主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(５)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

データ主体は自身の個人データを事業者に対してある目的を達成するために実質上貸し出しています。
個人データを取扱っている事業者は「個人データ」を借り受けているという感覚が重要です。

アナロジーとして、友達に車を貸したときのことを考えてみてください。

あなたは車を大切に使ってくれるものと期待することでしょう。傷つけてほしくないし、へこませるなんてもってのほかですね。

もし車に何かあれば、友達はすぐに知らせてくれるべきだと期待するでしょう。隠し立てしたら友情が壊れます。

子どもの送り迎えのために車を貸すという約束が、いつの間にか引っ越しの手伝いのために使われていたと分かると気分が悪いですよね。引っ越しの手伝いのために使うのであれば最初から言っておいてほしいというのが本音でしょう。

返すときはガソリン代くらいは払っておいてもらいたいですよね

子どもの送り迎えが終わったのに便利だから買い物用に借り続ける、となると腹が立ちますね。貸したままずっと返してくれないというのはルール違反です。

いかがでしょう。「個人データ」をどう扱うかの肌感覚がわかればよいと思います。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。

—
1.主監督機関の特定：鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
1.3　主要な拠点(Main establishment)

主要な拠点については、GDPR第４条(16)の定義を参照してください。

as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;

二つ以上の加盟国に拠点がある管理者については、欧州における統括拠点のある場所のことです。ただし、欧州域内の管理者の別の拠点が処理の目的と手段を決め、その実装を決定する権限を持っている場合は、その拠点が主要な拠点とみなされます。

as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;

二つ以上の加盟国に拠点がある処理者については、欧州における統括拠点のある場所のことです。欧州域内に統括拠点がない場合、処理者がGDPRの適用を受け、処理者の拠点活動に関連して行われる主な処理活動が行われている
欧州内の処理者の拠点が主要な拠点となります。（ややこしいですね）