引き続き、WP29のDPOのガイドライン(WP243 rev.01)を読んでいきます。
このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。

DPOは、今非常に関心が集まっているトピックのようです。
GDPRへの対応方法の記事でも書いたように、DPOまたはプライバシー・リーダーはGDPR対応の最初に選ぶのがよいものです。前回の繰り返しになりますが、DPOは中心的役割を果たします。

欧米のプライバシー・マネジメント・ソフトはすべて、「プライバシー・チーム」の活動を中心に組み立てられています。
DPOは、「プライバシー・チーム」の長となる存在でもあります。

（弊社でもプライバシー・マネジメント・ソフトや様々なツールを取扱っています。
ソフトではGDPR準拠に必要なテンプレート等も用意されていますので、ご要望があればご連絡ください。）

今日は2 Designation of a DPO (DPOの任命)のうち、2.1 Mandatory designation(任命義務がある場合)の部分を見ていきます。

DPOの任命は、GDPR上、37条1項で規定されています。
これによると、以下の場合、DPOを任命しなければなりません。

a) where the processing is carried out by a public authority or body
b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or
c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data or personal data relating to criminal convictions and offences.

a) 公的機関、公的団体が処理を行う場合
b) 管理者または処理者の中心的な活動が、大規模、定期的かつ系統だててデータ主体を監視することにある場合
c) 管理者または処理者の中心的な活動が多数の特別カテゴリデータの処理又は多数の犯罪履歴・違反履歴に関する処理である場合

DPOの任命が明らかに不要な場合を除き、DPOを任命すべきかどうか検討した内部資料を残しておくようWP29は推奨しています。
内部資料には、適切に考慮した結果DPO任命の要否が決定されたという内容を記載します。
こうした内部検討資料も説明責任を果たす上で必要な資料となります。

内部検討資料は一度作ったら終わりというわけではなく、37条1項に該当しそうな活動に取り組み始めたとき、もしくはそのようなサービスを提供し始めたときに再度実施する必要があります。

DPOを自発的に任命した場合は、37条から39条の内容が適用され、DPOの任命が義務のときと同等の立場としてDPOを処遇します。

DPOの任命義務がない場合、もしくはDPOを自発的に任命したくない場合、個人データ保護をタスクとしたスタッフや外部コンサルタントを雇うこともできます。
ただし、彼らはDPOではないため、その点は明確にしておいてください。

37条1項 a)中の【公的機関、団体】とはどのような存在なのでしょうか。

GDPR上には「公的機関、団体」についての定義がありません。
WP29は、各国法で公的とみなされるものであれば「公的機関、団体」に該当すると考えています。（DPOの任命が義務となる）

その他、加盟国の交通サービス、水道・電力サービス、道路インフラ、公共放送、公共住宅といったものの運営は、民営化されていても公的な任務となるため、データ主体は公的機関に対する立場と似た立場におかれることになります。他に選択肢がない状態で個人データを渡すこととなりますので、これらの機関は準公的機関と考えられ、DPOの任命を行うのがよいでしょう。

公的な性格を帯びた業務を取り扱う会社も、DPOの任命が好ましいでしょう。
（その場合、DPOは公的な性格を帯びた業務のみならず、すべての業務を見ることとなります）

少し長くなったので、続きは次回に。
次回は37条1項 b)中の【中心的な役割】、【大規模】の解釈の方法を取り上げます。