从2024年9月开始,新加坡法律强制要求新加坡公司都必须指定数据保护官(Data Protection Officer,简称"DPO")。
最近有人问我,是否可以从外部聘请全职或者兼职的人担任?
本文就是想告诉大家,这样做对双方都有很大的风险。
数据保护官的工作职责
根据新加坡《个人数据保护法》(Personal Data Protection Act, PDPA)的规定和新加坡个人数据保护委员会(Personal Data Protectino Committee, PDPC)指定的各项规定和指南,DPO的职责包括:
1. 确保合规。数据保护官的首要职责是确保组织遵守相关的数据保护法律和法规。在新加坡,这主要指《个人数据保护法》(PDPA)。
2. 制定政策。DPO负责制定和实施组织的数据保护政策和程序,确保这些政策符合法律要求并切实可行。
3. 风险评估。定期进行数据保护影响评估,识别潜在的风险并提出缓解措施。
4. 员工培训。对组织内的员工进行数据保护意识和实践的培训,确保所有人都了解其在数据保护方面的责任。
5.沟通联络。作为组织与数据主体(如客户)以及监管机构之间的联络点,处理有关数据保护的查询和投诉。
6.监控和审计。持续监控组织的数据保护实践,并定期进行审计以确保持续合规。
7.隐私设计建议。就数据保护的设计和默认设置提供建议,确保新项目和系统从一开始就考虑到数据保护。
8. 数据泄露管理。在发生数据泄露时,协调响应过程,包括评估影响、通知相关方以及实施补救措施。
也就是说,DPO的工作需要建立整个个人数据内部管控体系。要想完成这样的工作,DPO必须具有足够的权限,可以接触到公司的各种核心信息数据,也需要有足够的权利,能够在公司层面推动各种改革和改进,推进各项制度,还要能在出现问题的时候第一时间做出反应和处置。
外人显然是做不到这一点的。
更何况,如果公司发生数据合规的问题时,DPO不仅有可能需要承担刑事责任,还有可能需要对数据泄露造成的损失承担个人民事责任。正常人应该不会愿意去帮一个自己都不熟悉的企业承担如此重大的风险。
只有公司自己的高管、实控人,才是担任DPO的最佳人选。
DPO可以通过专业人士提供指导,完成公司内部制度整改工作
大部分公司高管、实控人,对于DPO工作估计都是一头雾水的。这也是可以理解的,毕竟这是一个新型的合规领域。DPO需要的是对基本技能的培训,系统文件的起草,管理制度的建立。
这些工作都可以由专业的律师团队提供协助。有些公司业务比较简单,可以利用标准化的文件设立一套标准化的制度。有些公司业务比较复杂,需要针对自己公司业务的特性定制化一套数据合规的制度和整套文件。
担任DPO职务的高管也应当接受基本的培训,知道自己应该做什么,不能做什么,什么时候可以自己处理,什么时候需要寻求律师的帮助。
Q&A
高管在境外也没关系么?
回答:是的。法律规定要求DPO提供联络方式,没有规定一定要提供联络方式,更没有规定一定要提供本地的联络方式。如图:
2. DPO不懂怎么办?
回答:1. 接受基本培训。2. 寻求专业支持。
作者介绍
翁磊:新加坡翁磊律师事务所管理合伙人,新加坡、英国、纽约三地执业律师,中英双语执业。
韩煦:新加坡优嘉律师事务所管理合伙人,新加坡、英国两地执业律师,中英日三语执业。
