WP243 rev.01 – DPOのガイドラインを読む(その18:最終回)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

DPOのガイドラインもようやく最終回です。
ほぼ全訳をしてきましたが、読者の方のお役に立てたところがあれば幸いです。

GDPRの隠れたリスクは第27条で規定されているrepresentativeです。DPOについての情報は割と出回っているのですが、こちらの情報は非常に少ないですね。
欧州域内での選任義務があるので忘れず対応なさってください。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は4 Tasks of the DPO (DPOの職務)のうち、
4.5 Role of the DPO in record-keeping(記録保持におけるDPOの役割)を見ていきます。


GDPR第30条(1)、(2)で規定される記録義務は、管理者、処理者が負うべき義務ですが、実際にはDPOが個人データのインベントリや処理業務の記録をもつことが多くあります。

(法律上は管理者、処理者は「その責任の下処理の記録をメンテナンスする」または「管理者のために行っている処理活動の種類すべての記録をメンテナンスすること」を要求されています。)

このようなDPOの実際上のあり方は、現行法や欧州機関に適用されるデータ保護法の下確立されたものです。

GDPR第39条(1)に示されているDPOの業務は最低限のものでしかありません。
管理者、処理者が処理業務の記録をメンテナンスする業務を、管理者、処理者の責任の下DPOに依頼することはまったく問題ありません。
この記録を用いることでDPOは管理者、処理者が適法に処理を行っているかを監視し、情報を提供したり助言を与えたりすることができます。

どのような形態をとるにせよ、GDPR第30条が求める処理記録のメンテナンスは、管理者、監督機関にとって、
必要なときにその組織が行っている全個人データ処理活動を概観することができるツールとなると考えるべきです。したがって第30条処理記録は、適法性の前提条件であり、効果的なアカウンタビリティの手法として欠かせないものといえます。