奥地利公司因任命董事总经理为数据保护官而被罚款

奥地利数据保护局（简称 “DSB”）对一家公司处以 5000 欧元的罚款，原因是该公司任命其董事总经理为数据保护官（简称 “DPO”）。由于无法确保数据保护官履行的其他任务和职责不会引发利益冲突，因此该公司任命其董事总经理担任这一职务的行为违反了《通用数据保护条例》（GDPR）第 38 条第 6 款所规定的义务。

案件背景

涉案公司经营医疗业务，在新冠疫情期间运营着一家诊断实验室。该公司为公共和私人客户提供检测服务，在检测能力方面成为了一家实力强劲的新冠检测实验室，平均拥有 200 名员工。

2021 年，该公司的董事总经理被任命为数据保护官，但这一情况并未向奥地利数据保护局（DSB）报备。此外，该公司也未采取任何措施来确保董事总经理这一职务与数据保护官的职责之间不会产生潜在的利益冲突。

法律框架

根据《通用数据保护条例》（GDPR）第 37 条第 1 款规定，如果数据控制者或数据处理者的核心业务活动涉及大规模处理敏感数据（《通用数据保护条例》第 9 条）、与刑事犯罪相关的个人数据（《通用数据保护条例》第 10 条），或者需要对数据主体进行定期且系统的监控，就必须任命一名数据保护官（DPO）。诸如数据处理的范围、规模和性质，以及处理个人数据的员工数量等因素，有助于判定是否有必要任命一名数据保护官。

《通用数据保护条例》（GDPR）第 38 条要求数据保护官（DPO）独立开展工作，避免利益冲突，并拥有足够的资源来履行其职责。当数据保护官的其他职责影响到他们独立监督数据保护工作的能力时，就会产生利益冲突。由于存在潜在的利益冲突，高级管理人员、首席财务官、部门负责人以及股东通常被认为不适合兼任数据保护官这一职位。

官方的裁决

奥地利数据保护局（DSB）指出，鉴于该公司大规模处理健康数据，按照规定该公司必须任命一名数据保护官。然而，该公司并未将这一任命情况向奥地利数据保护局报备，而且还不恰当地任命了兼任股东的董事总经理担任数据保护官，因此，不能认定该任命是独立的。

被指控的公司在辩护时称，董事总经理完全清楚自己的双重角色，而且他也不存在忽视数据保护官职责的风险。该公司表示，在整个疫情期间，这样的安排效率更高。然而，奥地利数据保护局（DSB）强调，数据控制者必须确保数据保护官这一角色不存在利益冲突。无论该公司是否承认其违反了《通用数据保护条例》（GDPR），它本应知晓自己行为的违法性，因此，该公司未能履行其应尽的义务。

因此，这一任命是不合法的，由于存在内在的利益冲突，该公司任命了一位不合适的数据保护官。

重要结论

这起案件可被视为一个重要警示，提醒那些处理大规模个人数据的实体机构，要仔细评估数据保护官这一职位与公司内其他职位的兼容性，以确保符合《通用数据保护条例》（GDPR）的相关规定。

为确保符合《通用数据保护条例》（GDPR）的要求，公司应当制定内部政策和流程，明确各项角色和职责，以便识别潜在的利益冲突。此外，公司必须确保所任命的数据保护官具备充分的独立性、资源以及权力，从而能够有效地履行其职责。

作者：Frida Holmér，律师，罗思国际，邮箱：fholmer@rouse.com

中文校对：曹喆，律师助理，路盛律师事务所，邮箱：lcao@lushenglawyers.com