蔡朝安

号称「史上最严个资法」的欧盟一般资料保护规范（GDPR）自2018年生效，其中38条规定，企业必须聘任「资料保护官」（DPO），对于资料保护官最基本的要求，就是「独立性」。近期国外发生的一起裁罚案例，可提供在欧台商参考，在选择公司的DPO时，要採兼任或外聘，有其学问。

今年4月28日，在比利时发生一起有趣的案例，看似合理的保护官安排，却仍被比利时主管机关认定缺乏独立性。有别于过往裁罚案例，通常是牵涉到资料收集处理流程违规，但这次企业却是因为资料保护官缺乏独立性，而遭到处罚。

比利时这家企业的DPO，是由公司的法遵、风管及稽核部门主管来兼任，照理讲，这些部门通常独立于公司内部其他部门，应符合GDPR所要求的独立性，然而，主管机关并不这么想。

原来，法遵、风管、稽核部门的主管有解僱员工的权力，这与GDPR对于资料保护官的独立性要求，仍然有所违背。

由于资料保护官在处理资料保护相关案件时，具有保密义务，同时，法遵、风管、稽核部门主管，针对该部门员工个资收集与处理，有决策的权力，通常也负责部门资料收集与处理的活动。如此一来，若让法遵、风控、稽核主管兼任公司的资料保护官，是可能有利益冲突的。

比利时主管机关认为，这家公司的营运涉及大量处理个人资料，也包含敏感个资，早该做好GDPR法遵准备；此外其违规行为潜在受影响人数，可能是以百万计，因此比利时政府裁处该公司5万欧元（约新台币162万元），并要求在三个月内改正。

虽然此案仍可上诉，但某种程度也让企业更清楚理解，应如何符合GDPR针对资料保护官独立性的要求。

在GDPR刚上路时，很多在欧盟有据点且依据GDPR必须聘任资料保护官的台湾企业，纷纷指派公司内部人员兼任，有的是找了公司IT部门，有的则是找分公司子公司的经理，要不就是像前述比利时公司一样，找了法遵、风控、稽核部门的人员兼任。

若依照比利时个资主管机关对DPO担任人选妥适性的定义，这些兼任的安排可能都不符合GDPR针对资料保护官的要求。那么是否表示兼任的资料保护官都会踩到红线呢？倒也不尽然。

从上述比利时案例可观察到，就连外聘资料保护官，企业也应从个资当事人权益保护作为优先考量的依据。

资料保护官的独立性要求，不单单只是要求担当者的功能独立于企业其他部门的营运，更要求担任资料保护官的人能够在执行职务时，将个资当事人权益的保护做为最主要的考量因素。

因此，若企业所收集的个资包含受GDPR所保护的员工个资，那企业所指派的资料保护官就应尽量避免以兼任的方式为之，以聘请专任或外部的资料保护官为较合适的安排。毕竟，兼任的安排较有可能对企业员工身为个资当事人的权益有不利影响，进而使企业无法符合GDPR规定。

反之，若企业所收集处理的个资并未及于企业员工个资，而仅为外部客户或其他第三方个人资料，那么兼任DPO的安排也不是不行。

（本文由普华商务法律事务所主持律师蔡朝安口述理）