ここからは第4章の「管理者及び処理者」に入ります。
まずは第1節の「一般的な義務」。第24条の「管理者の責任」です。
管理者の用語の定義についてはこちらで触れています。
また、治験やヘルスケアアプリの場合の事例を交え、こちらでも説明していますので、ご参照ください。
第24条:管理者の責任
1. 取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者は、本規則に従って取扱いが遂行されることを確保し、かつ、そのことを説明できるようにするための適切な技術上及び組織上の措置を実装するものとする。それらの措置は、レビューされ、また、必要があるときは、最新のものに改められるものとする。
管理者は、取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対するリスクの大きさを考慮し、本規則に従った取扱いがされることを保証し、かつ、そのように適切に取扱われていることを説明できるよう、適切な技術的・組織的安全管理措置を実施する必要があります。また、それらの措置は見直しがされ、必要があれば更新されなければなりません。
ここにある「自然人の権利及び自由に対するリスク」の例が前文第75項で示されているので、以下に引用します。
自然人の権利及び自由に対するリスクは、様々な蓋然性と深刻度で、個人データの取扱いから生じうる。それは、物的な損失、財産的な損失若しくは非財産的な損失を発生させうるものであり、特に:その取扱いが、差別、ID 盗取又はID 詐欺、金銭上の損失、信用の毀損、職務上の守秘義務によって保護されている個人データの機密性の喪失、無権限による仮名化の復元、又は、それら以外の重大な経済的又は社会的な不利益を生じさせうる場合;データ主体がその権利及び自由を奪われ、又は、その個人データに対するコントロールの実行を妨げられる場合;人種的若しくは民族的な出自、政治的な意見、信教又は思想上の信条、労働組合の加入を明らかにする個人データの取扱い、並びに、遺伝子データ、健康と関係するデータ若しくは性生活と関係するデータ、又は、有罪判決及び犯罪行為若しくは関連する保護措置と関係するデータの取扱いの場合;個人的側面が評価される場合、特に、個人プロファイルの作成若しくはその使用のために、職務遂行能力、経済状態、健康、個人的な嗜好若しくは興味、信頼性若しくは行動、位置若しくは移動に関する側面が分析又は予測される場合;脆弱性のある自然人の個人データ、特に、子どもの個人データが取扱われる場合;又は、取扱いが莫大な量の個人データを含んでおり、多数のデータ主体に対して影響を及ぼす場合がそうである。
一般データ保護規則(GDPR)の前文 第75項 個人情報保護委員会にる仮日本語訳
また、前文第76項では「リスクは客観的な評価に基づいて決定されなければならない」とあるのですが、客観的評価とは難しそうです。
2. 取扱活動と関連して比例的である場合、第1項に規定する措置は、管理者による適切なデータ保護方針の実装を含むものとする。
取扱いの活動内容に関連して比例的であれば、第1項の措置に、管理者による適切なデータ保護方針の実施を含みます。
3. 第40条に規定する承認された行動規範及び第42条に規定する承認された認証方法の遵守は、管理者の義務が履行されていることを証明するための要素として用いることができる。
第40条で規定する承認された「行動規範」や第42条で規定する承認された「認証」制度を遵守することは、管理者の義務の履行を証明する要素になり得ます。
以上、第24条の「管理者の責任」でした。
