数据保护官员的崛起

在GDPR筹备的最后几个月，欧洲见证了一项新工作职能的扩散。

欧洲各地的组织都在任命数据保护官员，以表面上实现对新法规的遵守。

从那时起，桥下流过很多水。各组织现在有机会以结构化的方式开展数据保护工作，并有机会体验哪些工作有效，哪些可以改进。

与此同时，在此期间，对更高级数据处理活动的业务需求显著增加。在GDPR开始实施之前的几年中，只有少数组织参与了更先进的数据处理活动，人工智能、机器学习和面部识别等技术现在已成为传统技术，并被许多组织部署在各种环境中，用于各种目的。

这种成熟度的提高和对隐私功能作用的深入理解促使各组织扪心自问：

什么是我们理想的组织数据保护设置？我们需要首席隐私官还是数据保护官，还是两者都需要？

在下面的文章中，我将研究这两种角色的好处，但我也将研究与每种角色相关的一些挑战，以及为什么这些挑战促使数据保护官员和组织质疑他们的理想设置。在本文的最后，我将分享我的观点，即什么样的组织结构可能是各种类型组织的理想选择。

数据保护干事（DPO）

DPO的任命需要遵守GDPR第37-39条关于报告关系、无利益冲突、资格、参与、监控、报告等的要求。显然，并非所有组织都需要任命DPO，但仅适用于处理第37（1）a-c条范围内数据的组织。

EDPB指南wp243鼓励DPO广泛直接参与组织处理活动的评估。比利时APD/GBA在案例18/2020中的决定规定，一旦任命，DPO应及时适当地参与与个人数据保护相关的所有事项。例如，将DPO在个人数据泄露事件中的参与减少到仅在事件发生后将决定告知DPO将削弱违反GDPR的功能。同样，在卢森堡国家公共事务部（CNPD）于2021颁布的第41FR/2021号案件中，发现DPO仅在与组织处理个人数据有关的少数内部会议和委员会中临时参与，而没有定义DPO参与的规则或会议频率，这违反了第38（1）条。

必须记住，DPO角色的目的是作为组织处理数据的数据主体的代表。同时，DPO不能执行与确定个人数据处理目的或方法有关的任务，参见斯洛文尼亚DPA第07121-1/2021/577号决定。我已经在之前的几篇文章中介绍了DPO的重要作用，我将参考这些文章以供进一步阅读。

首席隐私官（CPO）

DPO和CPO角色之间的主要区别在于，有可能代表组织的数据处理利益，并积极参与开发满足组织数据处理需求的解决方案。在实践中，这意味着CPO将有可能与内部利益相关者就解决方案的设计进行沟通，成为“组织”的数据保护专家，从而积极参与为组织如何证明和解释数据处理活动提供论据和建议。

CPO角色不一定被标记为CPO。一些组织可能会使用不同的名称，如数据保护负责人、隐私顾问等。不同职务的共同之处在于，他们指的是组织在第一道防线中的角色，并直接参与处理和解决数据保护问题。

对DPO参与的限制

不能指望DPO承担起倡导组织有权在要求更高或边际类型的数据处理中处理数据的角色。组织需要尊重GDPR的要求及其对该角色的限制。

在实践中，这意味着组织不能要求DPO提供数据处理实践的建议或接受。组织将对其有关数据处理的决定负责，DPO不能成为接受和开始特定处理活动的决定的一部分。然而，这不应被解释为DPO积极参与特定处理活动的评估和提供指导的一般限制。这种参与对于有效的隐私管理计划和组织的整体合规性都至关重要。

实际上，这意味着，对于DPO代表组织执行的任务，需要遵守一些约束条件。

决定正确的数据保护设置

您的组织是否需要DPO、CPO或两者取决于1）您组织的规模，2）您处理活动的性质。

GDPR立即就何时任命DPO提供指导，即处理活动是a）由公共当局执行，b）要求对数据主体进行大规模定期和系统监控，或c）包括大规模处理特殊类别的数据。

然而，对于一些受这些要求约束的小型组织，可能难以任命全职DPO。此外，尤其是对于参与更高级数据处理活动的小型组织，通常会有对更多操作性数据保护支持的单独需求，例如，数据处理协议谈判、新服务开发的数据保护指导等。

类似地，生产非数字产品的B2B组织只能在有限的范围内处理与其员工和少数业务关系相关的个人数据。正如这些类型的组织不需要任命DPO一样，将全职资源分配给数据保护事务也没有什么操作意义。

相反，在另一个范围内，你会发现组织的规模、成熟度和组织复杂性都有所提高。即使是员工数量超过一定阈值的B2B组织，也可能会发现其组织复杂性和更先进的员工管理措施保证了一个或多个全职数据保护资源。

然后，问题是该组织应在何时以及由谁来支持数据保护事务的不同职能。

何时指定为数据保护接触点

少于250名员工

一般而言，对于不参与高级数据处理的小型组织，无需指定专门的数据保护资源。如果组织中的某个人对数据保护既不了解也不感兴趣，那么简单地将其命名为“数据保护冠军”是没有意义的。相反，如果此类组织偶尔遇到数据保护问题，则应依赖临时外部建议。

如果规模较小的组织确实参与了高级数据处理活动，因此需要任命一名DPO，则该组织任命一名兼职外部DPO，转而依靠内部律师/法律团队，在日常运营数据保护事务上为该组织提供支持，通常是最有意义的。

250至999名员工

已达到一定规模并参与与员工和客户相关的标准数据处理活动的组织经常需要内部数据保护专业知识来指导和支持组织的各种事务。工作范围通常不需要全职职位来管理工作量。因此，数据保护支持通常最好由法律团队中的资源提供，该团队在数据保护方面经历了一些提升或专业化。

当组织参与更高级的数据处理活动时，这种情况会发生变化。小型组织的情况通常如此，其核心服务基于高级数据处理能力。在这种情况下，组织将面临对数据保护事项进行内部澄清的突出且反复出现的需求。在这种情况下，所有组织环境和需求都需要任命全职数据保护资源。然而，这并不一定意味着全职资源应该是DPO。大多数情况下，真正耗时的任务将与新服务的开发、设计、测试和批准相关。因此，DPO——及其约束——可能不是组织需要的全职角色。相反，该组织任命一名首席执行官并依赖于任命一名内部或外部兼职首席执行官是有意义的。

1000至4999名员工

对于组织结构更复杂、业务流程数量更多的大型组织，有必要指定专门的数据保护资源。即使对于数据处理需求有限的大型组织，RoPA的强制维护以及与多个外部方签订DPA以满足各种业务需求的反复需要，也需要组织内数据保护要求的专家知识。对于具有标准数据处理需求的大型组织，任命一名全职CPO，积极协助组织处理日常数据保护事宜，是确保向组织提供密切支持的正确选择。

如果较大的组织参与高级数据处理活动，如电信、银行、保险或制药，则应同时任命一名全职CPO和一名全职DPO。CPO应始终是一种内部资源，能够在日常基础上与组织的各种业务职能部门密切合作。DPO是否为内部或外部资源取决于处理活动的频率和范围。

>5000名员工

大型组织将——由于其庞大的规模和员工数量——广泛处理数据。此外，所有趋势和发展都表明，数据依赖性更低的组织和行业必须采用新的更先进的数据处理能力，才能满足未来的业务（如员工管理）和客户需求。

对于这一类别中的所有类型的组织，这保证有一个全职的专用资源，在内部推动对数据保护要求的认识和遵守。

至关重要的是，各组织应为发展强大的数据保护基础分配责任和所有权。由于DPO角色的限制，该职责不能由该职能承担。因此，CPO将是拥有和推动该项目发展的正确选择。然而，不应低估DPO在组织中的重要性。即使对于这种规模的组织，DPO也将在确保业务流程的有效性方面发挥关键作用，并就组织如何能够最好地降低组织处理活动可能带来的数据主体风险提供指导和建议。

DPO和CPO的组织布局

关于这两个角色经常出现的一个话题是，角色应该在哪里组织。

显然，GDPR中的要求以及各监管机构随后做出的决定对DPO的组织方式和地点施加了一定的限制。

在卢森堡国家石油公司2021第41FR号案件中，DPO和公司最高管理层之间存在多个等级中介，违反了第38（3）条。这种组织结构的结果是，DPO无法直接向公司最高管理层报告，并且没有足够的自主性和独立性来决定何时以及如何进行报告。

小型和大多数中型组织通常会发现，建立一个直接向组织执行管理层报告的独立DPO角色具有挑战性。另一方面，一旦组织规模扩大，它们往往需要建立其他类似职能，例如合规和内部审计，直接向执行管理层或董事会汇报。如果成立了内部委员会以接收职能部门（而非DPO）的定期报告，则通常更容易为DPO建立直接报告关系。

然而，可以通过其他方式解决GDPR的报告线要求。DPO可以置于若干组织职能范围内，如法律、合规甚至安全，只要：1）有明确的授权，确立DPO的权利和独立性；2）如上所述，DPO不参与与确定个人数据处理目的或方式有关的任务。例如，见比利时APD/GBA 2021第56号案例，其中监督机构决定DPO的职能与非运营首席信息安全官的职能之间不存在利益冲突。

关于首席隐私官，组织在决定如何组织角色方面有更大的灵活性。由于该角色更加注重运营，您经常会看到首席隐私官向1）总法律顾问、2）首席执行官或公司事务官或3）合规总监报告。这将取决于各组织之间现有的组织责任划分，以及构成首席采购官角色关键组成部分的任务，其中该角色组织得最好。

如果该角色主要涉及运营数据保护事宜的日常建议和咨询，则将该角色安排在法律职能部门可能最有意义。如果期望该角色在提高认识、组织培训和治理发展方面发挥更突出的作用，那么将该角色与合规性放在一起可能更有意义。如果数据处理是组织核心活动的一个基本部分，并且客户对组织数据处理活动的信任对组织的长期成功至关重要，那么首席执行官向首席执行官或公司事务官报告可能最有意义。IAPP的2021年度隐私治理报告显示，30%的“隐私领导者”向法律总顾问报告，18%向首席执行官报告，16%向首席合规官报告。

据我预测，《数据治理法》、《数字服务法》、《数字市场法》和《人工智能法》颁布后的新要求将进一步强调需要重新考虑一些组织内的数据保护设置。随着需求变得更加具体和复杂，与组织的数据保护专家进行密切讨论的需求将增加。虽然 CPO 和 DPO 对这些未来讨论的参与至关重要，但组织需要注意 CPO 和 DPO 履行两个重要但又非常不同的角色。

本文：