蔡朝安
號稱「史上最嚴個資法」的歐盟一般資料保護規範(GDPR)自2018年生效,其中38條規定,企業必須聘任「資料保護官」(DPO),對於資料保護官最基本的要求,就是「獨立性」。近期國外發生的一起裁罰案例,可提供在歐台商參考,在選擇公司的DPO時,要採兼任或外聘,有其學問。
今年4月28日,在比利時發生一起有趣的案例,看似合理的保護官安排,卻仍被比利時主管機關認定缺乏獨立性。有別於過往裁罰案例,通常是牽涉到資料收集處理流程違規,但這次企業卻是因為資料保護官缺乏獨立性,而遭到處罰。
比利時這家企業的DPO,是由公司的法遵、風管及稽核部門主管來兼任,照理講,這些部門通常獨立於公司內部其他部門,應符合GDPR所要求的獨立性,然而,主管機關並不這麼想。
原來,法遵、風管、稽核部門的主管有解僱員工的權力,這與GDPR對於資料保護官的獨立性要求,仍然有所違背。
由於資料保護官在處理資料保護相關案件時,具有保密義務,同時,法遵、風管、稽核部門主管,針對該部門員工個資收集與處理,有決策的權力,通常也負責部門資料收集與處理的活動。如此一來,若讓法遵、風控、稽核主管兼任公司的資料保護官,是可能有利益衝突的。
比利時主管機關認為,這家公司的營運涉及大量處理個人資料,也包含敏感個資,早該做好GDPR法遵準備;此外其違規行為潛在受影響人數,可能是以百萬計,因此比利時政府裁處該公司5萬歐元(約新台幣162萬元),並要求在三個月內改正。
雖然此案仍可上訴,但某種程度也讓企業更清楚理解,應如何符合GDPR針對資料保護官獨立性的要求。
在GDPR剛上路時,很多在歐盟有據點且依據GDPR必須聘任資料保護官的台灣企業,紛紛指派公司內部人員兼任,有的是找了公司IT部門,有的則是找分公司子公司的經理,要不就是像前述比利時公司一樣,找了法遵、風控、稽核部門的人員兼任。
若依照比利時個資主管機關對DPO擔任人選妥適性的定義,這些兼任的安排可能都不符合GDPR針對資料保護官的要求。那麼是否表示兼任的資料保護官都會踩到紅線呢?倒也不盡然。
從上述比利時案例可觀察到,就連外聘資料保護官,企業也應從個資當事人權益保護作為優先考量的依據。
資料保護官的獨立性要求,不單單只是要求擔當者的功能獨立於企業其他部門的營運,更要求擔任資料保護官的人能夠在執行職務時,將個資當事人權益的保護做為最主要的考量因素。
因此,若企業所收集的個資包含受GDPR所保護的員工個資,那企業所指派的資料保護官就應盡量避免以兼任的方式為之,以聘請專任或外部的資料保護官為較合適的安排。畢竟,兼任的安排較有可能對企業員工身為個資當事人的權益有不利影響,進而使企業無法符合GDPR規定。
反之,若企業所收集處理的個資並未及於企業員工個資,而僅為外部客戶或其他第三方個人資料,那麼兼任DPO的安排也不是不行。
(本文由普華商務法律事務所主持律師蔡朝安口述理)