WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)
今日教えてもらったのですが、欧州ではDPOとして監督機関のOBが引く手あまたとのことです。
日本でもDPO人材不足が話題になる日が近いのではないかということです。
DPOとして仕事をするにはデータ保護の専門家としての素養が欠かせません。
Privacy Professionalのキャリアパスの一つとして定着するとよいと思っています。
今日は2 Designation of a DPO (DPOの任命)のうち、
2.2 DPO of the processor(処理者でDPOが任命必要になる場合)の部分を見ていきます。
—
GDPRの第37条は管理者、処理者ともに該当します。
管理者に任命義務があるからと、必ずしも処理者に任命義務があるとは限りません。
しかし、WP29としては管理者にDPOがいるのであれば処理者にDPOをおくのは推奨できる方法だといっています。
DPOの任命は、
– 管理者だけに任命義務がある場合、
– 処理者だけに任命義務がある場合、
– 管理者・処理者両方ともに任命義務がある場合
ということもありえます。
特に管理者・処理者ともにDPOを任命する場合は、両者が相互に協力することが大切となります。
処理者でDPOを任命するケースの例を二例あげます。
一つ目の例は以下です。
一つの町で家庭用品を販売している家族経営の会社があるとします。
この会社がウェブサイト運営を外注しており、外注先はウェブサイトの分析、行動ターゲティング広告、マーケティングを支援しているとします。
ここで例として取り上げている家族経営の会社の場合、顧客数や営業エリアを考えると、「大規模な」データ処理を伴わないと判断できます。
外注先、つまり処理者のほうは、どうでしょうか?
同様の家族経営の会社を顧客として数多く持っており併せると大規模なデータ処理をしていることになります。
したがって、処理者には37条1項(b)により、DPOの任命義務が生じます。
しかし、家族経営の会社にはDPOの任命義務は生じません。
二つ目の例は以下です。
中規模のタイル製造会社が外注業者に社内の職業保険サービスを委託しているとします。
その外注業者(処理者)には似たような顧客が複数いるものとします。
この場合、処理が大規模に行われているのであれば、処理者は第37条1項(c)によりDPOの任命義務が生じます。
一方で、中規模のタイル製造会社にはかならずしもDPOの任命義務は生じません。
処理者によって任命されたDPOは当然処理者の組織の活動も監督します。
処理者の組織が管理者として振舞う場合は管理者のDPOとして監督することになります。(人事やIT、物流等)