WP243 rev.01 – DPOのガイドラインを読む(その6)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

先日はJETROの仕事で長野に伺いました。長野はわりと輸出している産業が多くあるようです。
ただ、欧州に輸出しているとなると数は少ないようでした。

GDPR対応も佳境に近づいているようで、主要な会社は続々と対応状況を公表し始めました。
こうやって少しずつ情報が出揃い始めると、GDPRへの準拠も大分負荷が減ってきますね。

今日は2 Designation of a DPO (DPOの任命)のうち、
2.3 Designation of a single DPO for several organisation(複数の組織に対してDPOを1人任命する場合)2.4 Accessibility and localisation of the DPO(DPOのアクセス性とローカライゼーション)の部分を見ていきます。


GDPRの第37条(2)では複数の企業がDPOを一人だけ任命することができるとしています。
ただしこれには条件がついています。それは、DPOに「各事業所が容易にアクセス可能である」ことです。

DPOの職務のひとつは、管理者・処理者、従業員に対してGDPRに準拠した義務を履行するよう情報提供したりアドバイスをしたりすることです。
データ主体に対する窓口、監督機関に対する窓口、組織内の窓口という点からアクセスが容易に行えなければなりません。
その意味で、DPOの詳細な連絡先がGDPRの要求にしたがって公表されていることが重要です。

DPOは、データ主体と効率よくコミュニケーションでき、関係する監督機関と効率よく協調して働くことができる必要があります。
したがって、データ主体が使用する言語、関係する監督機関が使用する言語でやり取りを行わなければなりません。DPOとやり取り可能であるという状態が、データ主体がDPOに連絡取り得るということの本質です。

WP29は、DPOのアクセス性を担保するには管理者・処理者の事業所のEU域内有無にかかわらず、DPOをEUに置くことを推奨しています。
しかし、管理者・処理者の事業所がEU内に存在しない場合はDPOがEU域外に所在するほうがより効率的に機能する可能性を排除はしない、しています。
EU域内を推奨するが、現実的に難しい場合はEU域外も容認する、ということです。