WP243 rev.01 – DPOのガイドラインを読む(その17)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は4 Tasks of the DPO (DPOの職務)のうち、
4.3 Cooperating with the supervisory authority and acting as a contact point(監督機関との協同およびコンタクト先としての役割)4.4 Risk-based approach(リスク・ベースド・アプローチ)を見ていきます。


【監督機関との協同およびコンタクト先としての役割】
GDPR第39条(1)(d)、(e)には「監督機関に協力」し、「第36条で触れられている事前相談を含め、処理に関する問題および、それが適切であれば、その他のことがらについての監督機関のコンタクト先と」なる存在がDPOであると規定されています。

DPOはいわば「ファシリテータ」のような役柄です。
監督機関が第57条で規定された職務を行うに当たって、組織内文書や組織内情報にアクセスする際のファシリテータを行います。また、監督機関が第58条で規定された職務を行うに当たって、調査、修正、許可、助言を執行するファシリテータの役割も行います。

DPOはその職務について秘密保持義務を負いますが、DPOが監督機関に連絡をしたり助言を求めることは可能です。
GDPR第39条(1)(e)は、適切であれば、DPOが監督機関に相談することを可能としています。

【リスクベースドアプローチ】
GDPR第39条(2)には「その性質、範囲、文脈、および目的に鑑みて処理のリスクに十分注意を払っている」ことがDPOの職務の一つとして挙げられています。

DPOは「常識」に基づいて日常業務を行います。データ保護リスクの高い、「優先度の高い活動」に注力するのは自然な振る舞いです。
これはリスクがそれほど高くない処理業務についてGDPR適合性を無視してもよいという意味ではなく、まず優先度の高い活動から取り組む、という意味です。

どのような手法でDPIAを行うべきか、データ保護について内部監査、外部監査をどの分野について行わなければならないか、データ処理活動に責任を持つスタッフやマネジメント層に対してどのような内部トレーニングを提供すべきか、時間とリソースをどの処理業務に使うべきか、ということをアドバイスする際にも、このような選択的かつ現実的なアプローチをとること効果的な方法といえるでしょう。