在《通用数据保护条例》颁布三周年之际，库利发起了一系列侧重于GDPR的网络研讨会。

正如GDPR中所述，数据保护官（DPO）在数据隐私领域发挥着至关重要的作用，因此我们的第二次网络研讨会涵盖了我们认为的组织在决定是否任命DPO时最常见的10个错误。

#1： 对DPO角色的误解

DPO在组织、数据主体和监管机构之间起着中介作用。因此，在任命DPO时，组织应公布DPO的联系方式，以便数据主体能够获得这些联系方式，并将其传达给相关监管机构。

请注意，一组实体可以指定一个DPO，前提是每个机构都可以轻松访问该DPO。

#2： 我们总是需要一个DPO

并非所有组织都需要任命DPO。

根据GDPR，基本上在三种情况下需要DPO：公共当局；组织对数据主题进行定期和系统的大规模监测；或者当组织的核心活动涉及大规模处理特殊类别的数据或刑事定罪时。您的组织还应考虑当地法律（如德国或西班牙）的任何附加要求，以确定是否需要DPO。

#3： 决定任命您的首席信息安全官（CISO）为DPO

各组织必须进行特别评估，以确定谁是任命为DPO的合适人选。DPO可能是组织中负责其他任务和职责的工作人员，前提是这些任务和职责不会导致利益冲突。组织应始终具有内部协议，以确保DPO独立。

CISO或总法律顾问等角色可能很容易产生利益冲突，因为他们是业务部门的成员，参与确定组织开展的数据处理活动的方式和范围。

指定DPO应基于专业素质，特别是数据保护法律和实践的专家知识，以及履行该角色任务的能力。

#4： 我是处理者。我不需要DPO

指定DPO的要求适用于控制器和处理器。满足上述#2所述阈值的处理器需要指定DPO。

#5： 假设您的DPO需要位于欧盟

DPO不需要在欧盟成立，只要它们符合GDPR和当地法律的要求。虽然如果您的DPO位于同一时区，并且与主要监管机构讲同一种语言，这会有所帮助，但并不需要。

#6： 我们有一个DPO——我们也不需要代表

拥有DPO和任命代表的要求并不相关。这是GDPR下的两项单独义务。DPO不能与欧盟代表是同一个人，因为欧盟代表的角色与DPO所需的独立标准不兼容。

#7： 未能正确记录对DPO建议的异议

一个组织不同意DPO是可以接受的，但该组织需要记录业务决策以及为什么该组织不遵循DPO的建议。

#8： 不理解何时可以（或不能）撤销DPO

DPO确实有某些保护措施来维护其独立性，根据GDPR，他们受到保护，免受损害和解雇。然而，DPO并非在所有情况下都受到保护——例如，如果他们犯有歧视、严重不当行为等，他们可以被解雇。

#9： 误解DPO对您的业务的责任

DPO不对组织的违规行为负责，但这并不意味着DPO可以免除所有责任。DPO在履行工作职能方面与业务中的任何其他员工承担相同的责任。

#10： 假设拥有一个DPO使您的组织符合GDPR

仅仅任命一名DPO不会使您的组织自动符合GDPR。这是朝着遵守GDPR迈出的重要一步，但您的组织仍需要履行所有其他义务，并实施GDPR下的所有要求，以充分满足投诉。

本文：https://cioctocdo.com/appointing-data-protection-officer-10-common-mist…