WP243 rev.01 – DPOのガイドラインを読む(その16)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は4 Tasks of the DPO (DPOの職務)のうち、
4.2 Role of the DPO in a data protection impact assessment(データ保護影響評価におけるDPOの役割)を見ていきます。


GDPR第35条(1)は管理者が必要な場合にデータ保護影響評価(DPIA)を行うことと定めています。
しかし、DPOはDPIAを補助する存在となりえます。「設計段階からデータ保護を織り込む」原則に従い、GDPR第35条(2)は管理者がDPIAを行う際、DPOに「助言を求めること」と特記しています。GDPR第39条(1)(c)ではDPOの職務として「DPIAについて、要求された場合助言を与え、第35条にしたがって執り行われていることを監視する」ことをあげています。

WP29は管理者はDPOに対して特に以下の場合助言を求めるよう推奨しています。

  • DPIAを実施すべきかどうか
  • DPIAを行う際にとるべき手法
  • DPIAを社内で行うか社外で外注すべきか
  • データ主体の権利と利益に対するリスクを低減するためにどのような保護策を採用すべきか(技術的、組織的手法を含めて)
  • データ保護影響評価が正しく執り行われているかどうか、およびその結論(処理を続けるべきかやどのような保護策を適用すべきか)がGDPRに適合しているか
  • 管理者がDPOの助言に同意できない場合、DPIA結果は書面でまとめ、DPOの助言がなぜ採用されなかったかを特に説明しなければなりません。

    WP29はさらに、特にDPIAを行ううえでのDPOの職務を管理者が明確に規定し、従業員やマネジメント層(およびその他のステークスホルダに対しても)に周知しておくことを推奨しています。