WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)
今日は2 Designation of a DPO (DPOの任命)のうち、
2.1 Mandatory designation(任命義務がある場合)の部分を見ていきます。
—
DPOの任命は、GDPR上、37条1項で規定されています。
これによると、以下の場合、DPOを任命しなければなりません。
a) where the processing is carried out by a public authority or body
b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or
c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data or personal data relating to criminal convictions and offences.
a) 公的機関、公的団体が処理を行う場合
b) 管理者または処理者の中心的な活動が、大規模、定期的かつ系統だててデータ主体を監視することにある場合
c) 管理者または処理者の中心的な活動が多数の特別カテゴリデータの処理又は多数の犯罪履歴・違反履歴に関する処理である場合
—
37条1項 b)にある【定期的かつ系統だった】とは具体的にはどのようなものでしょうか。
GDPRの前文24には「データ主体の行動監視」が取り上げられています。
それによると、行動ターゲティングマーケティング広告を含む、インターネット上でのトラッキングやプロファイリングをすべて含むと明言されています。
しかし、「監視」とはオンライン上のことのみではなく、上記の例はデータ主体の行動監視の一例として捕らえてください。
WP29の「定期的」についての解釈は以下のいずれか、もしくは組み合わせです。
「系統だった」についての解釈は以下のいずれか、もしくは組み合わせです。
例としては次のようなものが挙げられています。
テレコミュニケーション・ネットワークの運用をすること
テレコミュニケーション・サービスを提供すること
emailのリターゲティングを行うこと
データを活用したマーケティング活動
リスクアセスメントを目的としたプロファイリングやスコアリング(信用スコア、保険プレミアの設定、詐欺防止、資金洗浄の検出等)
たとえばモバイルアプリによる地理情報の追跡
ロイヤルティ・プログラム
行動ターゲティング広告
ウェアラブル・デバイスを通じて、健康・運動等の状態を監視すること
CCTV(監視カメラ)
スマート・メータ等のコネクティド・デバイス
ホーム・オートメーション
37条1項 c)の【特別カテゴリーのデータや犯罪履歴・違反に関するデータ】というは第9条、第10条の内容です。いずれかについて扱っている場合、と解釈してください。