WP29のDPOのガイドライン(WP243 rev.01)の続きです。
このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。
今日も2 Designation of a DPO (DPOの任命)のうち、2.1 Mandatory designation(任命義務がある場合)の部分を見ていきます。
DPOの任命は、GDPR上、37条1項で規定されています。
これによると、以下の場合、DPOを任命しなければなりません。
a) where the processing is carried out by a public authority or body
b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or
c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data or personal data relating to criminal convictions and offences.
a) 公的機関、公的団体が処理を行う場合
b) 管理者または処理者の中心的な活動が、大規模、定期的かつ系統だててデータ主体を監視することにある場合
c) 管理者または処理者の中心的な活動が多数の特別カテゴリデータの処理又は多数の犯罪履歴・違反履歴に関する処理である場合
37条1項 b) c)には【中心的な活動】という言葉が出てきています。
GDPRの前文97には次のようにあります。
” the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities”
(管理者の中心的な活動とは、その主要な活動に関するもので、補助的な活動に関連して個人データを処理することは除く)
「中心的な活動」とは、管理者または処理者の目的を達するために必要な鍵となる活動を指します。
中心的な活動とは字義通り捕らえるわけではなく、大きな支点から理解しなければなりません。
例えば病院の中心的な活動は医療活動ですが、医療活動を行うためには健康データを処理する必要があります。
この場合病院の中心的な活動には健康データの処理が含まれると考えるべきです。したがって病院はDPOの任命義務があります。
ショッピングセンターや人が集まる場所の監視を行う民間警備会社があるとします。
この警備会社にとって中心的な活動は監視ですが、個人データの処理が不可避的に関わります。したがって、この警備会社もDPO任命義務があります。
他方、多くの企業は従業員への給与支払いやITサポートを行っていますが、これらは企業のメインビジネスをサポートするために必要な機能として提供されているものであり、通常企業の中心的な活動として捉えられません。
37条1項 b) c)の【大規模に】という言葉はどう解釈すべきでしょうか。
GDPR上には「大規模」についての定義はありませんが、前文91にヒントがあります。
「大規模」かどうかを定義する正確な数字というものはありません。将来的にはDPO任命義務が生じるケースについてのデータ数を公表することで一定の指標が定められる予定となっています。
WP29は、処理が大規模なものかどうかを考慮するには以下の点を考慮するように述べています。
大規模な処理の例としては以下のものが挙げられています。
大規模な処理と考えられない処理の例としては以下のものが挙げられています。
次回は37条1項b)中の【定期的かつ系統だった】の解釈を取り上げます。
