WP243 rev.01 – DPOのガイドラインを読む(その1)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

今日からしばらく、WP29のDPOのガイドライン(WP243 rev.01)を読んでいきます。

WP29のガイドラインはGDPRの解釈の指針となるものです。
GDPRについて調べる際は、まずこれから目を通すのがよいでしょう。

英語も平易なので、英語が苦手な方でも比較的わかりやすく書かれています。

DPOのガイドライン(WP243 rev.01)は、大きく4章から成る本文と、付録から構成されています。

1. Introduction(はじめに)の部分からはじめましょう。

最初に触れられているのは、GDPRは説明責任(アカウンタビリティ)を基礎としたフレームワークを提供しているということです。
何度も触れられていることですが、GDPRでは説明責任を果たせる体制づくりが重要です。

ガイドラインによると、DPOは、多くの組織にとってGDPRへの準拠体制を整える核心的役割を担います。
DPOは説明責任を果たすためのツール(DPIA(Data Protection Impact Assessmentデータ保護影響評価)、内部監査)を整備し、ステークスホルダ(監督機関、データ主体、組織内のビジネスユニット)間の介在者となる存在だからです。

(この点は以前の記事でも繰り返し指摘されていましたね。
監督機関は、DPOの説明能力に大きな期待を寄せている様子です。)

実はDPOという概念は新しいものではありません。
DPOはドイツをはじめ、いくつかの国では以前から取り入れられていました。

それが、GDPRになって初めて、(一定の要件下で)義務付けられました。

DPOは法律上護られた存在です。
データ漏洩が生じた場合、DPOが個人的に責任を負わされることはありません。
責任は、管理者または処理者が責任を負います。(GDPR 第24条(1)

管理者や処理者はDPOがその職務を果たせるよう環境を整える必要があります。
DPOを指名後、DPOに独立性を保証しかつその任務を効果的に遂行できるようリソースを提供することが、管理者や処理者には義務付けられています。

企業に派遣されている公務員のような雰囲気がある存在です。
次回はDPOの任命が義務となる場合について説明をしていきます。