関西のプライバシー専門家ネットワーク構築をしたいと考えています。
7月の上旬にPrivacy After Hoursというネットワーキング・イベントを開催する準備をしています。

Data Privacy の専門家、弁護士、ISOの専門家、サイバーセキュリティの専門家で横のつながりを生み、
関西でのData Privacyの活動を盛り上げるきっかけにしたいと思います。

関心のある方はぜひご参加ください。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。

—
2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
2.1.2　企業グループ(Groups of undertakings)

企業グループにおける意思決定の仕組みはやや複雑です。これは、他の拠点への越境移転を行う権限を各企業が持つためです。

考え方の目安としては、以下の通りとすればよいでしょう。

企業グループが個人データの処理を行っており、その本社機能が欧州域内にある場合、全体のコントロールを行っている企業拠点が意思決定の場とみなされます。すなわち、全体のコントロールを行っている企業拠点がグループ全体の主要な拠点とみなされます。（処理の目的と手段を決めているのが別の拠点の場合はその拠点を主要な拠点とみなします。）

2.1.3　協同データ管理者(Joint data controllers)
GDPR26条(1)と前文79で定義される共同管理者については、主監督機関をどこにすべきかということは定められていません。

ワンス・トップ・サービスを享受するためには、共同管理者の責任区分を明確にする取り決めの中で、処理行為の目的と手段を決定する権限がどの拠点にあるかを明確化しておくと良いでしょう。その拠点を主要な拠点と考えることで主監督機関を選定可能となります。（主要な拠点はGDPR82条(4)の責任を負う点に注意ください。）