“患者的数据隐私保护具有重要意义!”
数据保护官(DPO)是由欧盟关于数据保护和隐私事务的新法律《通用数据保护条例》(GDPR)引入的一个企业职位。作为经常处理大量(通常是敏感的个人)数据的企业,数字健康企业需要了解是否以及何时任命数据保护官,以及要求他/她执行哪些职责。
01
—
俺们企业是否真的需要DPO?
尽管在自愿的基础上指定DPO可能是有用的,但GDPR只在某些特定情况下强制指定DPO。这是当:数据处理由公共当局或机构进行。控制器或处理器的核心活动由处理操作组成需要定期和系统地大规模监测数据主体。控制器或处理器的核心活动包括对大量特殊类别的数据进行处理。作为数字健康业务,您可能会关注第2)和第3)点。因此,为了了解您是否需要任命DPO,您需要了解GDPR使用的不同术语,并检查您的业务是否涵盖在这些术语中。
关键定义:第29条工作组,欧盟机构的任务是就数据保护事项向欧盟机构提供意见,在其数据保护官员指南(“DPOs”)中明确了“核心活动”、“定期和系统监测”和“大规模”处理的定义。
02
—
DPO具体的任务到底是什么?
如果被任命,DPO必须以独立方式工作,以便:监测GDPR的符合性:他/她应收集信息,以便识别和分析处理活动,并向控制者或处理者发出建议。协助数据控制人或处理人准备数据保护影响评估(DPIA):例如,他/她应就是否进行数据保护影响评估、应采用何种方法以及应采用何种保障措施(包括技术和组织措施)以减轻数据主体的权利和利益所面临的风险提供意见。
处理活动的记录:控制者或处理者可将维持由控制者负责的处理操作记录的任务交给DPO。对员工进行隐私培训:就隐私事宜向控制人或处理人及员工进行通报和建议;与隐私合规要求保持同步。
DPO可能对于想要出海的朋友具有关键意义!
联系客服