WP243 rev.01 – DPOのガイドラインを読む(その9)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は2 Designation of a DPO (DPOの任命)のうち、
2.6 Publication and communication of the DPO’s contact details(DPOの連絡先の公表と伝達)を見ていきます。


第37条(7)では、DPOの連絡先を公表し監督機関に伝達するよう要求しています。
これは、データ主体や監督機関が他の部門を経ることなくDPOに連絡が取れるようにするためです。

DPOとのコミュニケーションにおいては機密性も重要な要素となります。
例えば、従業員の場合、DPOとのやり取りについて秘密が護られないのであればDPOに苦情を言うことができなくなるでしょう。
データ主体の自由と権利を護るためには、機密性保護、秘密保護は欠かせません。第38条にあるように、DPOは欧州法、各国法に準拠した秘密保護、機密保護の義務を負っています。

DPOの連絡先公表については、どこまで公表すべきか気になるところと思います。
WP29のガイドラインによれば、データ主体や監督機関が「容易に」接触できるものであるべきです。
具体的には、郵便の送付先住所、DPO直通の電話番号、DPO直通のe-mail addressが挙げられています。

その他、専用ホットライン、ウェブサイト上のDPO用連絡フォームなどを採用すことも場合によっては可能とされています。

DPOの名前の公表は義務付けられていません。
管理者、処理者、またはDPO自身が必要と判断した場合は公表するのがよいでしょう。
また、DPOは監督機関と組織の橋渡し役となるので、監督機関には名前を伝達しておくことが望ましいといえます。(第39条(1)(e)
(監督機関、データ主体にデータ侵害の発生を連絡する際にはDPOの名前を伝えなければならないことに注意してください。(第33条(3)(b)))

WP29は、good practiceの一環として従業員にDPOの名前と連絡先を伝達しておくことを推奨しています。
イントラネットや社内報、社内電話番号、組織図に記載しておくとよいでしょう。