７月にデータ・プライバシー専門家のネットワーキングイベントを行います。
ご関心のある方は以下からお申し込みください。

Kansai Data Privacy After Hours

この会については、二ヶ月に一度くらいの頻度で引き続き開催していきます。
IAPPのチャプターイベントの一つにできないかと考えておりますので、CIPP/E、CIPMホルダーの方のご参加をお待ちしております。

また、JETROさんのセミナーが７月１２日広島で決定しました。まだ未定ですが７月１３日に岡山でも開催できるよう調整中です。
７月１７日、１８日には北陸方面でのセミナーを予定しております。（すべて無料セミナーです）

お近くにいらっしゃる方はぜひご参加ください。

引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。

—
3.その他の関連する事項 (Other relevant issues)
3.1　「関係する監督機関」の役割(The role of the ‘supervisory authority concerned’)

「関係する監督機関」の定義はGDPR第４条(22)にあります。

‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because:
a) the controller or processor is established on the territory of the Member State of that supervisory authority;
b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or
c) a complaint has been lodged with that supervisory authority;

「関係する監督機関」とは、以下の理由で個人データの処理に関係している監督機関のこと。
a) 管理者または処理者が監督機関の所属する加盟国内に拠点を持っている
b) 監督機関の所属する加盟国内にデータ主体が居住していて、該当する処理によって大きな影響を受けているまたは受ける可能性がある
c) 該当する監督機関に対して苦情申し立てが行われた

「主監督機関」を定めると、「主監督機関」以外は軽視されてしまうかもしれません。
GDPRで「関係する監督機関」という考え方が提示されているのは、これを防ぐためです。

例えば、主監督機関の法域内に居住していない個人があるデータ処理の影響を大きく受けている場合、主監督機関以外の監督機関が対応に対する発言権をもっているということを明確にするためです。
上で紹介したGDPR第４条(22)(b) は、データ主体が該当する加盟国の国籍を持っている必要がない点に注意しましょう。

関係する監督機関が対応を行う場合について書いてあるのがGDPR第56条(2)-(5)です。主監督機関が主導しないと決定した場合は、通知を受けた関係する監督機関が対応を行います。（GDPR第61条（相互補助の原則）、GDPR第62条（監督機関の協業））

たとえば、次のようなケースが該当します。

主要な拠点がフランスにあるマーケティング会社がポルトガルのデータ主体のみに影響を与えるようなせいひんを発売したとします。この場合、フランスの監督機関とポルトガルの監督機関の間で、該当する処理についてはポルトガルの監督機関が主導して対応するとの合意がされることとなるでしょう。ポルトガルの監督機関は協力協定に基づいて、データ管理者に処理に関する情報手強を求めることとなるでしょう。

フランスとポルトガルの監督機関は、GDPR前文127に従い、処理行為がポルトガルのみにしか影響を与えないと判断して役割を分担したということになります。

GDPRは主監督機関と関係する監督機関が協力し、双方の見解を尊重することで、効果的な対応策がとられることを期待しています。
公式な一貫性のメカニズム発動プロセスは、最終手段として発動されるべきものとされています。

決定をmutual acceptance(相互受容)というときには、結論のみならず、監督機関のアクション方法にも影響を及ぼします。（組織全体を調査するのか、一部のみを調査するのか等）