1. 确定是否有任命DPO的强制义务
GDPR作为欧盟区域内的上层法律,在统一适用整个管辖区域内的相关数据处理活动的同时,也在条款中留给各成员国相应的立法权限,允许其根据自己国内的实际情况进行小范围的微调和补充。因此,对于在德国设立企业的中国投资者,不仅应当关注GDPR的相关规定,德国内部相关法律规定亦不容小觑。
在GDPR视角下,企业任命DPO的场景规定在第三十九条:
其核心业务涉及《通用数据保护条例》第9条和第10条规定的大规模处理特殊类别的数据。
其核心业务涉及处理操作,这些操作由于其性质、规模和/或目的,需要对受影响的个人进行大规模的、定期的、系统性的监控。
除法院外的政府机关和公共机构。
根据《通用数据保护条例》第9条之规定,特殊类别的数据”包括“揭示种族和民族出身、政治观点、宗教或哲学信仰,或工会会员身份的数据,以及用于唯一识别自然人的基因数据、生物识别数据、健康数据或有关自然人性生活或性取向的数据,还包括“有关刑事定罪和犯罪行为或相关安全措施的个人数据(GDPR第10条)。如果个人数据的处理或监控是定期和系统进行的,企业也有义务任命DPO。
根据《新联邦数据保护法》(BDSG-neu)第38条第1款的规定,如果公司中至少有20名员工持续从事自动化处理个人数据的工作,则必须任命数据保护官。在此情况下,员工是否为全职或兼职并不重要。自由职业者、员工、学徒和实习生也应计入其中。
此外,根据《新联邦数据保护法》第38条第1款第2句的规定,如果公司内进行的处理需要根据《通用数据保护条例》第35条进行数据保护影响评估,或者企业以商业为目的处理个人数据以进行传输、匿名化传输或用于市场和民意调查,即使少于20名员工,企业也有义务任命数据保护官。
2. DPO的工作内容
根据《通用数据保护条例》(GDPR)第三十九条的规定,DPO(数据保护官)的职责至少包括以下几点:
就现行的数据保护法律义务进行通知,并在解决数据保护相关问题时提供咨询。
监督并确保遵守数据保护法律法规(如GDPR、BDSG及其他相关法律法规)以及公司内部的数据保护规定,包括职责分配、员工的意识提升和培训。
应要求在数据保护影响评估(第35条 GDPR)时提供咨询,并监督其实施。
与监管机构合作,并负责在向监管机构咨询数据保护相关问题时的先行沟通。
作为受影响个人和员工的联络点,处理与其数据处理及DSR相关的所有事宜。
除了这些基本任务之外,DPO还承担着咨询和支持的职能。值得注意的是:DPO应当协助企业管理层建立满足全面证明义务的流程或文档,协助履行在发生数据保护违规时的报告和通知义务,以及帮助实现数据主体的权利(如查询权、修改权、限制处理权或删除权)。当做出具有数据保护影响的决策时,EDPB通常建议数据保护官参与其中。数据保护官还必须在发生数据泄露或其他事故时立即进行咨询。在实践中,数据保护官还经常被负责处理数据的负责人或数据处理者委托,负责记录处理活动。
3. DPO的选择和任命方式
《通用数据保护条例》第37条第5款列出了任命数据保护官所需的以下条件:
职业资格
在数据保护法和数据保护实践方面的专业知识
根据GDPR第39条规定的履行职责的能力
企业可以自行决定任命内部数据保护官(员工)或外部数据保护官(服务提供商)。虽然法律对DPO的任命不再需要采用书面形式,我们仍然建议对整个任命程序进行书面记录。如果一家集团化企业的DPO能够轻松联系到每个分支机构,那么集团完全可以任命一名共同的数据保护官,以此来增加工作效率,减少由于沟通成本带来的合规尺度的不同。
需要注意的是,只有自然人才能被任命为数据保护官,因为上述的要求是针对个人的。法人实体在GDPR总中无法被设定为数据保护官。关于这一点目前仍有很多争论,在于2017年出版的《数据保护官指引WP 243 rev.01》中,第29条工作组认为委托法人实体担任DPO是合法的,但同时提出了一个极为苛刻的条件:该法人实体中每一名成员都能达到GDPR第4章中规定的所有要求。这使得任命法人实体作为DPO不再具有性价比。
此外,在德国的一些联邦州,相关的数据安全审查机构对担任企业的DPO的形式进行了规定。比如在华人企业较多的北威州(NRW),则明令禁止由法人主体担任外部DPO。因此,我们建议在关注欧盟层面以及德国法层面规定的同时,也要关注企业注册地所在主管机关的一些细节上的考量和习惯。
w
4. 签署任命书以及公布
我们在实践中经常遇到的一个问题,“德国企业中谁有权利去任命数据保护官?”,根据我们在实务操作中的经验,相比于国内企业通过红头文件或者盖章等形式出具任命书,德国企业通常由具有签署权的主管人员任命数据保护官。在任命过程中,需遵循一定的形式要求,建议制作一份下图所示的任命书一式两份,一份提交给数据保护官,另一份留存公司备份,作为证明文件可以随时提交。
除此之外,根据GDPR第37条第7款的规定,数据处理者和受托处理者必须公布其数据保护官的联系方式,并将其通知给相关的监管机构。因此,联系方式应在负责人的组织内部(如内部网、组织结构图)以及对外部人员(如在网站上)进行公布。虽然GDPR并未明确规定数据保护官的联系方式应包括哪些内容。重要的是,联系方式的提供应确保能够轻松联系到数据保护官。因此,我们建议至少公布以下数据保护官的联系方式:
地址
电话号码
数据保护官的电子邮件地址
其他可能的联系方式(如数据保护官热线、网站上的联系表格等)。
