英国信息专员办公室(ICO)发布了 资源 供组织在根据《通用数据保护条例》(GDPR)雇用和组织数据保护官(DPO)时使用。该博客总结了这些资源的几个关键要素。

DPO清单

该清单包含四个部分,其中包括:

  1. 任命DPO –在需要任命DPO的情况下,以及没有明确要求但已自愿任命DPO的情况下。
  2. DPO的职位-概述报告结构,参与与数据保护有关的所有问题,DPO可用资源以及以DPO身份独立和不受冲突影响的自由。
  3. DPO的任务–设定DPO的角色和职责,包括合规性,培训和审计,以及充当ICO的联系点。
  4. DPO的可访问性–宣布DPO作为员工,个人,ICO的可访问联系点,并指出DPO应该公开其联系方式并传达给ICO。

任命DPO

在以下情况下,组织必须任命DPO:

  • 它是公共机构或机关(法院以司法身份行事除外);要么
  • 它的核心活动需要对个人进行定期和系统的大规模监视(包括跟踪在线行为);要么
  • 其核心活动包括大规模处理特殊类别的数据或与刑事定罪和犯罪有关的数据。

核心活动是组织的主要业务活动(例如,零售商监视在线搜索和购买顾客的行为以提供购物建议),这与处理用于辅助目的(例如工资)的数据是有区别的。这些要求适用于控制者和处理者,即使GDPR不要求您的组织任命DPO,所有组织也必须有足够的人员和资源来履行GDPR规定的义务。一个DPO-甚至是自愿指定的DPO也没有这样做的要求-可能会有所帮助,因为可以在必要时提供建议,并改善合规性和问责制。只要不存在利益冲突且该雇员的其他专业义务与DPO角色兼容,就可以任命现有雇员为DPO。一个DPO可以在多个组织之间共享,只要它们可以有效地执行任务,并考虑其职责范围和可用资源即可。

如果组织确定不需要任命DPO,则最佳做法是记录该决定以及做出此结论的原因,以帮助证明对GDPR责任制原则的遵守。为了确定您的组织是否需要DPO的更多帮助,ICO提供了一个 5分钟的问答模块.

DPO位置

在组织DPO的角色和职责时,组织必须记住DPO必须:

  • 具有与数据保护法(最好在相关行业或部门)相对应的经验和专业知识,与组织执行的处理类型以及此类个人数据所需的保护级别成正比。
  • 无需任何中介,即可直接获得最高级别的管理。
  • 及时参与与个人数据有关的所有问题。
  • 有足够的资源来履行职责。
  • 根据GDPR履行职责不会受到处罚,特别是在雇员承担其他专业职责的情况下。
  • 不承担任何其他与DPO角色导致利益冲突的任务。

DPO的任务和职责

根据GDPR第39条,DPO应:

  • 监视对GDPR和其他数据保护法律以及数据保护政策的遵守情况,其中可能包括管理内部数据保护活动,培训人员和进行审核。
  • 提供有关数据保护义务的建议和信息。
  • 就数据保护影响评估(DPIA)的过程提供建议并进行监控。
  • 充当ICO,其他监管机构以及正在处理其数据的个人的联系点。
  • 负责评估与处理相关的风险,包括处理的性质,范围,背景和目的。

支持DPO

组织必须确保DPO密切参与所有数据保护事务。 GDPR使得数据保护成为董事会关注的问题,因此DPO应该向组织的最高管理层报告。他们还应该独立运作,并且在执行任务时不会受到偏见,即使DPO的报告义务可能会使他们在某些情况下与组织背道而驰。组织在进行数据保护影响评估时必须征求DPO的意见。如果组织确定在某些情况下未遵循DPO的建议,则出于责任制目的,应记录此类原因。

应为DPO提供足够的资源(包括足够的时间,财务支持,基础设施和所需的适当人员),以使其能够履行GDPR义务。这也将使他们能够保持该领域的专业知识。同样,应授予DPO适当的权限,以访问其组织内的个人数据和处理活动以及决策个人数据的高级管理人员。

评论

DPO可以通过建议和监视合规性来帮助其组织在GDPR中运作。因此,DPO在组织的数据保护治理结构中扮演着关键角色,并且可以成为展示GDPR责任制并提高对它的要求的遵从性的一种有价值的方式。组织应仔细考虑其数据处理活动的性质,范围和影响,因为这会影响他们是否有义务任命DPO。