编辑点评：DPO英文全称为Data Protection Officer，中文一般叫做数据保护官，也有的称为数据保护监察专员，是GDPR明确指出的一个承担企业数据合规保护职责的职能角色。希望可以通过本系列文章可以声情并茂地带领大家一起对这个新鲜名词有一些了解，对自己的企业是否需要相关布局也能提前做出考量。

在前三篇关于DPO系列文章中，我们有序地给大家深入浅出地介绍了DPO是什么？为什么要设立DPO？什么公司需要有DPO？没有的话会有哪些结果？以及DPO在实际业务过程中的具体工作内容等，并蹭了一下科罗娜病毒的热点，以著名的不存在考研网站pornhub为例，从DPO的角度分析了一下他们的隐私政策。

接下来的这一篇，我们来聊一下DPO可以由谁来担任的问题，通过阅读，你会解决以下问题：

1.DPO需要满足哪些基本条件？有哪些主要职责范围？

2.DPO由谁来担任？可以任命现有员工吗?

3. 是否可以把DPO角色进行外包？内聘与外聘有哪些优劣势？

4. 企业可以有多个DPO吗？或者企业可以与其他组织共享DPO吗？

5. 企业需要给DPO提供哪些支持？

01 DPO需要满足哪些基本条件？有哪些主要职责范围？

解决DPO由谁来担任这个问题之前，我们先来看一下要成为一个合格的DPO，至少要满足的基本条件包括：

（1） 专业性要求：具有丰富的数据保护法律知识与实践经验；

（2） 职业性要求：具有较强的沟通协调能力与统筹能力；

（3） 实务性要求：需要熟悉公司业务、了解相关技术知识，能将具体的数据处理行为与法律要求进行结合与应用，提供有效的合规解决方案。

我们在这里扼要归纳一下关于DPO的主要职责范围：

（1） 监督GDPR的合规性：对企业是否遵守GDPR及相关法律规定进行数据合规监督；

（2） 提供合规建议：向企业和内部员工提供数据合规的指导建议；

（3） 参与评估：参与数据保护影响评估（DPIA），监督评估活动并提出意见；

（4） 与监管机构协助：与数据主体、数据控制者及处理者、监管部门进行有效的沟通与协调；

（5） 提供培训：为数据处理的相关人员进行培训，提供合规信息和动态

02 DPO由谁来担任？可以任命现有员工吗?

当你自信地认为你满足了上面的条件并且能提供并履行以上的服务和职责时候，那么你离DPO就不远了。

目前，GDPR并没有对DPO提出资质的要求，但GDPR同时也要求了，如果DPO同时拥有其他职能，例如管理职能等，那么这些管理职能是不能与DPO本身应有的职能产生利益冲突的。

因此，在任务DPO的时候需要注意关键两大点：

（1） 可以任命内部员工，只要该员工的专业职责与DPO的职责兼容并且不会导致利益冲突即可。此时，需要特别注意如果任命内部管理人员，例如CEO、IT总监、CFO等等，则需要非常谨慎，因为实务操作中比较难避免利益冲突问题的发生。

（2） 虽然暂未对DPO有资质要求，但WP29中明确给出了对DPO专业性和技能的最低要求，因此，建议尽量任命或聘任对数据保护合规法律与技术有充分了解和认识，并且具备一定实务经验的专业人士。DPO不是一个形同虚设的职位，他/她需要有能力帮助企业建立和管理企业的数据保护和合规工作。

03是否可以把DPO角色进行外包？内聘与外聘有哪些优劣势？

企业在高速发展的过程中，合规事务可能并不能及时跟上业务的速度，企业内部可能也未必能及时找到合适的数据合规专业人士提供支持。

这个时候，一种高效的方式就是通过外部聘任的方法进行解决了。企业可以根据与个人或组织的服务协议将DPO的角色进行外包出去。但需要注意的是，外部任命的DPO应该具有与内部任命的DPO相同的职位，任务和职责。

聘任外部的DPO的优点包括：

一来可以提高企业的运行效率，节省成本；二来可以避免DPO的职能冲突问题。同时，外部的专家可能具备更加专业的知识和能力，专人专用。

缺点可能是，没有像内聘DPO那样对企业的所有经营活动都了如指掌，需要有一个信息传达与转换的过程。

内聘DPO的优点包括：

一方面，内部任命的DPO可能会对企业内部的经营活动情况，业务场景更为熟悉，对管理者的意图以及公司发展方向以及合规程度的深浅更能有效把握。

缺点可能是，能满足DPO人选条件的专业人士较少，或可能需要另外招聘，运营成本增大。

04企业可以有多个DPO吗？或者企业可以与其他组织共享DPO吗？

首先，GDPR明确规定，落入规定的这些组织必须任命DPO来执行第39条中要求的任务，至于这个职位是由一个人还是一个团队甚至一个公司来担任，GDPR都意见不大。

而关于企业可以与其他组织共享DPO的问题，我们可以从这些组织的结构和规模的角度来看。

首先，企业可以任命一个DPO来代表一个公司或公共机构。

其次，如果企业的DPO同时身兼多个组织的活儿，那么，可以具体考虑到这些组织的结构和规模之后，确保DPO仍然能够有效地执行这些组织的任务。

再次，如果涉及支持的组织范围大且复杂，那么企业还需要确保DPO他们能拥有必要的资源，并能得到团队的支持。

当然，不论是否是多个还是共享，企业都需要把DPO的联系方式公布出来，让大家容易获取并联系到这位责任重大的DPO本人。

05企业需要给DPO提供哪些支持？

根据GDPR的要求，企业必须确保：

（1）DPO密切及时地介入所有数据保护事务；

（2）DPO向企业的最高管理级别（即董事会级别）报告；

（3）DPO独立运作，不会因执行任务而被解雇或受到处罚；

（4） 提供足够的资源（足够的时间、财务、基础设施以及在适当情况下的人员），以使DPO履行其GDPR义务并保持其专家知识水平；

（5） 授予DPO适当的访问个人数据和处理活动的权限；

（6） 授予DPO适当的访问组织内其他服务的权限，以便它们可以获取基本的支持，投入或信息；

（7） 在执行DPIA时向DPO寻求建议；

（8） 将DPO的详细信息记录为处理活动记录的一部分。

从GDPR的规定，可以看出，企业对于DPO这么重要的角色，是必须提供足够的支持，以便DPO可以独立地发挥作用。

因此，企业不仅要保障DPO能参与公司内部业务活动，同时也需要保障DPO与现有组织机构在人事上的独立性问题，更要通过设立一些有效的制度，确保DPO不应当因履行职责而受到惩罚。

值得一提的是，GDPR需要提到了企业的DPO需要向最高管理层进行相关数据合规报告的工作，但这并不是指一定要承担任何管理职能，而是表达了只有确保了DPO具有直接的访问权限，报告途径等，才可以保障DPO有能向进行数据处理决策的管理层提供具体建议的条件和能力。

注：文/互联网出海法律队长，公众号：白鲸出海，本文为作者独立观点，不代表亿邦动力网立场。