主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(6)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

JETROのお仕事をしていると、多くの企業の方がJETROの資料を読み込んでらっしゃることを感じます。
ただ、GDPR施行前に作成されたもののためか、JETROの資料は少し難しいですね。結局何をしたらいいのかがわからない、となってしまっている印象があります。

英語が読めるのであれば、海外のGDPR紹介サイト(ICOのGDPRサイト)を読んで理解するほうが早いかもしれません。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
2.1 管理者の「主要な拠点」を特定する(Identify the ‘main establishment’ for controllers)

主要な拠点の場所を決定するためには、まず管理者の欧州内における統括拠点を特定する必要があります。GDPRでは、個人データの処理の目的と手段を決定している場所が統括拠点となります。また、そのような場所には処理の目的と手段を決定し、実装する権限があります。

GDPRで主監督機関を定める主な目的は、越境処理の監督を一つの欧州域内に存在する監督機関だけに行わせることにあります。
しかし、主監督機関は必ずしもひとつだけというわけではありません。

欧州統括拠点で越境処理活動についての決定が行われているのであれば、多国籍企業が行うさまざまなデータ処理活動を監督する主監督機関は一つだけとなります。一方で、欧州統括拠点以外の拠点が独立性を保っており、ある特定の処理活動について処理の目的と手段を決定している場合は、主監督機関が二つ以上となる可能性もあります。
(たとえば多国籍企業が異なる国で異なる処理活動について、意思決定を行う中心的な拠点を個別にもつ場合が該当(例2のケース))

企業はどこが処理の目的と手段を決定しているか、正確に特定する必要があります。
管理者、処理者は、主監督機関に対してDPOの選任の連絡やリスクのある処理活動についての相談を行うこととなりますので、管理者、処理者にとってもどの監督機関と協議を行う必要があるか明確になることは有益なことでしょう。

例1:食品小売会社の例
本社(統括拠点)がオランダのロッテルダムにある食品小売会社の例です。この会社は欧州域内のさまざまな国に拠点を持ち、それぞれの国の消費者と接点を持っています。
この会社ではマーケティング目的で、消費者の個人データを全社共通のソフトで管理しています。消費者の個人データの処理について、目的と手段を決定するのはロッテルダム本社です。この場合、この食品小売会社の越境処理についての主監督機関はオランダの監督機関となります。

例2:銀行の例
フランクフルトに本社がある銀行の例です。銀行業務の処理活動はすべて本社が主導していますが、保険部門はウィーンにあります。
もし、ウィーンの拠点が保険に関するデータ処理活動についての決定権をもち、欧州全体に対して実装を行っているのであれば、保険目的の越境処理についてはオーストリアの監督機関が主監督機関となります。銀行業務についての個人データ処理については、顧客の所在地がどこであろうと、ドイツの監督機関(ヘッセン監督機関)が監督することとなります。

一点注意が必要なことは、主監督機関を決めたら主監督機関としかやり取りをしなくなるというわけではありません。
地元の監督機関が監督に入る場合も依然として残ります。

GDPR前文127が示すように、ローカル事案については地元の監督機関が取り扱うことがあります。
「二つ以上の加盟国に拠点を持つ管理者、処理者について、主監督機関ではない各監督機関が一つの加盟国のみで行われている処理に関するローカル事案について取り扱う権限を保持する。例えば、加盟国の雇用に関連した従業員データ処理についてにの事案の場合等が該当する」

雇用に関連するHRデータについては複数の監督機関の監督下におかれる可能性があるということです。