• 重庆律师法律事务服务大厅
  •  ENGLISH
  •     |    
  •  律师微网
  •     |    
  •  律师微信
  •     |    
  •  律师微博
  • |  当前位置: 首页 > 律师实务 > 律所管理 > 正文
    律师检索 :

    律所要聘用数据保护官吗

    CQLSW.NET   2018-11-18   信息来源:邦信阳中建中汇   作者:胡蜂
    核心提示:但企业有可能会反问:贵所是国际化律所,也有欧洲业务,是否也需要聘用DPO呢?聪明的问题,就像理发师悖论一样:当一家律所宣称它能向所有有需要的企业提供DPO时,这家律所自己是不是也属于这类“有需要的企业”呢?

    自欧盟《通用数据保护条例》(GDPR)于2018年5月25日施行后,国内多家企业可能经历着不同程度的“焦虑”,一些律所(尤其是有全球网络的大型律所)的律师(包括本人在内)本着自己的专业知识,也向这些企业“广播”这种“焦虑”,认为企业应当加强个人数据保护,很多时候应当聘用专业的数据保护官(DPO,GDPR创设的一种职位),以更好应对GDPR的合规挑战。但企业有可能会反问:贵所是国际化律所,也有欧洲业务,是否也需要聘用DPO呢?聪明的问题,就像理发师悖论一样:当一家律所宣称它能向所有有需要的企业提供DPO时,这家律所自己是不是也属于这类“有需要的企业”呢?

    本篇文章即是回答这类问题,但答案仅供参考,不代表本人任何正式的法律意见。

    1、律所是否处理个人数据?

    这个问题的答案是肯定的,律所处理个人数据。当律师与客户签订服务协议,收到法院或对方当事人各种函件,进行竞职调查,回复各种函件时,都会收集、使用相关数据主体的个人数据,比如自然人客户、法官、检察官、对方及对方律师、目标公司负责人等各种个人数据。因此,律所处理各种个人数据,是个人数据的控制者。

    2、欧盟境内有分所的中国律所受GDPR管辖吗?

    依照GDPR第3条第1款的规定,在欧盟境内有分支机构的组织受GDPR管辖,那么中国律所的欧盟分所是否属于GDPR第3条第1款所称的机构(establishment)。虽然GDPR的正文没有对“机构”作出解释,但在其序言第22条中明确指明“机构意味着通过稳定安排(stable arrangements)存在有效且真实的经营活动。这种安排的法律形式,是否通过具有法人资格的分支机构或子公司并不是决定因素。”

    以一家国内领先的律所(命名为A律所)为例,其在德国的分所组织形式是有限责任公司(Rechtsanwaltsgesellschaft mbH),有数名执行董事,有固定的办公地点与办公人员,有提供服务的经营行为。虽然它的股东可能不是A律所,但是该德国分所的简称与A律所的英文简称一致;在自我介绍中明确写明属于A所全球网络,能实现无缝合作;其网站显示是在中国备案的。以GDPR序言第22条所确定的标准判断,该德国分所很可能被认定为A律所在欧盟境内的机构(establishment)。该德国分所在欧盟境内营业,即肯定有个人数据的处理行为,因此,A律所就很可能受GDPR的管辖。

    此外,以笔者考察的A律所为例,其德国分所网站是在中国境内备案的,该分所网站也是总部网站的一部分,可以选择德语显示,并且使用了cookies类技术;换言之,任何德国人访问此网站,其个人数据能被跟踪,因而因而A律所依照GDPR第3条第2款b项的规定很可能也需要聘用DPO。

    3、欧盟境内有分所的中国律所必须聘用数据保护官吗?

    依GDPR第37条第1款b、c项的规定,如果(1)律所的核心活动需要广泛地常规性和系统性地监控数据主体,或者(2)律所的核心活动包含了广泛地处理个人敏感数据或与定罪、违法相关的个人数据时,其有义务聘用DPO。

    对于律所来讲,其核心活动自然是提供法律咨询服务。一些类别的法律服务,比如向公司客户提供法律意见书时,收集个人数据可能只能纯粹的辅助行为,并非核心活动。但对于诉讼(尤其是刑事诉讼)、破产程序、合规类等法律服务,处理个人数据可能包含在核心活动范围之内。虽然律所很难称上常规性、系统性地监控数据主体,但其业务活动经常会涉及到数据主体的个人敏感数据,而综合性的律所自然也做刑事相关服务,因此很有可能符合GDPR第37条第1款c项的要求,进而有义务聘用DPO。

    此外,GDPR第37条第4款还规定了,欧盟成员国可以自行设置其他必须聘用DPO的情形,这些情形很可能比GDPR的规定更为宽松,使更多机构有义务聘用DPO。

    笔者仍以A律所为例,由于A律所的德国分所提供医疗、电子商务、隐私与数据保护类的法律服务,很可能涉及处理相关数据主体的个人敏感数据,所以依GDPR第37条第1款c项规定,A律所很可能需要聘用DPO。同时,依德国的《数据保护法》第38条第1款,当企业有10名以上的人员常规定性负责自动处理个人数据时,企业有义务聘用DPO;对律所来讲,这里的“人员”不仅指律师,还包括律师处理、实习生、秘书等。而A律所的德国分所律师成员不止10名,进而依德国的《数据保护法》,A律所也很可能有义务聘用DPO。

    综上所述,如果一家中国律所,其在欧盟境内有分所,分所规模越大,与总所合作越紧密,该中国律所越有可能有聘用DPO的义务。而一旦确定中国律所有聘用DPO的义务,基于DPO职位的独立性,该律所不应当聘用本所的律师做DPO,“理发师毕竟不能为自己理发”。

    4、其他国际合作模式

    除了在境外开设分所外,很多中国律所也选择成立联营办公室,加入全球某个律所联盟(比如IR Global)的方式,开展国际律师业务合作。对选择这些合作模式的中国律所来讲,其没有法定义务设定DPO,但是要注意在进行跨国法律服务时产生的个人数据跨境传输问题。

    5、律所是否处理个人数据?

    我国现有的法律、法规并没有关于企业创设DPO的规定,因此,没有欧盟分所的中国律所没有聘用DPO的义务,但其可自愿设立DPO职位。

    依照我国国家推荐标准GB/T 35273-2017《信息安全技术 个人信息安全规范》第10.1条c项的规定,如果一个组织(1)的主要业务涉及个人信息处理,且从业人员规范大于200人,(2)处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息,应设立专职的个人信息保护负责人。

    虽然《个人信息安全规范》没有强制力,但仍然是判断一家组织对个人信息保护程度的推荐标准,因此,对一家规模大(超过200名专业人员)、业务量大(处理超过50万人的个人信息)的内资所而言,国家推荐该律所设立专职的个人信息保护负责人;该负责人不是DPO,没有职位独立性的要求,因而可由本所律师担任。

    胡峰      上海邦信阳中建中汇 律师事务所   律师助理

    延伸阅读 重庆律师网络办公室 | 值班主持律师
  • 上一篇文章:外国律师聘用合同的审核要点
  • 网友评论 查看本信息评论 | 举报
    重庆律师网信息,更多精彩在首页,点击直达
    关注律师
    刑事辩护受理
    刑事侦查辩护委托    审查起诉辩护委托
    刑事一审辩护委托    刑事二审辩护委托
    死刑复核辩护委托    刑事再审辩护委托
    诉讼仲裁代理
    买卖合同纠纷代理    借款合同纠纷代理
    租赁合同纠纷代理    房屋买卖纠纷代理
    建设工程纠纷代理    房产开发纠纷代理
    产品责任纠纷代理    网络侵权纠纷代理
    触电损害纠纷代理    铁路运输纠纷代理
    交通事故纠纷代理    人事仲裁纠纷代理
    离婚争议纠纷代理    财产损害纠纷代理
    不当竞争纠纷代理    网络域名纠纷代理
    特许经营纠纷代理    保险金融纠纷代理
    合伙企业纠纷代理    其他民事纠纷代理
    重庆律师 | 律师行业 | 律师纪实 | 律师实务 | 律师法学 | 律师执业 | 法律风险 | 业务办理 | 诉讼代理 | 刑事辩护 | 法律咨询 | 联系律师
    律师的甄别
    识别真假律师
    对律师的错误解读
    以什么标准判断律师是否专业
    律师的作用
    为什么需要律师
    律师表现对于胜诉到底有多大影响
    重庆律师告诉您官司打不赢的原因
    重庆律师为什么不给您胜诉承诺
    如何选择律师
    聘请律师的误区
    找律师,最忌讳说这八句话
    重庆律师不接待的十类当事人
    重庆律师收费
    重庆律师服务收费指导标准
    你知道重庆律师是如何收费的吗
    同样的事情,律师收费可能会不一样
    重庆律师对刑事案件不能风险收费
    委托流程
    重庆律师办理法律事务流程
    咨询重庆律师
    重庆律师法律事务受理大厅
    律师服务大厅
    重庆律师诉讼代理法律事务中心
    重庆律师刑事辩护法律事务中心
    重庆律师专项法律事务中心
    重庆律师法律顾问法律事务中心
    All RIGHTS RESERVED © CQLSW.NET 2008-2019  |  重庆律师网版权所有,未经协议授权,禁止复制下载任何信息,任何使用均得恪守《使用协议》联系方式  |  重庆律师业务办理平台(重庆律师网上服务大厅)