蔡朝安

號稱「史上最嚴個資法」的歐盟一般資料保護規範（GDPR）自2018年生效，其中38條規定，企業必須聘任「資料保護官」（DPO），對於資料保護官最基本的要求，就是「獨立性」。近期國外發生的一起裁罰案例，可提供在歐台商參考，在選擇公司的DPO時，要採兼任或外聘，有其學問。

今年4月28日，在比利時發生一起有趣的案例，看似合理的保護官安排，卻仍被比利時主管機關認定缺乏獨立性。有別於過往裁罰案例，通常是牽涉到資料收集處理流程違規，但這次企業卻是因為資料保護官缺乏獨立性，而遭到處罰。

比利時這家企業的DPO，是由公司的法遵、風管及稽核部門主管來兼任，照理講，這些部門通常獨立於公司內部其他部門，應符合GDPR所要求的獨立性，然而，主管機關並不這麼想。

原來，法遵、風管、稽核部門的主管有解僱員工的權力，這與GDPR對於資料保護官的獨立性要求，仍然有所違背。

由於資料保護官在處理資料保護相關案件時，具有保密義務，同時，法遵、風管、稽核部門主管，針對該部門員工個資收集與處理，有決策的權力，通常也負責部門資料收集與處理的活動。如此一來，若讓法遵、風控、稽核主管兼任公司的資料保護官，是可能有利益衝突的。

比利時主管機關認為，這家公司的營運涉及大量處理個人資料，也包含敏感個資，早該做好GDPR法遵準備；此外其違規行為潛在受影響人數，可能是以百萬計，因此比利時政府裁處該公司5萬歐元（約新台幣162萬元），並要求在三個月內改正。

雖然此案仍可上訴，但某種程度也讓企業更清楚理解，應如何符合GDPR針對資料保護官獨立性的要求。

在GDPR剛上路時，很多在歐盟有據點且依據GDPR必須聘任資料保護官的台灣企業，紛紛指派公司內部人員兼任，有的是找了公司IT部門，有的則是找分公司子公司的經理，要不就是像前述比利時公司一樣，找了法遵、風控、稽核部門的人員兼任。

若依照比利時個資主管機關對DPO擔任人選妥適性的定義，這些兼任的安排可能都不符合GDPR針對資料保護官的要求。那麼是否表示兼任的資料保護官都會踩到紅線呢？倒也不盡然。

從上述比利時案例可觀察到，就連外聘資料保護官，企業也應從個資當事人權益保護作為優先考量的依據。

資料保護官的獨立性要求，不單單只是要求擔當者的功能獨立於企業其他部門的營運，更要求擔任資料保護官的人能夠在執行職務時，將個資當事人權益的保護做為最主要的考量因素。

因此，若企業所收集的個資包含受GDPR所保護的員工個資，那企業所指派的資料保護官就應盡量避免以兼任的方式為之，以聘請專任或外部的資料保護官為較合適的安排。畢竟，兼任的安排較有可能對企業員工身為個資當事人的權益有不利影響，進而使企業無法符合GDPR規定。

反之，若企業所收集處理的個資並未及於企業員工個資，而僅為外部客戶或其他第三方個人資料，那麼兼任DPO的安排也不是不行。

（本文由普華商務法律事務所主持律師蔡朝安口述理）