《通用数据保护条例》(GDPR)是一项保护欧盟居民隐私权利的隐私法。

该法律授予欧盟居民在收集、使用和披露其个人信息方面的某些权利，并要求处理此类信息的处理者和控制者：

• 尊重消费者赋予的隐私权；
• 拥有符合规定的隐私政策；
• 在某些情况下，指定一名DPO。

在本文中，我们将讨论根据GDPR规定需要指定数据保护官的人，以便您可以确定自己是否也需要。

由公共机构或机构执行的处理

GDPR第37条首先规定，当处理由公共机构或机构执行时，必须指定数据保护官，除非法院在其司法职能中行事。GDPR没有为我们提供“公共机构”的定义，因此您必须使用国家法律来确定您是否被视为此类机构。

如果我们以英国为例，2018年英国数据保护法采用2000年信息自由法和苏格兰信息自由法2002年的定义“公共机构”。公共机构的常见例子包括县议会、一些武装部队分支或议会。公共机构通常是政府部门。然而，确定您是否是公共机构的最安全方式是审查国家法律中的定义。

对大量数据主体进行常规和系统性的监控

如果您的主要活动包括处理操作，这些操作由于其性质、范围和/或目的而需要常规和系统性地对大量数据主体进行监控，则您需要拥有数据保护官。不幸的是，GDPR本身并未提供很多关于前一句中关键术语（包括“主要活动”、“常规和系统性监控”或“大量”）的含义的指导。让我们逐一解释这些术语，以便您更好地了解DPO要求的适用对象。

主要活动

GDPR指的是特定组织的核心活动以及个人信息的处理如何与这些核心活动相关联。根据《GDPR》第97条所述，核心活动是指与组织主要活动相关且不作为辅助活动的活动。根据《29条工作组》的定义，核心活动可以被视为实现控制器或处理器目标的关键操作。

让我们以一家销售纸张的公司为例。这家公司为了招聘助理而处理个人信息的目的，不会被视为“核心活动”，因为这与其销售纸张的业务是辅助的。然而，对于招聘公司来说，同样的活动会被视为“核心活动”，因为他们的主要业务就是招聘人员。你是否在进行核心活动取决于你的业务、你的目标和你要实现的目标，因此需要根据具体情况做出判断。

定期和系统性的监控

为了适用数据保护官的要求，处理操作必须包括对数据主体的定期和系统性监控。不幸的是，GDPR没有定义这个术语的含义。然而，《29条工作组》提供了以下关于“定期”含义的指导：

• 持续进行或在一定时间间隔内进行；
• 定期或重复进行；或者
• 持续或定期进行。

同时，“系统地”被解释为以下一个或多个方面：

• 按照系统进行；
• 预先安排、组织或方法性；
• 作为数据收集的一般计划的一部分进行；或者
• 作为战略的一部分进行。

这种类型监控的常见例子包括电子邮件重新定位、位置跟踪、欺诈预防或行为广告。同样，你是否进行这些类型的活动取决于你的具体数据处理实践，这意味着你需要很好地了解你在业务活动中如何使用个人信息。一个可以用来确定你是否进行定期和系统性监控的好工具是数据流图和数据清单。

大规模处理

GDPR本身并没有提供关于“大规模”含义的信息。事实上，《29条工作组》指出，实际上很难给出一个具体的数字，以自动将处理操作视为“大规模”。然而，在尝试确定你是否符合条件时，你应该考虑以下因素：

• 涉及的数据主体数量——无论是具体数量还是相关人群的比例；
• 处理的数据量和/或不同数据项的范围；
• 数据处理活动的持续时间或永久性；以及
• 数据处理活动的地理范围。

大规模处理通常由大型实体如医院、连锁餐厅、搜索引擎或互联网服务提供商进行。

如果你在核心活动中定期和系统性地大规模处理数据主体的个人信息，你需要为你的组织任命一个数据保护官。

处理特殊类别数据或犯罪记录和犯罪数据

《通用数据保护条例》（GDPR）还要求，如果你大规模处理《第9条》中规定的特殊类别数据或《第10条》中提到的与犯罪记录和犯罪行为相关的个人信息，你必须指定一名数据保护官（DPO）。

《第9条》规定，以下数据属于“特殊类别”：揭示种族或民族起源的个人数据，政治观点，宗教或哲学信仰，或工会成员资格，以及用于唯一识别自然人的基因数据、生物识别数据，健康数据，或与自然人的性生活或性取向有关的数据。

如果你收集上述任何数据，或与犯罪记录和犯罪行为相关的个人信息，你需要指定一名数据保护官，因为这些数据非常敏感，需要额外的保护。

如果你是公共机构，在大规模对数据主体进行定期和系统性的监控，或处理特殊类别数据或犯罪记录和犯罪行为数据，你必须指定一名数据保护官。未在需要时指定DPO可能导致数据保护当局的调查，甚至因违反GDPR而处以罚款。