GDPR第39条对数据保护人员的任务做了如下规定:
(a)向控制者、处理者以及根据本章程或者根据其他欧盟法律或成员国法律规定的义务进行数据处理的人员,提出通知和建议;
(b)和监控本章程、其他欧盟成员国法律、控制者处理者关于个人数据的相关政策(包括职责、意识提高、人员培训)以及相关审计活动的合规性;
(c)根据35条提出对于数据保护影响评估和监控的建议;
(d)和监管机构合作;
(e)作为监管机构与处理活动的连接点,包括第36条提到的事先咨询或者其他咨询活动。
《数据安全管理办法(征求意见稿)》第十八条规定数据安全责任人履行下列职责:
(一)组织制定数据保护计划并督促落实;
(二)组织开展数据安全风险评估,督促整改安全隐患;
(三)按要求向有关部门和网信部门报告数据安全保护和事件处置情况;
(四)受理并处理用户投诉和举报。
从中不难看出,数据保护官除了管理企业日常数据保护工作外,还承担着“数据外交”的职能,姓名与联系方式需要对外披露,并且需要与监管机关、数据主体对接。由此就延伸出了一个原则性问题,即题目提到的“数据保护官是卧底吗?”。
最近我国颁布的《数据安全法(草案)》,也在第二十五条明确规定了重要数据的处理者应当设立数据安全负责人。
如果数据保护官是监管机关的“人”,那企业一发生数据违规事情,那不得马上跑到监管机关打报告?这场景颇似无间道,企业花钱雇了个卧底,而且明知道你是卧底,还不能把你给辞了,所以这在逻辑上就行不通。 还是得回到设立数据保护官的本意上,企业因为数据安全、数据隐私的问题,所以才需要有个“数据统帅”来解决这个事情,从这点出发,数据保护官跟财务、会计等企业职员没有本质区别,后者平时也要跟税务部门打交道,但如果就是这样,则这个“新职业”似乎也没什么神奇的。
殊不知,不管是GDPR还是国内的《数据安全管理办法(征求意见稿)》均给数据保护官一项特殊的“权力”。GDPR第38条规定,控制者和处理者应当确保对数据保护人员不下达任何指令,他们不能因为执行任务的原因而被解雇或者受到刑事处罚。数据保护人员直接向最高管理者报告工作。 《数据安全管理办法(征求意见稿)》第十七条规定,网络运营者应为数据安全责任人提供必要的资源,保障其独立履行职责。 一个要求企业不能给数据保护官下达任何命令,一个要求企业保障数据保护官独立履职。这下有意思了,数据保护官似乎承担着某种特殊的使命,使其一定程度上独立于企业之上,颇似监事。
答案恐怕不是,因为监事始终还是代表企业的利益,监事的独立性体现在独立于其他高管,监督损害企业利益的行为,而非独立于企业。
虽然,目前也无法准确得出数据保护官就是独立于企业,但根据立法者的意图来分析,还是希望其扮演一定的“公职人员”属性,以减轻监管机关在数据保护严峻形势下的压力。 所以,当企业利益与公共利益冲突时,如果你是数据保护官你该怎么做?
其实,在立法层面尚不明确时,要解决这个问题并非难事。企业只需在任命数据保护官时,将其职责范围明确约定并落实到书面即可,届时大家奉纸办事,相安无事。
对于企业来说,数据保护官是担任企业数据合规的统筹管理者,还是捍卫数据利益的金盔甲士?职责界限与范围又在哪?能调配企业多少资源?这些均会决定其今后工作的走向及成果,而其工作的质量将影响企业的合规能力与竞争优势,所以,企业一开始还是要周密安排,而不是一拍脑袋“就是你了”。
