各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。
WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)
今日は2 Designation of a DPO (DPOの任命)のうち、
2.5 Expertise and skills of the DPO(DPOの専門性とスキル)ののこりの部分を見ていきます。
—
DPOは「サービス契約」という形で管理者・処理者の組織外の個人・組織に委託することができます。
特に、「組織」に委託する場合は、DPOの役割を果たす組織の各メンバーが第37条から第39条に記載された要件を満たすことが非常に重要となります。(例えば利害が対立する関係にないこと、等)
同時に、各メンバーはGDPRの条項によって護られていることも重要です。(DPOとしての活動にかかるサービス契約を不当に打ち切らないこと、DPOの仕事を行う組織内のメンバーを不当に解雇しないこと、等)
また、複数の個人がチームとして働き、それぞれの能力と強みを組み合わせることでサービスを提供するということはよりよいサービスを提供できる可能性がある、とWP29は考えています。
法律上の透明性、全体の統率の観点、チームメンバー間での利益の対立を防ぐという点から、DPOチーム内での仕事分担は明確に切り分けておくことが推奨されます。
また、主な窓口となる存在を一人決め、クライアントごとに「担当者」を一人アサインするとよいでしょう。
一般にこれらの内容はサービス契約で明確化しておくことが推奨されます。