GDPRでは各国が要件を定められる条項が数多くあります。
昨日ご紹介した、子供の同意に関する要件はその一つです。
今日はDPOの選任義務と登録について紹介します。
まず、DPOの選任義務ですが、定常的に(regular)系統だって(systematic)大規模に(large scale)モニタリングを行っている、または大規模な要配慮データ(sensitive data)を扱っている公共セクターではDPOの選任義務があります。
これに加え、ドイツでは以下の要件があります。
ドイツ:(BDSG 第38条)
DPOは監督機関への通知が必要ですが、現状以下の国でオンライン通知が可能となっています。
ベルギー、ブルガリア、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、イタリア、アイルランド、ラトビア、ルクセンブルグ、オランダ、ポーランド、ポルトガル、ルーマニア(pdfのみ)、スロバキア、スロベニア(pdfのみ)、スペイン、スウェーデン、イギリス
大規模(large-scale)処理については情報が少ないのですが、
オランダ DPAは健康情報における大規模(large-scale)は、病院、薬局とも一つのシステムに患者10,000名以上の健康情報が入っている場合が該当するとしています。
エストニアは5,000名以上に関する特別カテゴリーのデータを持っているとき、大規模(large-scale)処理とみなされるとしています。
その他、以下の各国要件があります。
オーストリア:画像処理について追加セキュリティ要件を設定(DSG 3.13)
ドイツ:データ主体の権利行使を断る場合、その根拠を文書化(BDSG第34条)
クロアチア:CCTVによる録画に対して、アクセス制限やログの記録等特別な要求を設定。CCTVを従業員、建物スタッフの監視に使用することを禁止(クロアチア法第28条)
オランダ:社会保障関連の事案(病状によって支払いをサポートする等)については健康情報に関するデータ処理の禁止を除外する(UAVG 第30条)
公共の利益、科学的調査、歴史的調査におけるアーカイブ目的または統計目的でのデータ処理については特別条項を定めている国が多くなっています。
