「GDPRについて教えてほしい」とおっしゃる際に、よく「名刺データはどうしたらよいのでしょうか」というご質問があります。
特にB2Bのビジネスを行っている企業さんは、名刺データがどの程度機微なものか戸惑われています。
結論から言えば、名刺データは個人データに該当するものの、「個人の自由と権利」を侵害する度合いがそれほど高いものではありません。
特に欧州域内に拠点がない場合はそれほど本格的な対策が求められることはないと考えてもよいでしょう。
とはいえ、欧州の個人データを取り扱っているという認識だけは持っておくのがよろしいかと思います。
では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。
—
2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
2.1.1 管理者の「主要な拠点」が欧州統括拠点と異なる場合に管理者の「主要な拠点」を特定する判定基準(Criteria for identifying a controller’s main establishment in cases where it is not the place of its central administration in the EU.)
管理者の統括拠点の判定基準が該当しない場合はGDPR前文36を参照して管理者の主要な拠点を決めます。この際考慮すべきことは、恒久的な体制として、処理の目的と手段を決定する実質的かつ実際のマネジメント活動が行われているかどうかということです。
GDPR前文36は「個人データの処理または処理活動に用いる技術を使用しているまたはそのための技術が存在している、というだけでは主要な拠点とみなすことはできない」としています。
実質的に処理の目的と手段を決めていること、
その決定が欧州全域の拠点に影響を与えること、
処理の目的と手段を決めているマネジメント体制が恒久的に存在すること
が判断基準になる、ということです。
主監督機関がどこかを決定するのは管理者自身です。
しかし、他の監督機関がその決定に異議を申し立てる可能性があることにも注意をしてください。
(都合のよいように決定しても覆される可能性が残るということです)
統括拠点が欧州域内にない場合、管理者の主要な拠点を決定する上で以下の要素を考慮してください。
上記を考慮すればすべてが事足りるというわけではありません。場合によっては上記以外も考慮する必要が出てくるかもしれません。監督機関が管理者の定めた「主要な拠点」の妥当性に疑念を感じ場合、監督機関はその証拠を示す追加の情報を要求することができます。