控制者必须支持其 DPO

fabiha01

欧盟通用数据保护条例 (GDPR) 不仅要求控制者和处理者对如何处理个人数据承担义务，还要求他们在与处理个人数据有关的所有事务中让其（外部）数据保护官 (DPO) 参与进来（参见 GDPR 第 38 条）。

但是，为什么我们在这篇博文中重点关注控制者必须支持其 DPO 的声明？

答案是显而易见的。 GDPR 不仅在艺术中明确规定了提供支持的义务。 38 GDPR，但比利时数据保护监督机构 Autorité de protection des données (APD) 最近的一项裁决（参见 2024 年 6 月 3 日第 87/2024 号案件争议庭的裁决）再次表明，控制者必须支持其 DPO。如果像本案一样，内部 DPO 还必须在公司内执行其他任务，则尤其如此。

初始情况
在该具体案例中，来自相关公司客户的删除请求是让人对控制者支持其 DPO 的义务产生怀疑的决定性因素。

受影响的客户希望公司退还过高的能源贡献金额差额，但公司保留了差额。受影响的客户随后终止了与该公司的合同关系，并要求根据《第 14 条》删除其所有个人数据。 17 GDPR。责任人并未遵守此项删除规定。收到删除请求四个月后，受影响的客户仍然以时事通讯的形式收到广告（见此处）。调解尝试也未能成功。该顾客随即向相关监管机构投诉。在监管机构的审查中，负责的公司反驳说，未能回应数据主体的请求是内部DPO的过错。

故事的结局是：监管机构对责任公司处以172,341欧元的罚款，并责令该公司删除数据主体的个人数据。

数据保护官的法律地位
但公司内部究竟谁该承担责任？在最初的案件中，责任公司指责其内部DPO未能履行GDPR规定的义务或仅在有限的范围内履行了义务，爱尔兰商业传真列表 因为公司忙于工作，因此无法回应数据主体的请求或主管监督机构的投诉，更不用说让数据控制者参与事件了。

但事实上，负责人必须确保 DPO 能够履行其职责。

(外部) DPO 的法律地位在第 6 条中有定义。 GDPR 第 38 条：

“GDPR 第 38 条数据保护官的职责

控制者和处理者应确保数据保护官适当、及时地参与与个人数据保护有关的所有事务。
控制者和处理者应当协助数据保护官履行第 39 条规定的任务，提供执行这些任务所需的资源、访问个人数据和处理操作的权限以及维持其专业知识所需的资源。
控制者和处理者应确保数据保护官在执行其任务时不会收到有关执行这些任务的任何指示。数据保护官不得因其职责的履行而被控制者或处理者解雇或处以不利地位。数据保护官直接向控制者或处理者的最高管理层报告。
数据主体可以就与处理其个人数据以及行使本条例赋予的权利有关的任何事项咨询数据保护官。
数据保护官在履行职责时应受联盟或成员国法律的约束，遵守秘密或保密规定。
数据保护官可以执行其他任务和职责。控制者或处理者应确保此类任务和义务不会导致利益冲突。”
因此，GDPR 第 38 条第 6 款规定，尽管 DPO 也可以在公司内部履行其他职能，但控制者必须确保作为 DPO 的任务和职责不会导致公司内部的利益冲突。鉴于本案中责任公司的 DPO 无法及时回答数据主体的请求和 APD 的问题，因此可以肯定地认为，履行 DPO 职责时的这些任务与公司内部的其他任务相冲突，因为根据 APD 的决定，该公司内部的 DPO 因其他任务而负担过重。

控制者的责任
值得注意的是，该公司声明称由于缺乏 DPO 的支持，数据主体的请求无法及时得到满足，但 APD 对此无动于衷。在 2024 年 6 月 3 日第 87/2024 号案件的判决中 - 第。在第68号文件中，委员会重申，负责的公司“有法律义务建立必要的结构和措施，以促进DPO的工作并确保个人数据的保护。这意味着必须为DPO提供与所进行的数据处理性质和相关风险相称的充足资源，以及在组织内促进和支持该角色所需的时间和访问权限。” （直译）

此外，还可以参考DSK的第12号短文（参见第12页）。因此，“GDPR（...）在第 24 条第 1 款中明确规定，确保并证明数据处理符合 GDPR 规定的义务仍由控制者或处理者承担，而非数据保护官（DPO）。尽管如此，DPO 仍应充分记录其活动，以便在必要时能够证明其已妥善履行其职责（特别是提供信息和建议）。”

结论
总之，需要注意的是，GDPR 的法律要求和 APD 的决定都表明，控制者始终要对数据处理和遵守 GDPR 的要求负责，而不能将这一负担完全且专门地转移到 DPO 身上。仅仅因为任命了 DPO 并不意味着公司可以袖手旁观并让 DPO 开展工作。 DPO 为公司提供建议和支持，帮助他们在 GDPR 丛林中找到出路，但要求的实施始终由控制者自己负责。