第38条は「データ保護オフィサーの地位」です。
第38条:データ保護オフィサーの地位
1. 管理者及び処理者は、個人データの保護に関連する全ての問題に、適正かつ適時に、データ保護オフィサーが関与することを確保しなければならない。
管理者および処理者は、個人データの保護に関する全ての問題について、適正かつ適時に、データ保護オフィサー(DPO)が関与できるような体制を整える必要があります。
2. 管理者及び処理者は、第39条で定める職務の遂行において、その職務を遂行し、個人データ及び取扱業務にアクセスするため、並びに、データ保護オフィサーの専門的な知識を維持するために必要となるリソースを提供することによって、データ保護オフィサーを支援しなければならない。
管理者および処理者は、DPOが第39条で定められている職務を遂行できるよう個人データやその取扱業務にアクセスし、またその専門知識を維持するために必要となるリソースを提供することで、DPOを支援しなければなりません。
3. 管理者及び処理者は、データ保護オフィサーが、その職務の遂行に関し、いかなる指示も受けないことを確保しなければならない。当該データ保護オフィサーは、当該データ保護オフィサーの職務の遂行に関して、管理者又は処理者から解任され、又は罰則を受けることがない。データ保護オフィサーは、管理者又は処理者の最高経営者レベルに対して直接報告しなければならない。
管理者および処理者は、DPOがその職務の遂行に関し、いかなる指示も受けないことを確保しなければなりません。そして、DPOの職務遂行に関連して、管理者または処理者が当該DPOを解任したり、罰則を与えるようなことをしてはなりません。DPOは、管理者または処理者の最高経営者レベルに対して直接報告しなければならないことになっています。
前文第97項にも以下のような記述がありました。
(前略)データ保護オフィサーは、管理者の従業者であるか否かを問わず、独立の態様でその義務及び職務を遂行するための地位を有するものとしなければならない。
一般データ保護規則(GDPR)の前文第97項 個人情報保護委員会にる仮日本語訳
4. データ主体は、その個人データの取扱い及び本規則に基づくその権利の行使に関連する全ての問題に関し、データ保護オフィサーと連絡をとることができる。
データ主体は、自身の個人データの取扱いやGDPRに基づくデータ主体の権利行使に関連する全ての問題に関し、DPOと連絡を取ることができることになっています。
5. データ保護オフィサーは、EU法又は加盟国の国内法に従い、データ保護オフィサーの職務の遂行と関係する秘密又は機密を厳守しなければならない。
DPOはEU法または加盟国法に従い、DPOの職務の遂行と関連する秘密または機密を厳守しなければなりません。
6. データ保護オフィサーは、他の職務を遂行し、義務を履行することができる。管理者又は処理者は、そのような職務及び義務が利益相反とならないことを確保しなければならない。
DPOは、他の職務を遂行し、業務を履行することができます(兼業可能)。その際、管理者または処理者は、そのような職務及び業務が利益相反とならないことを確保しなければなりません。
以上、第38条の「データ保護オフィサーの地位」でした。
