熱門文章

【快訊】法遵長不能兼任個資保護長?—比利時公司因此遭罰百萬

編譯:許 斌 博士/特約研究員

審閱:葉奇鑫 律師

   王慕民 律師

 

GDPR生效後,指派個資保護長是相關業者在個資保護法令遵循方面最為棘手的問題之一。依據GDPR第38條,核心業務涉及大規模系統性監控個人、或大規模處理特種個人資料之組織,須指派個資保護長(Data Protection Officer, DPO),負責監督組織對GDPR之遵守狀況。GDPR對個資保護長之指派與履職方式有詳盡要求,包括個資保護長須具備相當程度之專業與技能,以及組織須為個資保護長執行任務提供必要資源。而最近比利時資料保護署(Data Protection Authority, DPA)的一項處罰決定,可能使個資保護長之指派條件更加嚴格。

 

2020年4月底,DPA在調查一起比利時公司資料外洩事件時,發現該公司指派個資保護長不符法規要求。DPA因此對該公司開罰5萬歐元(約合新台幣160萬元),這也是DPA史上開出的最高額罰單。該公司的個資保護長由「法遵、風險管理與稽核部」的負責人兼任。DPA認為,這種兼任行為違反了GDPR第38條第6項關於「利益衝突之禁止」的要求。

 

GDPR第38條第6項規定,個資保護長雖得「執行其他任務及職責」,但組織須確保此任務或職責「不會造成利益衝突」。

在「利益衝突」的解釋方面,DPA指出,即使個資保護長所兼任的部門並非業務部門、對組織整體的資料處理活動無決策權,而是在組織內部承擔獨立諮詢職責(如本案中的「法遵、風險管理與稽核部」),也不必然意味著個資保護長能夠獨立履行個資保護職責。

 

就本案而言,DPA認為,該公司的個資保護、法令遵循、風險管理、內部稽核四類職責,都由同一人領導。而這種身兼數職的狀況,將「無可避免」地導致個資保護長在領導法遵、風險管理、內部稽核等事務時,也會領導這些事務所涉及的個資處理的目的及方式。換言之,個資保護長在其兼任的「法遵、風險管理與稽核部」內,對該部門的資料處理活動有決策權。這導致「法遵、風險管理與稽核部」內部的資料處理活動缺乏監督,因而違反GDPR之要求。

 

DPA對GDPR第38條第6項「利益衝突」的上開見解,比第29條個資保護工作小組(Article 29 Data Protection Working Party,以下簡稱「該工作小組」)的觀點更為嚴格。該工作小組在其發布的「關於個資保護長(DPO)之指引」(Guidelines on Data Protection Officers (‘DPOs’))(本所受國家發展委員會委託,對該指引進行全文翻譯,請點擊文後連結下載),認可個資保護長兼任其他職務之可能性,並對利益衝突的情形作了舉例說明,包含管理高層職位(如執行長等)、組織結構中較低階但會決定個資運用之目的及方式職位、會在個資保護爭議中代表控管者參加法院程序之職位等。

 

相較之下,依DPA之見解,只要個資保護長兼任領導的部門涉及資料處理活動,即存在利益衝突。這種見解下,實務中個資保護長將很難在組織內部兼任其他職務。若兼任較高階的職位,則會對資料處理活動有決策權;若兼任較低階職位,則或會直接參與個資之處理、或不能滿足GDPR第38條第3項「直接向最高管理階層報告」之要求。對於組織(特別是規模較小的企業)而言,這種嚴格解釋可能顯著提高個資保護法令遵循的成本。

 

DPA的此一裁罰決定仍可向比利時上訴法院提起上訴。後續發展如何,達文西個資暨高科技法律事務所將為大家持續關注。

 

 

※ 比利時DPA裁罰決定原文請見:https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_NL_.pdf

※ 本事務所受國家發展委員會委託翻譯之「關於個資保護長(DPO)之指引」中英對照全文請見:https://www.davinci.idv.tw/download

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw