GDPR 下“数据保护官”的责任和义务

小提示：您能找到这篇{GDPR 下“数据保护官”的责任和义务}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的GDPR 下“数据保护官”的责任和义务内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

作者：APUS 研究院（ID：apusapps）

出海注：本文是 APUS 研究院发布在出海 APUS 专栏、GDPR 系列文章中的第六篇。转载须保留本段文字，并注明作者和来源。商业转载/使用请前往 ，联系寻求作者授权。

我们在之前文章中提到过“数据保护官”这个概念，总结来说，“数据保护官”就是很多 GDPR 文章中提到“DPO”，“数据保护官”和“DPO”是中文全称和英文缩写的关系。上期大家了解了什么是 GDPR 下的“数据保护官”，什么样的企业需要“数据保护官”，以及没有“数

据保护官”会有什么样的结果。本期我们继续“数据保护官”这个话题。通过本文，我们希望大家可以从以下几个方面更加深入地了解“数据保护官”：

• 全方位、全流程参与个人数据保护；

• 监控企业的 GDP造成公关危机成分R 合规情况；

• 风险基础方法； 

• 数据保护影响评估；

• 记录留存。

1、什么都要参与、越早参与越好 

职责开始前，小编想先具体讨论一下，这么大一个企业，“数据保护官”应该在什么时间，什么场合出现？

GDPR 第 38 条规定，“控制者”和“处理者”必须保证“数据保护官”适当且及时的介入所有与个人数据保护的有关事宜。

这里先从最好理解的“及时”说起。光看法条，似乎企业存在一个自行判断“数据保护官”介入时机的裁量权，只要保证是及时的就可以。但是看了 WP29 小组指南中的相关部分，小编发现，这个“及时”其实要直接理解成“尽早”，想要 GDPR 合规，拖延症真的要不得。

比如下面还要详细说明的“数据保护影响评估”（DPIA）工作中，GDPR 明文规定，“数据保护官”越早介入越好。

而其他事宜虽然没有明文规定，但是 WP29 小组还是坚决的表示，从开始阶段就咨询“数据保护官”的意见，可以促进企业的 GDPR 合规，贯彻“自设计开始合规”的保护理念，并且应被企业确立为标准的内部流程。

“适当”和“所有”相对抽象一些。WP29 小组因此也没有针对“适当”和“所有”本身的内涵进行过多的阐释，而是从其一贯的风格，针对实践操作给出了一些意见。

企业应保证“数据保护官”：

• 经常被邀请参与中层和管理层的会议；

• 数据保护相关决策被做出时应到场；

• 意见受到合理重视，如果意见相左，反对原因应书面记录等。

2 、监控企业 GDPR 合规情况 

上期谈到西门子冰箱门门事件危机公过，“数据保护官”的主要任务，就是保证企业个人数据相关事宜符合 GDPR 的规定

为了任务的实现，“数据保护官”一个重要职责是监控企业 GDPR 的合规情况。

WP29 小组在指南中将该职责拆解成以下三个部分：

1）信息收集以确定企业的个人数据处理行为；

2）分析和核查处理行为的合规情况；

3）对企业进行通知、建议和推荐。

需要注意的是，WP29 小组特意明文强调，虽说“数据保护官”有监控的职责，但是如果真的出现了不合规的情况，这个锅企业是甩不掉的，更不可能甩给“数据保护官”。 

3、风险基础方法 

“数据保护官”的时间、精力和资源总是有限的，因此 GDPR 和 WP29 小组特别要求“数据保护官”在履行职责时采取“风险基础方法”。

“风险基础方法”从更高的层面上来说也是 GDPR 企业合规义务设置的思路。

含义很简单，就是风险高的越优先处理，投入更多的资源去认真对待，风险低的优先级相应调低。

在了解了“风险基础方法”的含义后，小编还是想再给各位大佬强调一下，风险基础方法的前提是“数据保护官”的时间、精力和资源总是有限的。在安排工作时，千万不要将风险小的行为直接忽略掉，正确的做法是调低其优先级，和投入相应的资源。

具体来说，如下“数据保护官”工作场景涉及到风险基础方法的使用。

WP29 小组中指南中提到，“数据保护官”决定某一事项是否应该进行“数据保护影响评估”时，应该采取风险基础方法。此外还应就公司的某一领域是否应该接受审查，是否应对负责数据处理的管理人员和员工是否应该接受 GDPR 培训，是否应重点关注某一数据处理行为等决定的做出采取风险基础方法。

4、 数据保护影响评估 

参与“数据保护影响评估”，是“数据保护官”工作的重头戏。

“数据保护影响评估”，是“控制者”，也就是企业自身，发起的行为，旨在（1）描述某一数据处理行为、（2）评估该行为的必要性和合比例性以及（3）帮助企业管理因处理行为产生的自然人权利和自由的风险。“数据保护影响评估”，是 GDPR 针对高风险处理行为要求企业采取的重要的合规手段。

小编这里这里不会展开谈评估本身，而是重点关注“数据保护官”在这一企业行为中扮演的角色和需要履行的具体工作。

“数据保护官”介入评估的基础逻辑是 GDPR 规定的“从设计阶段开始”保护的理念，具体的工作方法论就是上文提到的“风险基础方法”。

从基础逻辑出发，GDPR 要求企业在决策是否进行 “数据保护影响评估”时，必须征求数据保护官的意见。反过来，GDPR 规定，在被征求意见时，“数据保护官”也必须发电视广告的投射表意见。

征求意见时，应至少涵盖以下具体问题：

• 是否进行评估；

• 评估时应采取的具体方法论（methodology）；

• 应由公司自行评估，还是应该外包；

• 应采取何种安全措施降低任何有关数据主体权利和自由的风险；

• 评估是否正确进行，并且取得了 GDPR 合规的结论。

 5、记录留存 

遵循 WP29 小组的编排方式，给记录留存职责单辟一个部分出来。

上文也提到，“数据保护官”需要监控企业 GDPR 合规情况，因此其职责中包括留存相关的记录也是合乎逻辑的。

记录本身的重要性不言而喻。一方面，“数据保护官”可以通过记录了解和掌握企业的合规情况，也可以根据记录更有效的对于企业提出有针对性的合规建议和推荐。另一方面，在发生数据安全事件或者其他相关场合时，企业或者相应的数据保护机关有可查询的资料，以对企业整体的数据保护情况做出一个清晰的评估。

“数据保护官”最常见的记录方式就是，制作数据库存盘点（data inventory）或者数据流转图（data map）。下图是一个比较常见的数据库存盘点的截图：

尾声 

最后再强调一下 “数据保护官”的合规逻辑。“数据保护官”不是给企业背锅的角色，但是设置“数据保护官”本身，是数据保护机关在考量企业 GDPR 合规程度时一个非常重要的因素。另外，如果认真遵循 GDPR 的规定，相信“数据保护官”也一定会在企业的个人数据保护工作中起着重要的作用。

最后还是那句老话，GDPR 合规无小事，各位大佬我们下期再见！

本文谨代表 APUS 研究院观点，并非正式法律意见。如有问题欢迎随时沟通。