GDPR数据保护官要求:您需要任命DPO吗?(2026年)

GDPR第37至39条要求特定的控制者和处理者任命数据保护官(DPO)。该义务在三种情形下为强制性:您是公共机构或团体;您的核心活动需要对个人进行大规模定期和系统监控;或您的核心活动涉及大规模处理特殊类别数据或犯罪定罪数据。
何时强制要求任命DPO?第37条第1款的三项触发条件
《(欧盟)2016/679号条例》第37条第1款规定了三项条件,满足其中任意一项即触发强制任命DPO的义务。满足单一条件即已足够。
| 触发条件 | 条款 | 代表性示例 |
|---|---|---|
| 公共机构或团体(法院以司法身份行事者除外) | 第37条第1款(a)项 | 国家税务机关、市政府、公立大学、公立医院 |
| 核心活动需要对数据主体进行大规模定期和系统监控 | 第37条第1款(b)项 | 互联网广告网络、追踪通话记录的电信提供商、开展信用评分的银行 |
| 核心活动为大规模处理特殊类别数据(第9条)或犯罪定罪数据(第10条) | 第37条第1款(c)项 | 处理患者健康记录的连锁医院、大规模处理犯罪记录核查的私人安保公司 |
序言第97段确认了这一框架,并补充指出,所要求的DPO专业知识水平应与处理操作的复杂程度相适应。
触发条件一:公共机构或团体(第37条第1款(a)项)
无论处理规模或敏感程度如何,每个公共机构或团体都必须任命DPO。该触发条件是无条件的:不设数量门槛,不限定特定数据类别,也不限定具体活动类型。
明确的例外情形涵盖法院以司法身份行事的活动。序言第20段解释称,司法独立性要求监管机构不得直接审查法院的案件处理工作。法院的其他行政职能(薪酬发放、人力资源、楼宇管理)仍受GDPR约束,不属于司法职能豁免范围。
何为公共机构取决于各欧盟成员国的国内法。中央政府部门、地区和地方当局、监管机构、国家资助的公共广播机构、公立大学以及公立医院是典型情形。混合性质的公私实体和国有企业是否适用,则取决于相关成员国的宪法和行政法规定。
触发条件二:大规模定期和系统监控(第37条第1款(b)项)
触发条件二适用于核心活动需要对数据主体进行大规模定期和系统监控的控制者和处理者。两个要素都须仔细审视:"定期和系统监控"以及"大规模"是两项各自独立的限定条件。
"定期和系统监控"的含义
前第29条工作组(WP29)的指南已于2018年5月25日由欧洲数据保护委员会(EDPB)采纳,其在WP243修订1版中对此作出了说明。"定期"是指持续进行、以固定间隔重复发生,或持续或周期性发生。"系统"是指依据某一体系、经预先安排或有条理地进行,或作为整体数据收集计划的一部分开展。
WP29举出的定期和系统监控示例包括:运营电信网络;提供互联网服务;追踪移动应用程序的位置数据;采用行为分析的忠诚度计划;处理生物识别数据以进行门禁控制;对公共场所人员进行CCTV监控;行为广告;以及通过联网设备进行追踪。
"大规模"的含义
GDPR并未以数字形式界定"大规模"。序言第91段指出,大规模处理旨在处理相当数量的、达到地区、国家或超国家层面的个人数据,且可能影响大量数据主体。作为反例,序言第91段指出,单一医生或律师处理患者或客户数据不构成大规模处理。
WP29确定了四项评估因素:数据主体的数量(绝对数量或占相关人口的比例);所处理数据项目的数量或范围;活动的持续时间或永久性;以及地理范围。
EDPB将以下情形视为大规模:医院在日常运营中处理患者数据;交通公司处理一座城市公共交通系统的出行数据;覆盖全国道路网络的实时地理定位处理者;以及为全球行为广告处理数据的搜索引擎。非大规模情形包括:单一医生或专科医生处理患者记录;单一律师处理客户数据。
触发条件三:大规模处理特殊类别数据或犯罪定罪数据(第37条第1款(c)项)
触发条件三关注的是数据敏感度,而非监控类型。当核心活动涉及大规模处理第9条第1款所列特殊类别数据,或第10条项下犯罪定罪数据时适用。
第9条第1款列举了八类特殊数据:种族或民族出身;政治观点;宗教或哲学信仰;工会成员身份;基因数据;用于唯一识别个人的生物识别数据;健康数据;以及性生活或性取向数据。
第10条数据涉及犯罪定罪和违法行为。多数在核心活动中处理第10条数据的组织,是依据特定法定授权开展该活动的。大规模要求仍然适用;一家小型慈善机构对志愿者进行一次背景调查不会触发该项。
可能满足触发条件三的组织包括:为其全部客户群体处理医疗核保数据的私人健康保险公司;开展大规模犯罪记录核查的招聘公司;处理数十万消费者DNA数据的基因检测服务机构;以及覆盖大规模员工队伍的生物识别门禁提供商。
"核心活动"的概念
触发条件二和三均要求相关处理构成组织"核心活动"的一部分。辅助性或支持性处理不会触发DPO义务。
WP29将主要业务职能与薪酬发放、IT管理、人力资源等支持职能作了区分。医院处理健康数据属于核心活动,因为医疗保健是其主要目的;其薪酬处理虽也涉及个人数据,但属于辅助性活动,不触发触发条件三。
一家为购物中心和公共场所提供CCTV监控服务的安保公司,其定期和系统监控行为属于核心活动,因为监控正是其销售的主要服务。而一家为防盗而安装CCTV的超市,则是将监控作为次要工具,而非主要业务。
许多中型企业在人力资源系统、CRM平台和会计软件中广泛处理个人数据,但这些活动在GDPR意义上均不属于核心活动。以生产商品为主要业务的制造商,处理员工和客户数据属于支持职能。若其核心活动不涉及大规模监控或大规模特殊类别数据处理,则不会因触发条件二或三而产生强制性DPO义务。
自愿任命DPO
第37条第4款确认,在任命并非强制的情形下,组织"可以或应当"指定DPO。"应当"一词是指成员国或欧盟法律中可能要求超出第37条第1款基本门槛的指定义务;组织应查阅本国实施立法。
EDPB建议,无论是否达到强制门槛,任何处理大量个人数据的组织都应自愿任命DPO。自愿设立的DPO有助于证明问责,建立监管信任,并降低违规行为未被发现的风险。
值得注意的是,第38条和第39条对自愿任命的DPO同样完全适用。组织不能任命一个被剥夺独立性、或不受利益冲突规则约束的名义DPO。
谁可以担任DPO?
所需资格
第37条第5款要求依据专业素质和数据保护法律及实践方面的专业知识予以指定,且须具备履行第39条职责的能力。目前不存在规定的资格证书或考试要求,所需专业水平应与数据敏感度和处理复杂程度相称。
WP29确定了相关专业领域:国家和欧洲数据保护法律;组织所处行业和业务主题;组织的业务和IT基础设施;合规职能管理;以及国际数据传输框架。
对于仅为通讯录收集基本联系信息的小型组织而言,一名对GDPR有合理理解的胜任员工即可满足要求。对于处理生物识别数据、开展行为广告并跨司法辖区传输数据的大型跨国企业,则应配备专门的法律和技术专业知识。
员工或外部服务提供商
第37条第6款明确允许DPO由员工担任,也可依服务合同履行该职责。自GDPR生效以来,外部DPO模式已获得显著发展。律师事务所、咨询机构和专业隐私服务提供商纷纷提供共享或分时DPO服务。
若DPO为外部人员,服务合同的结构须确保满足第38条和第39条的要求。外部DPO必须真正接触到组织的处理操作和管理层,而不能仅仅充当名义上的合规联系人。
集团层面DPO与多机构共享DPO
第37条第2款允许企业集团任命同一名DPO,只要该DPO能够从每个营业机构轻松联系到。第37条第3款同样允许多个公共机构或团体在考虑其组织结构和规模的前提下共用一名DPO。
"轻松联系"是一项功能性要求。DPO必须能够被员工、数据主体和监管机构无障碍地联系到。WP29确定了支持性因素:在集团范围内清晰传达DPO的联系方式;可就数据保护问题提供咨询;以及在处理复杂或敏感数据的场合亲自到场。
第37条第7款要求控制者和处理者公布DPO的联系方式,并将其通知本国监管机构。无需公开DPO的完整身份,但必须提供数据主体可以联系到的地址。
第39条项下DPO的职责
第39条第1款列出了五项最低职责。"至少"一词表明,成员国法律、DPO的聘用条款或组织自身的治理安排均可另行分配额外职责。
职责一:告知与建议(第39条第1款(a)项)
DPO必须就GDPR义务及其他适用的数据保护规定,向控制者、处理者及员工提供告知和建议。这包括对合法处理依据、同意机制、数据主体权利程序、员工培训以及数据保护战略提供指导。
DPO负责告知和建议;DPO不负责决策。根据第38条第3款,DPO在履行职责时不得接受指示,但处理个人数据的具体方式仍由控制者或处理者保留决策权。DPO的职责在于确保决策者理解相关法律状况,并对不合规的指示提出警示。
职责二:监督合规(第39条第1款(b)项)
DPO必须监督GDPR、其他适用数据保护规定,以及组织自身数据保护政策的合规情况。监督工作包括:分配数据保护职责;开展内部审计;审查处理协议和数据共享安排;更新处理活动记录;监督数据主体权利请求;以及跟踪技术和组织安全措施。
第39条第1款(b)项还提及提高意识和培训员工。因此,DPO负有持续性义务,须使员工队伍随监管框架和组织处理操作的变化保持知识更新。
职责三:就DPIA提供建议(第39条第1款(c)项)
若新的处理活动可能对数据主体造成高风险,第35条要求在处理开始前开展数据保护影响评估(DPIA)。DPO负责就DPIA提供建议并监督其执行情况。
根据第38条第1款,DPO必须"适当且及时"地参与,并应在任何可能需要DPIA的项目启动之初即被咨询。DPO的建议及控制者的回应应与DPIA记录一并留存。序言第97段指出,DPO应协助评估是否需要开展DPIA,并确定如何开展。
若控制者不顾DPO已记录在案的反对意见,仍推进某项高风险处理活动,则DPO的建议和控制者的决定均应以书面形式记录。该文件可证明DPO的独立性以及控制者依第5条第2款所承担的问责。
职责四:与监管机构合作(第39条第1款(d)项)
DPO必须与监管机构合作。合作内容包括协助开展检查和调查;依据数据保护机构第58条的调查权限提供信息;参加会议或听证;以及管理向数据保护机构提交的第33条泄露通知。
职责五:担任监管机构的联系人(第39条第1款(e)项)
DPO就处理相关事宜担任监管机构的联系人,并在适当情形下依第36条开展事先咨询。事先咨询是指控制者在无法将DPIA识别的风险降至可接受水平时,须在开始处理前咨询监管机构的机制。
联系人职能还意味着数据主体拥有一个公开的地址,可用于行使GDPR权利。第37条第7款确保DPO的联系方式公开可得,第38条第4款确认数据主体可就一切处理和权利事宜联系DPO。
基于风险的实践方法
第39条第2款要求DPO在履行全部五项职责时,须考虑处理操作所涉及的风险,并顾及其性质、范围、背景和目的。这种相称的、基于风险的方法,应将注意力集中于最可能产生高风险的活动:用户画像、自动化决策、大规模特殊类别数据处理,以及缺乏充分保障措施的跨境传输。
DPO的独立性与免受解雇保护(第38条)
不得接受指示
第38条第3款规定,DPO"不得就履行相关职责接受任何指示"。该禁令适用于所有管理层级。DPO直接向最高管理层汇报,在多数公司架构中即意味着董事会或同等治理机构。
若DPO认定某项处理活动不合法,不得被要求批准该活动。若DPO认为组织存在数据泄露漏报情况,不得被压制。DPO必须能够自由地依据第39条第1款(d)项将关切事项上报监管机构,无需内部批准。
免受解雇和处罚的保护
第38条第3款禁止因DPO履行职责而将其解雇或处罚。因履行DPO职能而被解雇、降职、降薪或遭受其他不利待遇的DPO,享有依GDPR提出直接诉求的权利,监管机构可对控制者或处理者展开调查并予以制裁。
该保护同样适用于受雇DPO和外部服务提供商DPO。控制者不得因DPO提出合规关切而报复性终止其服务合同。若合同条款赋予控制者无限制的无理由终止权,并被用于压制DPO的合法活动,则可能损害独立性要求。
资源与接触权限
第38条第2款要求控制者和处理者提供履行第39条职责所需的资源,并维持专业知识,同时提供接触个人数据和处理操作的权限。资源包括时间、培训和职业发展经费,以及行政支持。对于兼职或外部DPO而言,这还包括对系统、文件和人员的实质性接触权限。
若DPO无法获取处理活动记录、无法参加作出处理决策的会议,或无法审查涉及个人数据的采购合同,则表明其缺乏履行第39条第1款(b)项监督职能所需的接触权限。
利益冲突
第38条第6款允许DPO承担其他任务和职责,但控制者或处理者必须确保这些任务不会与DPO的监督职能产生利益冲突。
WP29指南(WP243修订1版)确定了通常与DPO职能不相容的职位:首席执行官、首席运营官、首席财务官、首席营销官、首席人力资源官、首席信息官,以及IT或安全负责人。在一人身兼多职的小型组织中,DPO职能必须与设定处理目标的职位隔离开来。
该测试是功能性的,而非名义性的。将职位名称从"IT经理"改为"DPO"、而实质职责不变,并不能消除利益冲突。只要某职位涉及决定个人数据处理的目的和方式,即存在冲突。
外部DPO面临自身的风险:一家律师事务所若同时就处理策略的合法性向客户提供建议,又担任该客户的DPO,则当DPO职能要求就该策略提出反对建议时,可能面临利益冲突。使用外部DPO服务的组织应确认该服务提供商已建立管理此类冲突的治理措施。
不合规的后果
第83条第4款项下的罚款
违反第37、38和39条属于GDPR较低档罚款范围,依据第83条第4款,涵盖第8、11、25至39、42和43条项下的义务。最高罚款为1000万欧元或该企业上一财年全球年营业总额的2%,以较高者为准。
常见的DPO相关违规包括:未任命required的DPO;任命缺乏资质或独立性的DPO;将DPO安排至存在冲突的职位;未提供充足的资源或接触权限;以及未公布DPO联系方式。
实践中的执法
欧盟各地的监管机构已就DPO相关违规展开调查并处以罚款。由于DPO要求的根源可追溯至GDPR之前的德国联邦数据保护法律,德国各数据保护机构在此领域尤为活跃。多个数据保护机构已将名义上任命、但无实际权限、无充足资源、也未获得免受管理层干预保护的DPO,视同于根本未设DPO。
未公布DPO联系方式是监管机构最容易发现的违规情形之一:这一信息直接体现在隐私政策的表面。监管机构在开展网站隐私声明专项排查时,会经常发现DPO联系信息缺失的问题。
非罚款性后果
未遵守DPO要求会损害第5条第2款项下的问责机制。缺乏required DPO的控制者存在结构性问责缺陷,可能加重同一调查中发现的相关GDPR违规的处罚。
对于面向企业客户(B2B)的业务而言,负责对供应商和次级处理者开展GDPR尽职调查的采购团队,越来越多地要求提供DPO任命证明、DPO联系方式,以及处理活动记录。缺乏required的DPO,是企业供应商风险评估中的重大发现。
英国GDPR与DPO要求
英国通过《2018年欧盟(脱欧)法》和《2018年数据保护法》将GDPR保留为国内法。英国GDPR几乎逐字复制了欧盟文本,仅作了细微修改。英国GDPR第37、38和39条几乎完全复制了欧盟对应条款,三项强制触发条件保持不变。
信息专员办公室(ICO)是英国GDPR的监管机构。ICO密切遵循WP29的方法,并采用与欧盟数据保护机构相同的"大规模"和"核心活动"分析框架。同时受两套制度约束的组织,可分别任命DPO,也可任命同一名DPO覆盖两套制度,前提是该DPO能够被两个监管机构、员工和数据主体联系到。
英国GDPR的罚款制度以英镑计价:较低档罚款最高为870万英镑或全球年营业额的2%,以较高者为准。
如何评估您的组织是否需要DPO
首先审视触发条件一:该组织依相关欧盟成员国国内法是否为公共机构或团体?若是,则强制要求任命DPO。若组织在多个成员国运营,应逐一核实是否有成员国将该实体归类为公共机构。
若非公共机构,则须识别核心业务活动。针对每项核心活动,提出以下问题:该活动是否需要对个人进行定期和系统监控?若是,该监控是否属于大规模?若两个答案均为"是",则触发条件二适用。
随后,针对每项核心活动,提出以下问题:该活动是否涉及处理第9条第1款特殊类别数据或第10条犯罪定罪数据?若是,该处理是否属于大规模?若两个答案均为"是",则触发条件三适用。
请将分析过程记录存档。即便不强制要求任命DPO,一份有记录的评估仍可证明第5条第2款项下的问责,并在监管机构日后就该决定提出质疑时保护组织。每当处理活动因收购、新产品线或数据共享安排变化而发生重大改变时,应更新该评估。
关于DPO义务在更广泛GDPR合规计划中的定位,GDPR合规检查清单提供了控制者和处理者义务的结构化概述。在评估GDPR是否适用的欧盟以外组织,可参阅面向中小企业的GDPR指南。关于该条例的完整介绍,请参见什么是GDPR。
免责声明: 本文提供关于GDPR数据保护官要求的一般性法律信息,不构成法律建议。GDPR合规高度依赖具体事实,第37至39条对任何特定组织的适用情况,取决于其具体的处理活动、法律地位以及相关成员国的国内法。具体情况请咨询具备资质的数据保护从业人员或法律顾问,以获取针对您个人情况的建议。
Frequently Asked Questions
小企业根据GDPR是否需要任命DPO?
小企业并不因规模而自动豁免第37条的DPO要求。序言第13段允许成员国在少数情形下针对微型、小型和中型企业调整相关规则,但第37条并未设置中小企业豁免。若一家小企业满足第37条第1款三项强制触发条件之一,仍必须任命DPO。实践中,多数小企业既不从事作为核心活动的大规模处理,也非公共机构,因此触发条件通常不适用。但该义务取决于处理的性质和规模,而非员工人数或营业额。一家拥有数十万用户的健康数据应用初创企业,即便员工不足20人,仍可能触发第37条第1款(c)项。
DPO可以由外部顾问或服务提供商担任吗?
可以。第37条第6款明确规定,DPO可依据与外部提供商签订的服务合同履行该职责。对于无法证明有必要全职内部聘用的组织而言,外部DPO安排十分常见。无论雇佣安排如何,第38条和第39条均须得到满足:外部DPO必须具备真正的独立性、不得接受指示、必须能够接触组织的处理活动和高级管理层,且在履行职责时须受到免于解雇或处罚的保护。服务合同应明确体现这些要求。
拥有欧盟客户的美国公司是否需要任命GDPR意义上的DPO?
依据第3条第2款受GDPR约束的美国公司,必须评估自身是否满足第37条第1款的触发条件。若其核心活动需要对欧盟数据主体进行大规模定期和系统监控(这在广告技术公司、数据经纪商和大型分析平台中较为常见),则触发条件二适用,必须指定DPO。若该美国公司面向欧盟的业务活动有限,既不涉及大规模系统监控,也不涉及大规模特殊类别数据处理,则不要求任命DPO,但依第27条可能仍须指定欧盟代表。美国公司应将第37条评估作为其整体GDPR合规计划的一部分,开展并记录该分析。
企业所有者或CEO可以担任DPO吗?
根据第38条第6款的利益冲突禁令,CEO不得担任DPO。WP29指南(WP243修订1版)明确将CEO职位认定为与DPO职能不相容,因为CEO决定着组织数据处理的目的和方式,而DPO的监督职能要求独立于该决策权限之外。相同的逻辑同样适用于COO、CIO、CMO、CFO以及信息技术负责人。同时担任CEO的企业所有者,即便在小型组织中,也不能通过将自己指定为DPO来消除这一冲突。对于规模非常小的组织,通常的解决方案是使用外部DPO服务。
未在required情形下任命DPO的处罚是什么?
未任命required的DPO属于违规行为,依第83条第4款处以罚款,该条涵盖第25至39条规定的义务,最高可处1000万欧元或全球年营业额2%(以较高者为准)的罚款。未依第37条第7款公布DPO联系方式,可独立构成可制裁的违规情形。监管机构在评估罚款时,会考虑违规的性质、严重程度和持续时间,违规行为是故意还是过失,以及配合调查的程度。英国GDPR沿用相同的结构,较低档最高罚款为870万英镑或全球年营业额的2%。
DPO的日常工作实际包含哪些内容?
DPO的日常活动源自第39条第1款所列的五项职责。他们就新产品功能是否需要DPIA向团队提供建议,并在评估起草完成后予以审查;依第30条审计处理活动记录;在数据处理协议和标准合同条款签署前予以审查;调查数据主体权利请求,确保答复及时;在发生个人数据泄露后与IT和安全团队协调,判断是否需要在72小时内依第33条向监管机构通知;设计并开展员工培训;并作为监管机构的唯一联系人,确保监管通信得到及时、准确的答复。
GDPR是否也要求处理者(而非仅控制者)任命DPO?
是的。第37条第1款同时适用于控制者和处理者。云服务提供商、薪酬外包公司或营销技术平台等数据处理者,若其作为处理者的核心活动满足大规模监控或大规模特殊类别数据处理的触发条件,同样必须任命DPO。处理者的DPO评估聚焦于其自身的核心活动,而非其所服务控制者的活动。一家为数千家控制者托管数据、并大规模监控网络使用模式的云基础设施提供商,可能独立于其控制者客户如何使用数据,而触发第37条第1款(b)项。
一名DPO能否覆盖多家公司?
可以,存在两种情形。第37条第2款允许企业集团任命同一名DPO,只要该DPO能够从每个营业机构轻松联系到。第37条第3款同样允许多个公共机构或团体在考虑其组织结构和规模的前提下共用一名DPO。轻松可联系要求意味着,员工、数据主体和监管机构必须能够无障碍地联系到每个实体的该DPO。依第37条第7款,共享DPO的联系方式须由每个实体分别公布,且该DPO须具备足够的能力覆盖所有实体的DPO职责。
DPO是否等同于隐私官或合规官?
不一定。GDPR意义上的DPO是一项具体的法定职位,依第39条承担明确规定的职责,依第38条享有法定独立性保障,并受免于解雇的保护。许多组织设有职责与DPO职能重叠的隐私官或合规官,但除非该人员已被正式指定,且其联系方式已依第37条第7款公布,否则这些职位并不等同于法定DPO。依赖未经正式指定的内部合规官的组织,并未满足第37条的义务。同样,仅有正式指定还不够:被指定的DPO还须具备第37条和第38条要求的资质、资源、独立性和接触权限。
DPO在数据泄露事件中扮演什么角色?
第39条并未将泄露管理列为独立的职责,但DPO的相关角色源自第39条第1款(b)、(d)和(e)项中的监督和合作职责。实践中,DPO负责评估某一安全事件是否构成第4条第12款意义上的个人数据泄露,判断该事件是否可能危及数据主体的权利和自由,就是否需要依第33条在72小时内向监管机构通知提供建议,就是否需要依第34条通知受影响的数据主体提供建议,并在整个调查过程中担任监管机构的联系人。DPO应自潜在泄露事件被识别之时起即参与其中,而非在管理层已经作出通知决定之后才介入。
Sources and References
- (欧盟)2016/679号条例(GDPR)第37条:数据保护官的指定(eur-lex.europa.eu)
- (欧盟)2016/679号条例,第38条:数据保护官的地位(eur-lex.europa.eu)
- (欧盟)2016/679号条例,第39条:数据保护官的职责(eur-lex.europa.eu)
- (欧盟)2016/679号条例,序言第97段(数据保护官)(eur-lex.europa.eu)
- (欧盟)2016/679号条例,序言第91段(数据保护影响评估与大规模处理)(eur-lex.europa.eu)
- WP29《数据保护官指南》(WP243修订1版),已获EDPB采纳(ec.europa.eu)
- 欧洲数据保护委员会:第29条工作组文件档案(edpb.europa.eu)
- (欧盟)2016/679号条例,第83条:科处行政罚款的一般条件(eur-lex.europa.eu)
- (欧盟)2016/679号条例,第35条:数据保护影响评估(eur-lex.europa.eu)
- 英国2018年数据保护法,第2部分及附表6(纳入英国GDPR)(legislation.gov.uk)
- ICO英国GDPR指南:数据保护官(ico.org.uk)
- (欧盟)2016/679号条例,第9条:特殊类别个人数据的处理(eur-lex.europa.eu)
- (欧盟)2016/679号条例,第10条:涉及犯罪定罪和违法行为的个人数据处理(eur-lex.europa.eu)