联络人。
  需设立DPO的情形
  根据GDPR规定,如存在以下情况,相关组织机构有义务设立DPO:
  1.数据处理是由以司法身份行事的法院以外的公共机构或机关主导的;
  2.根据其性质、营业范围或目的,数据控制者或数据处理者的核心业务,需要对数据主体定期进行大规模系统监控的处理操作;
  3.控制者或处理者的核心业务包括对诸如与健康有关的个人数据的特殊类别数据或与刑事定罪和犯罪有关的个人数据进行大规模处理的部分。
  GDPR中b项和c项的规定只包含一些抽象的概念,而没有明确的标准。第29条数据保护工作组(The Article 29 Data Protection Working Party,“第29条工作组”),是一个独立的欧洲顾问机构,该机构发布了一些有关DPO的指引,则包含有对以下这些抽象概念的解释:
  “核心业务”这一概念是指相关组织机构的主要工作内容,即实现其目标所必需的关键性操作。核心业务不包括支持性活动,如员工薪酬管理或正常的IT支持。
  就“大规模处理”而言,该指引并未提供具体的数量标准。但是,在判断某一数据处理是否属于大规模处理时,有几个考量因素。这些因素包括所涉及的数据主体的人数、数据总量、处理活动的持续时间以及处理活动的地域范围。
  “定期系统监控”指在任何情形下所进行的所有形式的互联网上的跟踪和侧写,包括出于行为广告目的的跟踪和侧写。但是,应该注意的是,定期系统监控不限于网络环境。第29条工作组将“定期”解释为以下一种或多种情况:(i)在特定期间内以特定时间间隔持续进行或发生;(ii)在固定时间内重复发生或反复发生;(iii)持续或定期发生。第29条工作组将“系统”解释为以下一种或多种情况:(i)依系统发生;(ii)预先安排、组织或有条不紊;(iii)作为数据收集总体计划的一部分发生;(iv)作为战略的一部分进行。
  从根本上来说,设立DPO是组织机构自身的责任。除非事先明确某一组织机构没有设立DPO的义务,否则,考虑到GDPR中的合规义务,若一个组织机构决定不设立DPO,我们建议其记录与该决定有关的内部评估。
  组织机构在自愿的基础上得以不受限制地设立DPO。但如果一个组织机构主动设立DPO,那么该DPO的任命、权利和职责亦应符合强制性设定规定。在这种情况下,该组织机构可考虑聘请外部数据保护顾问,而非设立DPO。
  企业集团内部任命DPO
  一个企业集团可以设立单一DPO,但要确保各营业机关与DPO之间的联系畅通。此外,值得各组织机构注意的是,DPO还应与地方监管机构以及内部外部的数据主体保持有效合作和联系。第29条工作组建议将DPO的工作地点安排在欧盟境内,但这并不是强制性的,存在数据控制者位于欧盟境外的情形。
  在实践中,“联系畅通”是指DPO的联系方式在组织机构内部应该广为人知,以确保包括员工在内的人员能够直接私下联系DPO,而不必寻求该员工上级主管帮助。各组织机构亦可考虑在其内部网络和其官方网站上公布DPO的联系方式。
  此外,与DPO的“联系畅通”还有另外一层意思,它要求与DPO的沟通交流必须以监管机构和所涉及的数据主体使用的一种或多种语言进行。但这并不一定意味着DPO必须掌握所有欧盟成员国语言,只要相关团队可以协助数据主体和监管机构用其自己的语言联系DPO即可。值得注意的是,在这种情况下,DPO一般无需立即作出回应,而可以在合理期限内回应监管机构和数据主体的请求。
  DPO的专业素养
  DPO必须具备特定的专业素养,尤其是数据保护法律和实践方面的专业知识和履行职责的能力。但如果数据处理活动特别复杂,涉及大量敏感数据,或存在数据被传输到多个非欧盟国家的情形,则可能要求DPO具备更高水平的专业知识。此外,DPO对其所在的市场部门及组织机构必须有充分的了解。
  DPO在组织机构内部的地位
  相关组织机构必须确保DPO能够独立履行其职责和义务。DPO受聘于数据控制者或数据处理者这一事实不得影响其独立地位。DPO既可由组织机构内部工作人员担任,也可由诸如根据服务合同履行其职责的外部顾问担任。
  此外

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.226830      关注法宝动态: