中国のインターネット安全法(中国サイバーセキュリティ法)にそろそろ動きが出てきました。
国家標準GB/T 35273-2017が2018年5月1日から施行されました。7月にはさらにいくつかのインターネット情報安全関連の資料が施行されるようです。
GDPRに続いてモニターが必要な領域です。
WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)
今日は3 Position of the DPO (DPOの地位)のうち、
3.3 Instructions and “performing their duties and tasks in an independent manner”(指示についてと「独立してDPOの責務と業務の執行すること」)を見ていきます。
—
DPOは組織の中で十分な独立性を保ちつつ業務を行える必要があります。
GDPRの第38条(3)はDPOの独立性を保証しています。特に「業務の執行に当たってDPOは(管理者、処理者の)介入(指示)を一切受けない」状態を確実なものとするように求めています。前文97ではこれに加えて次のように述べています。
「DPOが従業員であるかを問わず、DPOは独立した方法で責務と業務を執行する地位でなければならない。」
これはつまり、GDPRの第39条で規定されているDPOの業務を行ううえで、達成すべきこと、対応状況をどのように調査するか、監督機関に相談すべきか、といった実務上の手法について指示されることがあってはならない、ということです。データ保護法についての特定の解釈を持つ等、データ保護法に関するある特定の立場をとるように指示されるということがあってもいけません。
DPOは高い独立性を持った存在ですが、第39条に規定された業務を超えて意思決定を行う権限は持っていません。
データ保護法の遵守は管理者、処理者の責任ですし、適法性を証明するのも彼らの責務です。
GDPRに準拠しない決断やDPOのアドバイスと異なる決定を管理者、処理者が行った場合、DPOは役員レベルのスタッフに同意できない旨を直接伝えることができ、また、そのような決定を行った存在に対しても同様のことができます。第38条(3)で「管理者、処理者の役員レベルのスタッフに直接報告可能である」というのは、上記の目的のためです。
直接報告可能であることによって、シニア・マネジメントはDPOの助言やDPOが何を推奨しているかについて認識可能となります。
「DPOの活動についての年次報告」もシニア・マネジメントへ直接報告するケースの一例です。