西盟斯数据观察 | EDPB就数据保护官履职提出进一步建议

文摘其他 2024-02-07 18:30 日本

近期，欧盟数据保护委员会（EDPB）发布了一份有关欧洲经济区（EEA）内机构数据保护官（DPO）履职情况的报告（请点击文末阅读原文查看），并针对保障DPO履职的资源、能力和独立性等方面提出了若干建议。

在2023年，EEA区域内25个数据保护监管机构（DPA）开展了一项针对DPO的协同调查，联系了该区域内超过42000家公共和私营机构，以及仅20000名DPO，并回收和分析了超过17000份答复。这项协调调查旨在了解欧盟《通用数据保护条例》（GDPR）生效5年后，机构DPO的履历、岗位和工作开展情况，并识别DPO在开展工作过程中可能面临的困境。

调查结果表明，尽管大部分受访的DPO认为其具备履行职责所必要的技能、经验、资源和自由度；但仍有为数众多的DPO在履职中面临种种困境与挑战，包括：资源和能力不足（例如DPO缺乏团队支持或聘请的外部DPO因客户众多而无法保障为每一家客户投入的精力和时间）、未履行GDPR所要求的所有职责（例如，只有不足七成的DPO已协助其服务机构开展数据保护影响评估）、对机构数据保护事务参与程度不足（仅有略高于两成的受访机构表示会就所有的数据保护问题征求DPO意见）、缺乏自由度（可能因组织设置、合同或财务安排等原因导致）或无法向高级管理层汇报等。

为帮助机构和DPO应对这些挑战，EDPB在报告中提出了若干建议，包括：

准确识别DPO履职所需的资源：EDPB建议数据控制者和处理者均应对DPO所需的资源进行适当的个案分析，并确保DPO具有足够的资源来履行其法定职责。EDPB特别指出，当聘用外部DPO时，数据控制者和处理者需要进一步了解该外部DPO所服务的客户数量，以确保其有足够的时间和服务能力协助各个客户履行GDPR所规定的义务（在本次协同调查中，有约70%的受访DPO是机构内部员工，其余为外部DPO）。
持续提升DPO履职能力：EDPB要求各机构应准确记录其GDPR培训需求和进展。数据控制者和处理者应确保DPO有足够的机会、时间和资源来更新其知识储备，尤其是及时了解欧盟与数字经济和人工智能有关的立法进展。
树立DPO权威：EDPB强调DPO在机构内应当具有较高的职位的权限，并获得足够的内部支持。数据控制者和处理者应积极复盘和提高DPO对组织各项事务的参与程度。
处理利益冲突与独立履职：EDPB建议机构和DPO通过聘用函等形式明确DPO职责和履职条件。尤其是当DPO由外部人员或服务商担任时，应特别注意尊重其履职的独立性。DPO应当在其独立性受到干扰时注意收集相关证据。

此外，EDPB也要求各地DPA为机构及其DPO提供更多的支持和指引，包括进一步修订已出台的监管指引、推动出台行业标准以及最佳实践建议、组织更多的宣传活动和针对DPO的培训、支持和保护DPO的独立性等。

延申阅读

欧盟有关DPO的法律要求和执法行动

DPO这一概念的诞生早于GDPR的出台，但GDPR首次将任命DPO的条件和DPO的权力与履职确立为一项全欧盟通用的法律要求。

对于企业而言，如果其核心活动构成对大量数据主体的定期系统性监控，或者构成对特殊类型个人数据的大规模处理，则有义务任命DPO。一经任命，企业应就所有涉及个人数据保护的事务及时征求DPO的意见，且应当为DPO履职提供足够的资源，并保证其正当履职不受干涉。

在本次协同调查之前，欧盟已有10家DPA针对不按GDPR要求任命DPO或开展相关活动的违规行为进行了执法和处罚。例如，比利时DPA曾在2020年至2023年开出8张与DPO相关的罚单，涉及受罚机构未按GDPR要求任命DPO或DPO履职不符合要求等多种违规事由。波兰、葡萄牙、爱尔兰、法国、意大利、荷兰等国的DPA也有较为活跃的执法行动。