主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(9)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

前回投稿した投稿に関連してですが、IAPPのKnowledge chapter Tokyoの活動の一環にできないか考えてます。
現在調整をしていますので、詳細が決まれば改めて周知いたします。

日本の企業の動きはGDPR施行後、急にあわただしくなってきました。
かなり遅い印象がぬぐえませんが、何もしはいよりもはるかに良いので、ぜひ対応を進めてほしいと思います。

GDPR対応は可能であればコンサルティングサービスや弁護士事務所と進めるのが良いと思います。
独力でも対応可能ですが、その場合は、ガイドラインや関連書籍を読むことをかならずして、適切に対応してください。
また、Privacy Noticeは法定文書となるため、弁護士事務所に作成、レビューしてもらうことを推奨します。

逆にマネジメント体制については、弁護士事務所では対応が難しい可能性があるためマネジメントシステムについて深い知識をもった専門家に相談するのが良いでしょう。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
2.2 ボーダーライン・ケース(Borderline cases)

欧州域内に複数の拠点があるけれども、そのいずれもが意思決定を行っておらず、欧州域外の拠点があらゆる処理の決定を行っているケースがあります。
このようなケースの場合、ワン・ストップ・サービスを享受したくても享受できないことになります。その場合、主監督機関を定めてワン・ストップ・サービスを受けるには欧州域内の拠点の一つに処理行為の決定権をもたせるしかありません。

GDPRは「フォーラム・ショッピング」を許していません。

企業が主要な拠点を持っていると主張しても、個人データの処理についての意思決定がそこで実際に行われていない場合は、監督機関はその主観に基づき、証拠を検証することでどの監督機関が「主監督機関」であるかを決定することとなります。企業はさまざまな問い合わせや積極的な協力要請を受けることとなるでしょう。管理者や処理者は証拠を示さなければならなくなります。証拠としては(有効な)データ処理記録が必要となります。

関連する監督機関が、主要な拠点がどこかを示す証拠書類の提出を求めるケースも生じます。
その場合、関連する監督機関と主監督機関はその証拠に基づいて吟味し、本当に主監督機関となるべき監督機関がどこかを決定することとなります。

主監督機関は管理者や処理者が宣言すればそれで妥当とされるものではない点に注意してください。