网曝信息泄露事件越来越多,各国法律对此严惩不贷,为规避风险,不少公司启动数据保护官(DPO)策略,通用数据保护条例(GDPR)已在欧洲建立了数据保护官的概念,对此你知道多少?
早在2018年GDPR法案刚刚颁布不久,信息安全行业专业咨询机构SCA安全通信联盟就举办了首次针对GDPR法律法规的解读培训,引起了业内人士的广泛关注,今天小编根据条例整理出了关于数据保护官(DPO)5个问题,在此为您解惑。
与普遍看法相反,决定任命数据保护官(DPO)的法律义务不是公司的规模,而是核心处理活动,这些活动被定义为实现公司目标所必需的。如果这些核心活动包括大规模处理敏感的个人数据或对数据主体的权利特别有利的数据处理形式,则公司必须指定一名数据保护官(DPO)。另一方面,公共机构是必须任命一名数据保护官(DPO),但以司法身份行事的法院除外。
任命数据保护官的法律规范对成员国设有灵活性条款——团体和公司有两种选择来履行其任命数据保护官的义务。他们将员工命名为内部数据保护官,或者他们指定外部数据保护官。公司可以自由决定是否必须根据更严格的要求任命数据保护官(例如,《德国联邦数据保护法》)。
一、如果团体和公司根据“一般数据保护条例”(GDPR)或更具体的国家法律的规定存在此类义务,则企业应该任命一名数据保护官(DPO)。但公司数据保护官(DPO)必须能够方便地访问监管机构,员工和外部数据主体。
二、如果团体和公司不存在法律义务,公司可以自愿指定数据保护官(DPO)来遵守数据保护。即此时公司可以雇佣兼职数据保护官。
团体和公司有两种可能性来履行其任命数据保护官的义务。他们将员工命名为内部数据保护官,或者他们指定外部数据保护官。在选择这样的人时,他们必须确保内部数据保护官员不会因为他在IT部门,人力资源部门或高级管理层工作而受到利益冲突,他必须在那里监督自己。
另外,无论选择哪种方案,数据保护官员都必须具有数据保护法和IT安全方面的专业专业知识,范围取决于数据处理的复杂程度和公司规模。
数据保护官(DPO)的职责包括:努力遵守所有相关数据保护法;监控具体流程,如数据保护影响评估;提高员工对数据保护的意识,并相应地进行培训;以及与监管机构合作。
因此,作为数据保护官的员工不得因其履行任务而被解雇或处罚。尽管他具有监控功能,但公司本身仍然有责任遵守数据保护法。因此,它必须让数据保护官(DPO)参与所有与“正确和及时”保护个人数据有关的问题中来。
在任命数据保护官时,他的上司必须公布他的联系方式,并将他的任命和联系数据传达给数据保护监督机构。如果公司自愿任命数据保护官(DPO),他们也必须遵守上述标准和规定。
最后请注意,如果团体和公司有法律义务,故意或疏忽未能指定数据保护官(DPO)是违法行为,但仍会受到罚款。
PS:文章内容根据通用数据保护条例(GDPR)整理,如有问题请留言讨论。SCA安全通信联盟,主要关注安全通信和安全身份认证领域,为信息安全领域提供中立、专业的认证咨询服务。