このブログではGDPRのガイドラインを読んでいますが、ガイドラインもわかりやすい英語で書かれていますので、できれば英文で読まれることを推奨いたします。
もちろんワーディングの背後には法律の専門家にしかわからない歴史もあるので、解釈については欧州のデータ・プライバシーに通暁した弁護士さんに相談するのが良いでしょう。
データ・プライバシーについての考え方は、イギリス、フランス、ドイツ、イタリア、スペイン、スウェーデン…と国によって少しずつ温度差があるようです。
したがって、主にビジネスをされている国のデータ・プライバシー専門の弁護士に問い合わせをできると一番良いでしょう。
ちなみに、個人情報保護委員会がガイドラインの仮訳を公表しています。現状以下が翻訳済みですが、今後すべて翻訳をしていく方針だと聞いています。
一般データ保護規則の前文 (PDF:654KB)
一般データ保護規則の条文 (PDF:1230KB)
データポータビリティの権利に関するガイドライン (PDF:1105KB)
データ保護オフィサー(DPO)に関するガイドライン (PDF:906KB)
管理者又は処理者の主監督機関を特定するためのガイドライン (PDF:596KB)
データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン (PDF:1152KB)
では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。
—
1.主監督機関の特定:鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
1.2 主監督機関(Lead supervisory authority)
ひとことで言うと、「主監督機関」とはある組織の越境データ処理に関して主な対応責任を担う存在のことです。
例えばデータ主体が自身の個人データ処理(越境データ処理)について苦情申し立てをしたとき等に対応を取り纏めるのが主監督機関の役割となります。
主監督機関を決定する際に鍵となるのは、管理者の欧州における「主要な拠点(main establishment)」または「単一の拠点(single establishment)」です。
GDPR第56条を見てみましょう。
-the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the cross-border processing carried out by that controller or processor in accordance with the [cooperation] procedure provided in Article 60.
主要な拠点がある場所の監督機関または管理者、処理者の単一の拠点がある場所の監督機関は、
管理者、処理者が行う越境処理について、GDPR第60条で規定される「(協力)手順」に従いつつ、主監督機関としての役割を果たすものとする。