企业需要数据保护官（DPO）吗？谁可以成为数据保护官？

关注我们，学习更多隐私合规讯息

我们围绕数据保护合规性提供的许多建议都涉及能够说明你为遵守适用于你的业务的数据保护制度而采取的步骤的重要性。

问责制是英国/欧盟 GDPR (“GDPR”) 的关键原则之一，任命具有相关知识和专业知识的数据保护官 (DPO) 是表明你对其数据的个人负责的方式之一你处理。

尽管 GDPR 并没有要求每个企业都必须聘用数据保护官 (“DPO”)，但一个好的经验法则是假设你确实需要 DPO，除非你能够清楚地证明 GDPR 任命 DPO 的要求并不适用。不适用于你。

在这里，我们研究 DPO 在组织内的角色和职责，询问你是否需要任命一名 DPO。许多企业的一个共同结论是将这一角色外包给 DPO 作为服务提供商 来监督你的数据保护实践。

数据保护官 (DPO) 应该是组织内所有数据保护问题的首选人员。当出现数据保护问题时，你的员工应该能够依赖 DPO 的专业知识，并且公众应该能够就你企业的数据处理活动直接联系 DPO。

例如，英国数据保护机构信息专员办公室 (ICO) 等数据保护监管机构也希望与 DPO 保持联系。

扫码即可立即学习

电脑端观看：http://navo.top/eQvUfi

英国/欧盟 GDPR 第 39 条规定了 DPO 的角色和职责 。

DPO 在履行其职能时必须始终牢记与任何处理活动相关的风险。

DPO 帮助组织最大限度地降低处理个人数据所固有的风险。鉴于 GDPR 对 ICO 的各种制裁，这一点现在比以往任何时候都更加重要。

但我们的许多客户（尤其是一些中小型企业）认为，当他们只处理少量数据或他们处理的数据不是过于敏感时，任命 DPO 是一笔不成比例的费用。

要确定你的“核心活动”，你需要考虑是否需要处理个人数据才能实现你的主要业务目标。如果你这样做，那么你的数据处理是一项核心活动，需要你任命一名数据保护官。

“特殊类别”的数据包括种族或民族血统、政治观点、宗教或哲学信仰、工会成员身份、遗传和生物识别数据、性生活或性取向以及健康数据。

你是否需要根据 GDPR 任命 DPO 并不取决于你的企业规模或员工数量。中小企业在这方面没有任何豁免或回避。重要的是你处理的数据的性质和数量。

如果 GDPR 关于任命 DPO 的要求不适用于你的企业，你是否还需要考虑雇用一名 DPO？

例如，你可能不会处理敏感信息，或者你可能只处理少数人的信息。在这些情况下，虽然可能没有必要任命 DPO，但你仍然需要履行 GDPR 规定的所有义务，并且 DPO 可以通过定期监控、向员工提供建议以及提高公司内部对所有相关数据安全问题的认识来帮助你确保合规性。

但有一件事是明确的：如果你决定不任命 DPO，你应该记录不这样做的原因。如果数据保护监管机构要求，这将使你能够扞卫自己的决定。

GDPR 没有规定 DPO 需要具备的任何具体资格。但是，在为你的组织招聘 DPO 时，聘用具有适当经验并了解数据保护法及其如何适用于你所在的特定行业领域的人员非常重要。

DPO 应具备适当的专业知识来处理该类型提出的问题因此，如果你正在处理大量高度敏感的数据，你的 DPO 应该对可能出现的所有问题有深入的了解。

还请记住，在聘请 DPO 时，该人将成为你的组织与 ICO 和公众的主要联系人。他们应该具有出色的沟通和人际交往能力，并且能够将所有员工聚集在一起，共同促进数据安全的工作场所。

是的。你不一定需要聘请外部候选人作为你的 DPO。如果员工具有必要的经验，并且任命为 DPO 不会与其他职责发生冲突，他们可能会让你将该员工重新部署为你的 DPO。

GDPR 合规性的复杂性，加上数据泄露时对企业的潜在损害，对于小型企业来说，将 DPO 角色外包 给专门从事数据保护的专业服务公司尤其有利。

专门从事数据保护的服务公司的经验和专业知识的结合将提供额外广度和深度的实践知识，以引导你的业务朝着正确的合规方向发展。

对于使用外部 DPO 的公司来说，每月支付费用可以让他们高枕无忧，因为他们遵守 GDPR。

但是，外包 DPO 职能的企业必须记住，必须为外部服务公司赋予与 DPO 相同的角色和职责，就像你的 DPO 是企业员工一样。外部 DPO 还可能拥有某种形式的认证，证明他们有资格担任 DPO。