中企可考虑设置数据保护官

离职员工拨分机给HR部门，“请把我的员工基本数据交给B公司”……客户打电话给零售部门，“请将你们公司有关我的所有资料复制一份给我”……以上场景在工作中非常常见，而在GDPR正式实施后，这些常见的场景将可能成为企业遭受重罚的导火索。

“中企可考虑设置数据保护官（DPO），帮助企业完成GDPR合规。”在中国企业应对GDPR研讨会上，毕马威管理咨询服务总监肖腾飞表示，虽然GDPR不强制要求企业设置数据保护官，但欧盟主管机关强烈建议企业这样做。数据保护官的主要职责在于作为企业与主管机关、消费者之间的沟通桥梁，并监督企业对于个人信息保护的合法遵循。企业应确保数据保护官能履行其职务，不能因数据保护官履行职责而受到惩罚或报复。

企业负责人通常存在的误区是，数据保护官是否必须由内部高级管理人员或者有法律背景的人员担任。虽然GDPR允许数据保护官同时在企业拥有其他职能，但是一般来说，数据保护官的其他职能不可以同数据保护官职能产生利益冲突。肖腾飞建议企业考虑法务主管、信息安全主管、稽核主管兼任数据保护官，而非总经理、业务经理、厂长等。

数据保护官该如何开展工作呢？“数据保护官应对企业数据保护状况作出整体评估，对与业务相关的个人信息进行盘点。具体包括：评估处理一般个人信息、敏感个人信息及未成年个人信息的处理流程和存在形式；评估企业自身个人信息保护处理机制（搜集、存取、处理、传输及销毁等）；评估跨欧盟境内外的个人信息处理或传输时的相关事项（辨识个人信息跨境流向、个人信息跨境处理的合法依据、个人信息传输机制、实地检查机制、控制及监测机制、评估跨组织间潜在的责任风险及与客户、供货商/第三方间的责任等）等。”肖腾飞表示。

“数据保护官要注意雇主对雇员工作监督的政策。按照欧洲人权法院披露的标准，雇主应告知员工监控政策，且政策要清晰明确。按照德国法院的案例，除非员工有犯罪嫌疑，否则雇主不得以键盘记录器监控员工使用计算机的情形。”肖腾飞认为，数据保护官应帮助企业建立起完整的数据保护体系，再与其他部门配合完成试行、落实、审查、整改等流程，令管理体系不断完善。

建立好的数据保护体系应与业务相结合，灵活运用到实践中去。比如，一家欧盟地区企业工作人员常在餐厅外通过询问消费者的方式，对其口味、职业、消费水平、活动地点等进行了解。肖腾飞指出，该工作人员在做调查时应取得消费者同意，并告知其搜集数据的目的以及该目的符合GDPR规范。

对互联网企业来说，客户第一次注册成为网站会员的场景也很常见。“企业应依法告知客户相关事项。如谁在搜集个人信息、搜集原因，谁会接受该信息，是否传递至欧盟境外、存储时间等。”肖腾飞表示。

此外，如发生客户资料外泄的情形，数据保护官应于知悉后72小时内通报当地国际主管机关并根据具体情况通知受影响个人，通知不得有不当延迟，且内容应清楚明确。

（穆青风）