欧盟通用数据保护条例中的数据保护官制度论文

欧盟通用数据保护条例中的数据保护官制度论文

欧盟通用数据保护条例中的数据保护官制度

刘江山

(对外经济贸易大学法学院,北京 100029)

摘 要: 数据保护官是起源于欧洲的一项保护个人数据的制度。2018年5月,欧盟颁布的 《通用数据保护条例》 (GDPR)将该制度上升为适用欧盟所有成员国的法律,甚至在一定程度上具有域外效力。中国与欧盟的经贸关系联系密切,数据保护官制度对从事中欧贸易与投资的企业会产生诸多影响。因此,什么样的企业需要聘任数据保护官?对数据保护官有什么样的专业能力要求?数据保护官履行工作时,GDPR提供了什么样的保障?数据保护官的工作内容有哪些?这些问题有必要进行深入研究,以便有效提高中国企业在欧盟的数据保护的合规性。

关键词: 通用数据保护条例;数据保护官;数据;独立性

2018年5月25日,欧盟 《通用数据保护条例》 (General Data Protection Regulation,GDPR)开始正式实施,取代之前由成员国选择适用的欧盟 《数据保护令》,适用于全体欧盟成员国,标志着欧盟对个人数据和个人隐私的保护进入新时代。欧盟是中国最大的贸易伙伴,双边经贸合作发展极为迅速。中国的电信、金融、公共服务、基础设施、电商、互联网等企业在欧洲有相当规模的业务或投资涉及个人数据处理。在欧盟进行业务或投资就应当遵守欧盟及其成员国的法律。GDPR适用欧盟全境,在欧盟的中国企业要遵守其相关规定。同时,中国学界应给予GDPR足够关注并进行深入研究,为帮助中国企业在欧洲更好地合规经营创造条件。GDPR可以研究的内容非常广泛,包括通用数据保护的基本制度和理论,也包括企业数据保护的合规性问题。在GDPR诸多保护个人数据的制度、措施和要求中,数据保护官 (Data Protection Officers,DPO)制度就很值得关注和研究。

当时连队的成员是由老军垦和支边青年组成,文化水平都不高。一个高中生出现在连队是件很稀奇的事。两个月后,他被安排了一个不脱产的记分员,每天和大家一样劳动,下班前一个小时验收每个工人的成绩,下班后顾不上洗脸吃饭就整理当天每个职工的工作量和完成任务的百分比。然后站在房顶上拿着铁皮喇叭,向全连公布,天天如此。虽然这样很辛苦,但他从没喊过累、叫过苦。

数据保护官制度起源于欧盟成员国,德国和法国早就通过立法的方式设立了数据保护官制度,1977年的 《德国数据保护法》就规定了数据保护官制度,法国国家层面的数据保护法也规定了数据保护官制度。德国和法国的数据保护官制度内容与GDPR的相关规定相比差异较大。在GDPR公布之前,欧盟法律框架内数据保护官制度亦已经存在。欧盟的 《数据保护令》对数据保护官做了规定。经过欧盟及其成员国多年实践,数据保护官制度日趋完善,并成为GDPR中一项重要的个人数据保护制度。依据GDPR的规定,数据保护官是在特定条件下各欧盟成员国的机构或企业都需要强制聘请的一个职位。本文通过对GDPR中的数据保护制度进行研究来解读以下问题:哪些企业需要聘任数据保护官?数据保护官的专业能力包括哪些?GDPR为数据保护官履职提供什么保障?数据保护官的工作内容有哪些?

1 数据保护官的聘任

数据保护官是GDPR规定的在特定条件下强制要求企业或组织应聘任的保护个人数据的专职岗位。从GDPR的规定看,只要不是被明显排除在强制要求聘任之外,相关的数据控制者或数据处理者都应当聘任数据保护官。当然,不属于GDPR规定范围内强制要求聘任数据保护官的数据控制者或数据处理者也可以自愿聘请数据保护官在企业或组织里任职。通过分析可以发现,强制要求聘任数据保护官的有两类主体:一类是处理数据的公共机构或团体,另外一类是数据控制者或数据处理者。GDPR对两类主体聘任数据保护官分别做了规定。

1.1 强制性聘任数据保护官1.1.1 公共机构或团体

简单来说,公共机构就是为了实现给生产创收企业提供融资、建设或运营支持之目的,通过立法授权全国或地方政府之外的组织执行特定公共职能的组织[1]。从字面理解,公共机构或团体可以是公共交通、供水供热、基础设施、公共服务等。GDPR并没有给出公共机构或团体的概念,在欧盟的相关指南里,认为公共机构或团体由欧盟成员国法律确定[2]。英国在适应英国 《人权法1998》第6条第2款的司法实践中,对公共机构做了一些澄清。有英国法官认为 《人权法1998》第6条中的公共机构还应包括,虽然一个企业没有法律的授权且不在受政府体系控制,但控制了原告进入公共市场准入权,并发挥管理职能的作用[3]。在这种理解下,履行公共职能的私营部门应当聘任数据保护官。事实上,对于那些履行公共职能但没有公共组织地位的机构,应按照GDPR规定聘任数据保护官,可以提升他们在数据保护方面的合规性。

1.1.2 数据控制者或数据处理者

对 “数据控制者或数据处理者”的概念理解要依照GDPR规定来进行。GDPR规定依据其性质、范围和/或目的,数据控制者或数据处理者的核心活动是对规模巨大的数据主体进行监控需要而进行常规的和系统的数据操作处理[4]。从上述规定看,要理解 “数据控制者或数据处理者”的具体标准,可从核心活动、规模巨大、常规的和系统的数据监控三个要素展开。

调查显示,不同评价主体其评分差异较大,评价内容各有侧重,并且体现了不同的关注度。为此,根据调查数据和调查收集的意见,对学生和教师提出针对性的建议。

(1)核心活动。核心活动是指依据性质、范围或目的,为了实现数据控制者或数据处理者处理数据目标所必需的操作。核心活动不应该被狭义地解释为数据控制者或数据处理者进行数据处理不可或缺的活动。例如,银行的核心活动是以客户为中心进行账务处理,但是,如果银行不对客户账号数据进行处理就很难实现其业务目的,因此,银行对存款人的个人信息数据进行加工处理。在这种情况下,应当认为银行的活动是数据处理的核心活动,应当聘请数据保护官。又如,电信企业向客户提供通信服务,通信服务是公司的核心业务,不可避免地要从事大规模的个人信息和数据处理,因此,该类公司应当聘任数据保护官。此外,要将企业内部的数据处理与核心活动区分出来,比如说,很多企业需要给员工支付工资,其工作过程与数据紧密相关,甚至可以说是企业的核心活动或主要业务。但是,这种情况应认为是企业的辅助功能而不是核心业务。

(3)数据保护官要熟悉数据信息系统和数据安全保护的相关技术。GDPR的重点是保护个人数据隐私和安全,数据保护官只有在对网络和电子通信系统的数据处理和安全有一定的专业能力才能保护好相关数据。

数据保护官是专业性要求比较高的职位,要担任这个职务必须具备相关的法律知识、熟悉个人数据保护政策、掌握数字信息技术等。故此,GDPR规定了数据保护官任职的专业能力要求,包括数据保护法律专业知识、数据保护的实务能力以及能够履行GDPR规定的职责。鉴于欧盟各成员在数据保护领域的法律会存在差异,各成员可以采用GDPR中的条款,或者自行出台法律规定数据保护官的专业能力要求。由于数据控制者或数据处理者需要采取措施保护敏感、复杂的海量数据,其专业技能至少应包括以下几方面:

(3)采取常规和系统的监控行为。监控行为是指使用个人数据处理技术带来的后果,即处理自然人数据,尤其是处理个人数据,是通过分析该自然人的喜好、行为和态度来分析或预测其行为做出与该自然人相关的决定[5]。虽然GDPR并没有给出常规和系统监控的定义,但是毫无疑问监控应当包含所有互联网上跟踪和处理数据的全部形式,且并不限于线上环境的监控和跟踪,只要是对数据主体的行为进行监控就属于监控行为。常规监控包括在特定时间段不间断发生的监控;在固定时间反复发生的监控;稳定的或定期进行的监控。系统性监控包括依据系统产生的监控;事先安排、组织或设计的监控;因数据收集方案产生的监控。常规的和系统监控的具体业务类型可以是运营电信网络;提供电信服务;电子邮件定向推送;数据驱动型市场营销;以风险评估为目的处理和增信数据 (例如增信、保险单据、防止欺诈、探测洗钱);地方性交通部门 (例如出行软件;粘性方案;行为定向广告);穿戴设备健康数据监控;闭路电视;连接装置 (例如智能计量表、智能车、自动化房子等)。从业务性质来看,银行就需要对客户的账户进行常规和系统的监控,来确认客户的交易是否合规,是否遵守相关反洗钱、反欺诈或反资助恐怖主义的相关规定。

通过上述分析可以发现,成为数据控制者或数据处理者需要同时满足三个条件,才是GDPR所规定的数据控制者或数据处理者。

(4)数据保护官要熟悉数据控制者和数据处理者的业务和组织机构。数据保护官应了解其服务机构的业务性质,比如,涉及处理敏感信息数据的企业,数据保护的要求就会更高;又如,处理儿童数据信息的企业,会有相应的保护数据的特别要求。数据保护官还应当熟悉其服务机构的行政规制和程序,只有这样才可以及时向各职能机构提出数据保护的要求,或针对特定事件采取数据保护措施。

1.1.3 涉及特殊类别数据处理的数据控制者或数据处理者

GDPR规定,数据控制者或数据处理者的核心活动包含了第9条规定的对某种特殊类型数据的处理规模巨大和第10条规定的对定罪和违法相关的个人数据的处理要求聘任数据保护官[6]。上述规定的特殊类型的数据主要是指个人敏感信息。敏感信息是指一旦遭到泄露或修改,会对标识的信息主体造成不良影响的个人信息[7]。这些特殊类别的数据包括涉及个人种族、政治观念、宗教信仰、所属工会等;涉及健康或数据主体性生活性倾向的信息;基因信息、生物识别信息、个人违法或犯罪信息等。

1.2 非强制性或自愿聘任数据保护官

GDPR规定范围之外的数据控制或数据处理机构并没有强制要求聘任数据保护官。如果一个机构要有效减轻其在GDPR中的相关责任,包括采取有效的隐私保护,就可以选择按照GDPR规定,让自己的员工承担更多的个人数据信息保护责任。GDPR规定了类似数据保护官的岗位或自愿性质的数据保护官,这样规定的核心要求就是,数据控制者或处理者需要在单位内部履行保护数据的职责。

1.3 数据保护官共同聘任机制

GDPR还规定,同一数据保护官可以在多个机构任职,只要能够胜任工作,且便于监管机构和聘任单位联络。此处的同一数据保护官可以是个人,也可以是专门从事数据保护的专业机构。数据保护官的职责就是向数据处理者和数据控制者及其执行与GDPR有关的数据处理的雇员提供告知和建议。便于联络是指数据保护官是数据主体、监管机构、组织内部数据保护的工作联系点,能够保证数据保护官内外联络畅通。这需要数据保护官公布详细联络信息,包括通讯地址、联系电话和电子邮箱等。数据控制者或数据处理者要保证公众和监管机构能够在公开场所获取数据保护官的联络信息。为了保护隐私或商业秘密,数据保护官的名称或姓名可以不向社会公众公布,但应当告知监管机构。共同聘任机制有两方面的好处,一是能有效减少数据控制者或数据处理者的数据保护成本;二是鼓励数据保护的中介机构专业化。

2 数据保护官的专业能力要求及聘任

(2)处理数据规模巨大。规模巨大是一个相对模糊的概念,很难精确界定处理数据达到什么规模算是达到规模巨大。尽管如此,仍然可以从法律实践层面发展出对 “规模巨大”进行合理解释的方法。可以从多个维度来确认规模巨大:①一方面是从涉及数据主体的绝对数量上看。比如,涉及数据主体的数量达到百万、千万甚至上亿的数量级;另一方面是涉及数据主体在整个数据处理体量中的比例。同一种类型的数据处理比例在整个行业数据处理中占比很高。②从数据处理的具体数量级来看。可以根据数据的格式、数据的信息量或数据涉及的信息范围来进行衡量。数据的量是一个动态,会随着技术进步和社会发展不断变化。③可以从处理数据的期限、方式和效果来确定。比如,对长期数据处理和短期数据处理进行区分,长期处理个人数据就会比暂时处理个人数据更容易被认定为规模巨大的可能性高。④根据涉及数据的地理或行政区域来确定。比如说,在欧盟一个成员国内的村镇内处理当地居民的数据,一般就不会被认定为处理数据规模巨大。如果处理数据是在整个欧盟或全世界,容易被认定为数据处理规模巨大。下面的例子应当被视为数据处理规模巨大:公共交通运输企业,如铁路客运、航空客运企业应当被视为处理数据规模巨大;知名医院日常诊疗处理的大量病人数据;跨国电商在提供服务的过程中以统计为目的实时处理地方消费者数据;通过搜索引擎处理个人数据发布行为广告;电信或互联网服务提供商处理相关内容、交通、位置的数据等。当然,还有很多情况不构成数据处理规模巨大情形,比如,家庭医生为诊疗处理病人数据、律师给客户提供服务时处理个人信息或数据。

在数据控制者或数据处理者内部应当确保数据保护官履职是有充分的自主权,不应干涉数据保护官的工作。无论数据保护官是否是其雇员,在履职时都应当具有一定的独立性。数据控制者或数据处理者不得以明示或暗示的方式要求数据保护官进行工作,比如,要求工作达到特定效果;按照有利于聘任方的方式处理投诉;决定是否与监管机构进行联络等。应当注意的是,尽管GDPR规定了数据保护官的工作不受数据控制者或数据处理者干涉,但是数据保护官并没有超出GDPR规定之外的决策权力。

(1)熟悉并了解欧盟及其所在成员国的相关数据保护的法律和实践。从便利和专业能力上来讲,个人作为数据保护官熟悉的成员国法律数量相对有限。如果是数据保护的专业机构有能力聘任更多的专业人才,能在更多的国家开展数据保护业务

(2)熟悉数据控制者或数据处理者对数据进行操作处理的业务流程和内容。如果数据处理活动涉及特别复杂,又是对大规模敏感数据的处理,数据保护官就要熟悉法律对敏感数据的保护要求,同时能够完全理解数据处理活动中的各种技术。

“我很高兴自己能驾驶这辆沃尔沃P1800通勤这么多年,它也从未因故障把我落在路边。我希望能一直就这么开着它,直到有一天我离开人世。其实,它的状态远比我的身体状态要好很多。”

随着出行游玩方式的多元化,人们已经打破传统的游玩模式,开始了新的出行旅游。中国作为当前最受游客欢迎的国家之一,也应该不断地提高自己旅游行业的发展水平,增加出入境旅游业务的数量,并在一定程度上促进航空事业的发展。在发展过程中,还要以市场为导向,更好地满足人们的需要,有效地促进航空业的发展。

(5)数据保护官要有能力在其服务的机构内培养出一种数据保护的企业文化。数据保护的企业文化对于数据控制者或数据处理者降低数据保护的合规风险和实际风险都是至关重要的。通过制度在数据保护者或数据处理者内部形成一种对违反数据保护行为应受到道德上和心理上谴责的文化,创造出数据保护的良性环境。促使员工遵守GDPR中的核心条款,具体包括数据处理的原则、数据主体的权利、设计和违规的数据保护行为的后果、保存处理数据活动的记录、提高处理数据的安全性、及时纠正数据违规行为、与员工进行数据保护交流等。虽然GDPR并没有具体规定数据保护官的职业能力水平,但是从上述五个方面对数据保护官进行精挑细选,才能聘到合格的数据保护官。

数据控制者或数据处理者可以聘用内部员工或外部机构或个人担任数据保护官,但无论是内聘还是外聘数据保护官,都要签订数据保护服务合同。数据保护服务合同是数据保护官履职的法律基础。如果是外聘机构担任数据保护官时,很多时候是一个团队,他们同样必须遵守GDPR规定的所有要求和条件,如要求不存在利益冲突。为了避免利益冲突,法律上清楚明确要求,数据保护官团队应当有良好的组织能力,有专人担任领导职责,团队成员之间分工明确,能够以团队的方式来履行GDPR规定的各项数据保护任务。GDPR中关于数据保护官的规定适用所有团队成员。为了确保履职的确定性,外聘团队可以在数据保护合同中明确约定数据保护官团队的职责范围,在合同中明确专人负责客户的对外联络工作,公布和提交数据保护官的详细联系方式。保证数据主体和监管机构能够直接轻松地与数据保护官联系,不需要通过其他人。联系内容应当包括电话、通讯地址、电子邮件等。为了更方便公众联系,有条件的机构可以设立联系专线,机构网站公布地址等。此外,虽然GDPR没有规定要求公开数据保护官的姓名,但是向监管机构提交其姓名是数据保护官作为联络点的关键。

3 数据保护官的工作保障

数据保护官要开展工作,需要数据控制者或数据处理者的配合,并提供基本的工作条件。因此,GDPR规定应保障和促进数据保护官能顺利履职。数据保护官的工作范围主要是处理所有与个人数据保护有关的事务。数据控制者或数据处理者需保证数据保护官能够以适当的方式在适当的时间参与所有涉及个人数据保护的事务[8]。数据保护官应尽可能早地介入所有与个人数据保护有关的事务,这些事务主要包括以下几方面:

一是在数据保护影响评估问题上,GDPR规定要数据控制者在进行影响评估时应当征求数据保护官的意见。数据保护影响评估是欧盟机构内部对个人数据保护措施效果进行评估的常用方法。对于评估中好的地方继续保持,对于不足之处及时找到改进的方法。影响评估法经常被欧盟用于对立法、执法等方面的效果进行评估。

二是对数据保护方面工作情况和进展,数据保护者或数据控制者应当及时通知数据保护官,对数据处理中的各类问题应当咨询数据保护官。

数据保护官除了保护个人数据外,还可以执行数据控制者或数据处理者安排的其他任务。但是,数据控制者或数据处理者应保证数据保护官承担其他任务时不会导致利益冲突[8]。保持数据保护官履职的独立性,最重要的就是防止利益冲突。数据控制者或数据处理者不能要求数据保护官从事不利于个人数据保护的相关工作。从经验上看,数据控制者或数据处理者内部与数据保护官存在利益冲突的管理职务包括首席执行官、首席运营官、财务总监、医疗总监、市场总监、人力资源总监、IT部门负责等。另外,还要注意防范与某些非管理职务之间的利益冲突。外聘的数据保护官同样可能存在利益冲突,例如,外聘律师代表数据控制者或数据处理者到法院进行与个人数据保护相关的诉讼。数据控制者或数据处理者应当采取积极措施防止可能产生的利益冲突,具体而言可以有以下方式:识别与数据保护官不相容的工作岗位;制定内部规则有效避免利益冲突;对利益冲突的概念进行较为宽泛的解释;明确说明数据保护官不能从事与之有利益冲的工作,通过明示的方式提高单位在这方面的意识;通过合同约定数据保护官应当避免利益冲突;在聘任时,告知数据保护官要避免各种形式的利益冲突。

3.1 提供必要的资源

履行数据保护职责必须有充分有效的处理与数据有关的各类资源。GDPR要求数据控制者或数据处理者向数据保护官提供必要的资源以保障其完成工作。在业务上具体包括进入个人数据库、进行数据处理操作,维持数据保护官的专业能力;在职位上给予数据保护官支持,给予其高级管理人员待遇 (董事会层面);在工作任务上保证数据保护官有充分的时间履行职责;提供履职的资金和基本工作条件 (包括办公场所、条件、设备和人员);向全体员工公布数据保护官的聘任,保证单位所有工作人员都能够认识数据保护官;人力资源、法律、IT、安全等相关职能部门应当为数据保护官履职提供支持;对数据保护官进行持续培训,确保其有机会获得数据保护方面的知识更新,比如,鼓励数据保护官参与各项培训,如隐私论坛、工作坊之类的活动;依据业务规模和内部结构设立数据保护官团队,明确团队的内部结构和每个团队成员的分工。如果是外部团队,应当能够有效执行数据保护官的职责。总之,数据处理操作越复杂、敏感,数据保护官就需要越多的内部资源来保证其履行工作职责。

3.2 数据保护官履职应保持独立性

博物馆里存在着和《规范》不一样的英译文。拿“票当天有效”来说。镇博的公示语翻译成The ticket is one-day-valid。这个英文公示语可回译为“票的有效期为一天”。单看英文公示语,哪一天有效我们就不知道了,或许随便一天都有效?这会让人产生误解。“当日有效”的规范译文应为valid only on day of issue,所以“票当天有效”可译成This ticket is valid only on day of issue。

总之,在专业课程领域实现专业课程思政,是党和国家对高等教育提出的一个新要求,是非思政类的高等教育者的一项新使命。在具体的专业课程思政教学实践过程中,任课教师还根据实际的教学成效不断改进,努力实现全程全方位育人的专业人才培养目标。

3.3 数据保护官履职时不受解聘或处罚

数据保护官履职受GDPR保护。数据保护官履职时,数据控制者或数据处理者不能解雇或处罚数据保护官[8]。这样做的目的是为了增强数据保护官的自治权,确保数据保护官的独立性,使之能够充分履行数据保护的工作职责。比如,数据保护官认定特定程序存在较高风险,建议数据控制者或数据处理者执行数据保护影响评估,即便数据控制者或数据处理者不同意进行数据保护影响的情况下,也不能解聘数据保护官。但事实上,数据控制者或数据处理者能够给数据保护官的处罚形式多种多样,可以是直接或间接的,可以是不晋升或推迟晋升,可以是妨碍岗位提升,甚至还可以是不给员工福利。从GDPR的规定来看,数据保护官因履职受到上述任何一种或多种处罚,无论数据控制者或数据处理者实际执行与否,就违反了GDPR的相关规定。尽管GDPR没有规定在什么时候或条件下解聘或替代数据保护官,但是数据控制者或数据处理者还是可以依据各成员国法律或劳动合同解聘数据保护官,唯独不能因为其履行数据保护职责而解聘。如果数据控制者或数据处理者与数据保护官的数据保护服务合同约定期限长,数据保护官独立工作时被解聘,就容易存在违反GDPR规定的情形。当然,具备法定理由也可以解聘数据保护官,例如数据保护官有偷窃、心理或身体疾病、性骚扰、重大过失等行为。

3.4 利益冲突

三是数据控制者或处理者发布数据保护指南时,应当听取数据保护官的意见。公司内部应当把数据保护官当作是可以商讨数据保护工作的合作者,是公司内个人数据保护的核心组成部分。在具体工作方式上,数据控制者和数据处理者可以要求数据保护官定期参加内部中高级管理会议;出席对数据保护有影响的决策会议;就数据保护的相关信息应当尽早向数据保护官提供,并征求其意见;数据控制者和数据处理者对数据保护官提出的意见应当给予充分考虑;如果不同意数据保护官的意见要及时给予解释和说明;出现数据违规行为或事故时,数据保护官应及时给出解决方案或处理意见。要履行上述数据保护的工作内容和实现数据保护的目标,数据控制者和数据处理者可以从以下几方面来给数据保护官的工作提供支持。

4 数据保护官的工作内容

4.1 监督数据控制者或数据处理者对GDPR规定的遵守情况

数据保护官应该帮助数据控制者或数据处理者内部遵守GDPR相关规定。提高数据控制者或数据处理的数据保护方面的合规性,具体包括:收集信息识别数据处理活动;分析和检查数据处理活动的合规性;向数据控制者或数据处理者通知、建议、发布建议。对合规性进行监督,并不是说数据保护官要对数据控制者或数据处理者的不合规性负责。GDPR规定非常明确,是数据控制者或数据处理者承担合规责任,而不是数据保护官。要求数据控制者或数据处理者采取适当的技术和组织措施,保证并能够证明数据处理符合GDPR相关规定。

企业是推动技术进步和科技创新的一只主力军,技术进步和科技创新离不开科研项目的管理。针对目前我国企业在科研项目管理中存在的一系列问题,诸如管理方法不够科学、科研项目质量有待提高、科研成果转化的意识较薄弱、科研项目经费管理混乱等,本文认为企业可以通过加强项目全过程管理、重视科研项目的转化和推广、加强科研项目经费管理等对策,提高科研项目管理水平,进一步推动科技创新,更好地发挥科研成果的经济效益和社会效益,促进企业可持续发展。

4.2 数据保护官在数据保护影响评估中的作用

数据控制者或数据处理者必要时需要进行数据保护影响评估。在数据保护影响评估中,数据保护官的角色非常重要也非常有用。GDPR规定在进行数据保护影响评估设计时,数据控制者或数据处理者应当征求数据保护官的意见。数据保护官的职责就是进行数据保护影响评估时提供意见,监督数据控制者或数据处理执行GDPR相关规定的情况。

在数据保护影响评估时,数据保护官应当对以下问题提供建议:是否执行数据保护影响评估;进行数据保护影响评估采用什么方法;数据保护影响评估是内部操作还是外包;采取哪些技术上的和组织结构上的措施能够减少对数据主体的权利和利益的负面影响;数据保护影响评估是否能正确执行;数据保护影响评估是否符合GDPR的相关规定等问题。如果数据控制者或数据处理者不同意数据保护官的意见,数据保护影响评估文件中应载明不予考虑的原因。在执行数据保护影响评估时,数据控制者或数据处理者应当为数据保护官履职提供便利条件。比如,在数据保护服务合同中明确约定数据保护官的具体工作及工作范围,并通知相关人员配合数据保护官的工作。

4.3 与监管机构合作

数据保护官应当与监管机构展开合作,并且是监管机构进行个人数据保护的联络点,包括咨询、提供数据、报告等,如条件许可,应包括个人数据监管有关的全部工作。数据保护官作为联络点,将数据控制者或数据处理者与监管机构的数据保护监管工作相互联系起来,为数据保护工作的开展提供便利,可以方便三者之间传递信息和相关文件,也便于监管机构对数据控制者或数据处理者保护个人数据方面的工作行使调查、纠正、授权和建议的监管职责。数据保护官应当依据欧盟或成员国法律,承担履行工作中的保密义务。但保密义务不包括数据保护官与监管机构联络或寻求意见。只要条件符合,数据保护官可以向监管机构咨询任何相关问题。

4.4 基于风险的工作方法

数据保护应当识别数据处理操作风险,并考虑数据处理的性质、范围、背景和目的,这就要求数据保护官优先关注数据保护中的高风险问题。当然,这并不是说数据保护官可以忽视数据处理操作中合规性和数据保护中的低风险问题。但要强调的是,数据保护官首先应当关注高风险领域。选择性和实用性方法可以帮助数据保护官给数据控制者或数据处理者提供建议,在执行数据保护影响评价时应当采取什么方法,哪些方面需要外部数据保护审计,哪些方面可以内部数据保护审计,哪些数据处理会占用更多的时间和资源。

(4) 如果分支线下其他配变状态不可用,则根据分支线与馈线的关联关系,取回馈线开关的状态,按照线路跳闸触发的停电事件故障研判搜索过程中的第(2)~第(4)步进行故障位置判断。

4.5 数据保护官在记录保存方面的作用

保存数据处理操作记录是数据控制者或数据处理者的责任。数据保护官在处理数据控制者或数据处理者的内部数据时,要对不同部门提供的信息进行分类和登记,这一定在很多成员国法律或适用欧盟各机构或单位的数据保护规则中都有相关规定。因为记录数据处理,是数据保护开展工作、监督合规性、通知数据控制者或数据处理,并提出合理化建议的前提。总之,数据处理过程的存储和记录,可以帮助数据控制者或数据处理和监管机构对内部数据处理活动有全面了解。所以,记录和存储数据处理记录是合规的前提,也是保护个人数据的一个非常有效的措施。

①学界研究现状的评介,可参阅作者另文《康乾南巡研究的回顾与思考》,《明清论丛》第十七辑,故宫出版社2017年版。

5 结论

从数据保护官制度要求来看,符合GDPR规定条件的中国企业需要按照规定聘请数据保护官,而规模较大的从事数据处理或数据控制的中国企业可能需要聘请一个数据保护官团队,以保证企业在数据保护方面的合规经营。然而,中国企业对数据保护官的职责和定位的认识都刚刚起步,往往容易忽略数据保护官的重要性,导致数据保护方面的不足,最终不得不面临巨额罚款或严厉处罚。因此,我国在欧盟经营的企业,涉及到控制或处理个人数据相关业务时应当保持谨慎。要认真了解数据保护官制度的各方面要求和规定,并按照GDPR的规定加强个人数据保护,及时聘任数据保护官,以保证企业在涉及收集、处理、使用个人数据时合法、合规性。

参考文献:

[1]SHESTACK J J.The public authority[J].University of Pennsylvania law review,1957,105:553-569.

[2]Article 29 data protection working party[R].Guidelines on data protection officers (DPOs′),2017:1-25.

[3]CHRIS G.Human rights:the public authority puzzle[J].Law teacher,2003:338-345

[4]General data protection regulation article 31 (1) (2)[EB/OL]. (2018-05-25)[2019-01-26].https://gdpr-info.eu/art-31-gdpr/.

[5]GDPR′s recitals article 24.[EB/OL]. (2018-05-25)[2019-01-26].https://gdpr-info.eu/recitals/no-24/.

[6]General data protection regulation article 37 (1) (2)[EB/OL]. (2018-05-25)[2019-01-26].https://gdpr-info.eu/art-37-gdpr/.

[7]林洹民.个人信息保护中知情同意原则的困境与出路[J].北京航空航天大学学报 (社会科学版),2018 (5):13-21.

[8]General data protection regulation article 38[EB/OL]. (2018-05-25)[2019-01-26].https://gdpr-info.eu/art-38-gdpr/.

On Data Protection Officer Mechanism from General Data Protection Regulation

Liu Jiangshan

(School of Law,University of International Business and Economics,Beijing 100029,China)

Abstract: Data Protection Officer (DPO)as a personal data protection mechanism is originated from European Union.On May 2018,EU has promulgated the General Data Protection Regulation,in which DPO has become a mechanism to be applied within all EU member states.As China and EU are close trading partners,the DPO mechanism has a role to play in Chinese companies.Therefore,we shall discuss and study the following questions:What kind of companies shall a DPO be appointed? What kind of qualifications shall a DPO have? What kind of working conditions shall a company offer to a DPO? What shall a DPO do in data protection? Once all the aforementioned questions are answered,Chinese companies can have better regulation compliances in personal data protection.

Key words: GDPR;Data Protection Officer;Data;Independence

中图分类号: D996.1

文献标识码: A

收稿日期: 2019-05-09

作者简介: 刘江山 (1977-),男,江西萍乡人,博士研究生;研究方向:国际贸易法。

(责任编辑 沈蓉)

标签:;  ;  ;  ;  ;  

欧盟通用数据保护条例中的数据保护官制度论文
下载Doc文档

猜你喜欢