WP243 rev.01 – DPOのガイドラインを読む(その13)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は3 Position of the DPO (DPOの地位)のうち、
3.4 Dismissal or penalty for performing DPO tasks”(DPOの業務に対する解雇処分またはペナルティー処分)を見ていきます。


GDPRの第38条(3)には次のように書かれています。
「管理者、処理者は(DPOが)行った職務に対して解雇処分またはペナルティー処分を行ってはならない」

これは、DPOの独立性を担保するための条項の一つです。独立性を担保するためには適切な保護がされなければなりません。
DPOとしての職務を執行した結果としてペナルティーをうけることをGDPRは禁止しています。

例えば、DPOがある処理について「リスクが高い」と判断し、管理者、処理者に対してデータ保護影響評価を執り行うように助言したとします。
管理者、処理者は「リスクが高い」と考えておらずDPOと意見が異なっていることがありえます。
その場合、DPOが管理者、処理者の意に反する助言を与えたことによって解雇されるといったことはあってはならない、というのが本条項の意図です。

ペナルティーには直接、間接を問わずさまざまなものが含まれます。
次のようなものはペナルティーと考えられるものの一例です。

昇進できなくなること。昇進が遅れること。キャリアを進めることを妨害すること。他の従業員が受けている手当て等を受けられなくなること。

ペナルティーが実際に実施されたかどうかが問題ではなく、DPOの活動に関連して(意図に従わない場合)ペナルティーを受ける可能性があることを示唆するだけでもペナルティーとして理解されます。

一方で、通常のマネジメント規則、各国の契約法、雇用契約法、犯罪法等、DPOの業務を行うことに関連しないことがらに関してDPOが違反したような場合には、
DPOの解雇処置を妨げるものではありません。窃盗、身体的・心理的・性的ハラスメント等は当然許されるものではありません。

本条項の意図を取り違えないようにご注意ください。
DPOの地位が安定的であり不当な(unfair)な解雇等から護られていれば、DPOが独立して職務を行うことができる可能性が高まると考えるのは自然でしょう。
WP29はこのことを期待しているということを忘れないようにしてください。