• facebook

依據GDPR第38條規定，企業必須聘任資料保護官（DPO），而資料保護官最基本的要求，即是其獨立性。

比利時的資料保護主管機關在今年的4月28對一家公司予以裁罰，裁罰的原因和以往看到的裁罰案例不太相似，並未牽涉到資料收集處理流程違規的問題，亦未涉及資訊安全不足的議題。該企業被裁罰因為它所聘任的資料保護官被主管機關認定為缺乏獨立性。

該企業係選擇由其公司的法遵、風管及稽核部門主管兼任公司的資料保護官。這樣的安排看似合理，畢竟法遵、風管、稽核部門通常獨立於公司內部其他部門，似乎可以被視為符合GDPR針對資料保護官所做的獨立性要求。但為何比利時的資料保護主管機關仍然認定這樣的作法不符合規定呢？

原來，法遵、風管、稽核部門的主管有解僱員工的權力，這與GDPR對於資料保護官的獨立性要求仍然有所違背。資料保護官在處理資料保護相關案件時，具有保密的義務，此外，法遵、風管、稽核部門的主管針對該部門個人資料收集與處理，有決策的權力，通常也負責部門資料收集與處理的活動。如此一來，若讓遵、風控、稽核主管兼任公司的資料保護官，是可能有利益衝突的。

考量到資料保護官的獨立性要求對於該公司而言應該不陌生，而且該公司的營運行為涉及大量處理個人的資料（包含敏感個資），早該做好GDPR遵法準備，另外，其違規的行為，潛在受影響的人可能是以百萬計，因此，該公司被比利時政府裁處五萬歐元的行政罰鍰，並被要求在三個月內改正。

雖然此案仍可上訴，但也在某種程度讓企業可以更清楚理解，應如何符合GDPR針對資料保護官獨立性的要求。在GDPR剛上路時，很多在歐盟有據點且依據GDPR必須聘任資料保護官的台灣企業紛紛指派公司內部的人員兼任，有的是找了公司IT部門（因為大家想到資料保護就覺得是IT的事），有的則是找分公司子公司的經理，要不就是像上面所提到的比利時公司一樣，找了法遵、風控、稽核部門的人員兼任。若是依照比利時個資主管機關對DPO擔任人選妥適性的定義，這些兼任的安排可能都不符合GDPR針對資料保護官的有要求。那麼是否表示兼任的資料保護官是都不可行的？倒也不盡然。

其實從上述比利時的案例我們可以觀察到，就連聘任資料保護官企業也應該要從個資當事人權益保護作為優先考量的依據。資料保護官的獨立性要求，不單單只是要求擔當者的功能獨立於企業其他部門的營運，更要求擔任資料保護官的人能夠在執行職務時，將個資當事人權益的保護做為最主要的考量因素。

因此，若企業所收集的個資包含受GDPR所保護的員工個資，那企業所指派的資料保護官就應盡量避免以兼任的方式為之，以聘請專任或外部的資料保護官為較合適的安排。畢竟，這樣的安排就比較有可能對企業員工身為個資當事人的權益有不利之影響，進而使企業無法符合GDPR的規定。反之，若企業所收集處理的個資並未及於企業員工個資，而僅為外部客戶或其他第三方之個人資料，那麼兼任DPO的安排非必然不是不行的選項。