GDPRのお勉強(第37条:データ保護オフィサーの指名)

GDPR
2022.12.07
この記事は約5分で読めます。

 ここから、第4章の「管理者及び処理者」の第4節「データ保護オフィサー」に入ります。

 まず、第37条は「データ保護オフィサーの指名」となります。

第37条:データ保護オフィサーの指名

1. 管理者及び処理者は、以下の場合において、データ保護オフィサーを指名しなければならない:

(a) 公的機関又は公的組織によって行われる場合。ただし、裁判所がその司法上の権限を行使する(acting in their judicial capacity)場合を除く取扱い;
(b) 管理者又は処理者の中心的業務が、その取扱いの性質、範囲及び又は目的のゆえに、データ主体の定期的かつ系統的な監視を大規模に要する取扱業務によって構成される場合;又は、
(c) 管理者又は処理者の中心的業務が、第9条による特別な種類のデータ及び第10条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合。

 管理者および処理者は、以下の(a)から(b)の場合においては、データ保護オフィサー(DPO:Data Protection Officer)を指名しなければなりません。

(a) 裁判所が司法上の権限を行使する場合を除き、公的機関または公的組織によって行われる場合
(b) 管理者または処理者の中心的業務が、そのデータの取扱いの性質や範囲および目的のため、データ主体を定期的かつ系統的な監視を大規模にする必要がある取扱業務によって構成される場合
(c) 管理者または処理者の中心的業務が、第9条の特別な種類のデータおよび第10条で定める有罪判決および犯罪行為と関連する個人データの大規模な取扱いによって構成される場合

2. 企業グループは、データ保護オフィサーが各拠点から容易にアクセス可能な場合に限り、1名のデータ保護オフィサーを指名できる。

 企業グループは、DPOが各拠点に容易にアクセス可能な場合に限り、DPOの指名は1名でも構わないことになっています(逆に言えば、そうでなければ複数)。

3. 管理者又は処理者が公的機関又は公的組織である場合、その組織上の構造及び規模を考慮に入れた上で、複数の公的機関又は公的組織に対して単一のデータ保護オフィサーを指名できる。

 管理者または処理者が公的機関または公的組織の場合、その組織上の構造および規模を考慮に入れた上で、複数の公的機関または公的組織に対して、1名のDPOの指名でも構わないことになっています。

4. 第1項で定める場合以外においては、管理者若しくは処理者、又は、様々な種類の管理者若しくは処理者を代表する団体その他の組織は、データ保護オフィサーを指名することができ、又は、EU法又は加盟国の国内法によって要求される場合、データ保護オフィサーを指名しなければならない。そのデータ保護オフィサーは、そのような団体その他の組織を代表する管理者又は処理者のために行動できる。

 第1項に該当する場合以外の時でも、DPOを指名することができます(EU法または加盟国法で要求される場合は指名しなければなりません)。また、DPOは特定分野を代表する組織などのために行動することができます。

5. データ保護オフィサーは、専門家としての資質、及び、特に、データ保護の法令及び実務に関する専門知識並びに第39条で定める職務を充足するための能力に基づいて指定される。

 DPOは当然ながら誰でも良いわけではなく、専門家としての資質、および、特にデータ保護の法令及び実務に関する専門知識、ならびに第39条で定める職務を充足するための能力に基づいて指定されることになっています。

6. データ保護オフィサーは、管理者又は処理者の職員とすることができ、又は、業務契約に基づいてその職務を果たすことができる。

 DPOは、管理者または処理者の職員でも良いですし、業務契約に基づきその職務を果たす能力を有する人に依頼する形でも構いません。

7. 管理者又は処理者は、データ保護オフィサーの連絡先の詳細を公表し、かつ、監督機関に対し、それを連絡しなければならない。

 管理者または処理者は、DPOの連絡先の詳細を公表するとともに、監督機関に対しても、その連絡先の詳細を連絡しなければなりません。

 前文第97項に関連する記述があるので、参考までに以下に引用します。

裁判所又は独立司法機関がその司法上の権能において行動する場合を除き、取扱いが公的機関によって行われる場合、民間部門において、定期的に体系的にデータ主体を大規模に監視することを要する取扱業務を中心的な業務とする管理者によって取扱いが行われる場合、又は、管理者及び処理者の中心的な業務が、特別な種類の個人データ並びに有罪判決及び犯罪と関連するデータの大規模な取扱いによって構成されている場合、本規則の内部的な遵守を監視するために、データ保護法令及びその実務に関する専門知識をもつ者が管理者又は処理者を支援しなければならない。民間部門においては、管理者の中心的業務は、その基本的な活動と関連するものであり、付随的な業務としての個人データの取扱いと関連するものではない。必要とされる専門知識のレベルは、特に、行われるデータ取扱業務に従って、そして、管理者又は処理者によって取扱われる個人データにとって必要な保護に従って、決定されなければならない。そのようなデータ保護オフィサーは、管理者の従業者であるか否かを問わず、独立の態様でその義務及び職務を遂行するための地位を有するものとしなければならない。

一般データ保護規則(GDPR)の前文第97項 個人情報保護委員会にる仮日本語訳

 以上、第37条の「データ保護オフィサーの指名」でした。

GDPRのお勉強:一覧
医療データや治験データなどの健康医療関連データの取り扱いに特に注意を払いながらGDPRを勉強していきます。
jibun-no.work
タイトルとURLをコピーしました