WP243 rev.01 – DPOのガイドラインを読む(その3)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。

今日も2 Designation of a DPO (DPOの任命)のうち、2.1 Mandatory designation(任命義務がある場合)の部分を見ていきます。

DPOの任命は、GDPR上、37条1項で規定されています。
これによると、以下の場合、DPOを任命しなければなりません。

a) where the processing is carried out by a public authority or body
b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or
c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data or personal data relating to criminal convictions and offences.

a) 公的機関、公的団体が処理を行う場合
b) 管理者または処理者の中心的な活動が、大規模、定期的かつ系統だててデータ主体を監視することにある場合
c) 管理者または処理者の中心的な活動が多数の特別カテゴリデータの処理又は多数の犯罪履歴・違反履歴に関する処理である場合

37条1項 b) c)には【中心的な活動】という言葉が出てきています。
GDPRの前文97には次のようにあります。
” the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities”
(管理者の中心的な活動とは、その主要な活動に関するもので、補助的な活動に関連して個人データを処理することは除く)

「中心的な活動」とは、管理者または処理者の目的を達するために必要な鍵となる活動を指します。
中心的な活動とは字義通り捕らえるわけではなく、大きな支点から理解しなければなりません。
例えば病院の中心的な活動は医療活動ですが、医療活動を行うためには健康データを処理する必要があります。
この場合病院の中心的な活動には健康データの処理が含まれると考えるべきです。したがって病院はDPOの任命義務があります。

ショッピングセンターや人が集まる場所の監視を行う民間警備会社があるとします。
この警備会社にとって中心的な活動は監視ですが、個人データの処理が不可避的に関わります。したがって、この警備会社もDPO任命義務があります。

他方、多くの企業は従業員への給与支払いやITサポートを行っていますが、これらは企業のメインビジネスをサポートするために必要な機能として提供されているものであり、通常企業の中心的な活動として捉えられません。

37条1項 b) c)の【大規模に】という言葉はどう解釈すべきでしょうか。
GDPR上には「大規模」についての定義はありませんが、前文91にヒントがあります。
「大規模」かどうかを定義する正確な数字というものはありません。将来的にはDPO任命義務が生じるケースについてのデータ数を公表することで一定の指標が定められる予定となっています。

WP29は、処理が大規模なものかどうかを考慮するには以下の点を考慮するように述べています。

  • 関係するデータ主体の数(実際の数又は比率)
  • データ容量 かつ/または 処理されるデータ項目の幅
  • データ処理活動の期間、持続性
  • 処理活動の地理的範囲
  • 大規模な処理の例としては以下のものが挙げられています。

  • 病院が通常の運営で患者のデータを処理する活動
  • 市の公共交通システムによって個人の移動データを処理する活動(例えば交通カードを用いて追跡をする等)
  • グローバル企業であるファーストフードチェーンが、専門サービス提供業者(処理者)を用いて、統計目的でリアルタイムの顧客地理情報を処理する活動
  • 保険会社や銀行が日常的な業務のなかで個人データを処理する活動
  • サーチエンジンを用いて行動ターゲティング広告用の個人データを処理する活動
  • 電話サービスプロバイダまたはインターネットサービスプロバイダがデータ(内容、トラフィック、位置)を処理する活動
  • 大規模な処理と考えられない処理の例としては以下のものが挙げられています。

  • 個人の医師による患者データの処理
  • 個人の弁護士による犯罪履歴や違反に関する個人データの処理
  • 次回は37条1項b)中の【定期的かつ系統だった】の解釈を取り上げます。