欧盟GDPR（又称《通用数据保护条例》）被称为史上最严数据保护条例，其对于数据保护的力度远高于其他规章制度。在其中，数据保护官这一专职保护数据者也得到了专门的规定。

一、数据保护官的任命

根据欧盟GDPR规定，数据保护官并非数据处理中的必须成员，但委任与否也并非单凭数据控制者及处理者的单方意愿。对于公共机构或者公共实体进行的操作处理，控制者及处理者的核心操作需要对数据进行大规模常规性监控或者他们的处理涉及包括政治意愿、种族民族、违法犯罪等特殊类型数据的大规模处理时，数据控制者及处理者应当委任数据保护官。因前述的几类数据处理活动所涉及的内容范围较广且与一定范围内的群体利益相关，故应委任数据保护官以增强该次数据处理活动的安全性。

此外，在欧盟GDPR的规定中明确，若一组企业中的每个机构均可便捷地联系到数据保护官，其即可单独任命专门的数据保护官来满足数据处理活动的需要。当然，若是组织结构及规模允许的情形下，在由公共机构或者公共实体担任数据控制者或者处理者的情形下，其可以共同委任一个数据保护官来进行相关操作。当然，在欧盟及各成员国内部存在代表控制者或者处理者而成立的协会，此类协会在进行数据处理相关活动时，数据保护官有权依法代表。

根据欧盟GDPR要求，数据保护官的任命必须基于其专业素养，包括数据保护的法律及实践知识，以及完成一系列数据保护官职责的能力。符合上述要求者通常通过与数据控制者或者处理者签订合同的方式成为数据保护官，其在上任后应当由数据控制者或者处理者发布数据保护官的联系方式，同时向数据监管部门进行报告。

二、数据保护官的职责

数据保护官的职责，概括来讲即为保护处理中的数据始终处于安全状态，即不被泄露、非法买卖、转让等。在数据处理活动中，控制者及处理者必须保证数据保护官以合理且及时的方式介入到数据保护的一切相关事项之中。在介入之后，数据控制者及处理者必须向数据保护官提供其履行职责所必须的资源。为确保数据保护官能够独立自主地充分履行职责，欧盟GDPR规定数据控制者及处理者必须支持数据保护官按照该条例所进行的任何活动，同时还需要确保数据保护官在履职期间不会收到任何关于履职的指示，同时也不得因为数据保护官的履行行为对其进行解雇。数据保护官在履职过程中，可以直接向数据控制者或者处理者的最高管理层报告相关内容。此外，在数据处理活动的进行过程中，数据主体有任何与其个人数据处理相关的问题，或者行使欧盟GDPR所赋予数据主体的任何权利，均可以直接与数据保护官联系。

三、数据保护官的任务

数据保护官的任务依据仍为欧盟GDPR的相关规定，其可结合数据处理活动的具体情况进行调整。首先，其需要对数据控制者或者处理者所进行的数据处理活动提出合理的建议；其次，其需要对数据处理活动的相关人员进行培训，以增强他们的责任意识及专业程度；再者，数据保护官还需要对数据保护影响评估及其他监管活动提供建议，以使监督行为更加切实有效；最后，其还需要与监管机构保持密切的联系，加强合作，实现对数据的有效保护。当然，数据保护官在自己履行职责期间也必须考虑到行为的风险等相关情形，妥善进行保护活动。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。