今日からしばらく、WP29のDPOのガイドライン(WP243 rev.01)を読んでいきます。

WP29のガイドラインはGDPRの解釈の指針となるものです。
GDPRについて調べる際は、まずこれから目を通すのがよいでしょう。

英語も平易なので、英語が苦手な方でも比較的わかりやすく書かれています。

DPOのガイドライン(WP243 rev.01)は、大きく４章から成る本文と、付録から構成されています。

1. Introduction(はじめに)の部分からはじめましょう。

最初に触れられているのは、GDPRは説明責任（アカウンタビリティ）を基礎としたフレームワークを提供しているということです。
何度も触れられていることですが、GDPRでは説明責任を果たせる体制づくりが重要です。

ガイドラインによると、DPOは、多くの組織にとってGDPRへの準拠体制を整える核心的役割を担います。
DPOは説明責任を果たすためのツール(DPIA（Data Protection Impact Assessmentデータ保護影響評価）、内部監査)を整備し、ステークスホルダ(監督機関、データ主体、組織内のビジネスユニット)間の介在者となる存在だからです。

（この点は以前の記事でも繰り返し指摘されていましたね。
監督機関は、DPOの説明能力に大きな期待を寄せている様子です。）

実はDPOという概念は新しいものではありません。
DPOはドイツをはじめ、いくつかの国では以前から取り入れられていました。

それが、GDPRになって初めて、（一定の要件下で）義務付けられました。

DPOは法律上護られた存在です。
データ漏洩が生じた場合、DPOが個人的に責任を負わされることはありません。
責任は、管理者または処理者が責任を負います。（GDPR 第24条(1)）

管理者や処理者はDPOがその職務を果たせるよう環境を整える必要があります。
DPOを指名後、DPOに独立性を保証しかつその任務を効果的に遂行できるようリソースを提供することが、管理者や処理者には義務付けられています。

企業に派遣されている公務員のような雰囲気がある存在です。
次回はDPOの任命が義務となる場合について説明をしていきます。