第39条は「データ保護オフィサーの職務」です。
第39条:データ保護オフィサーの職務
1. データ保護オフィサーは、少なくとも、以下の職務を行わなければならない:
(a) 管理者又は処理者及び取扱いを行う従業者に対し、本規則及びそれ以外のEU若しくは加盟国のデータ保護条項による義務を通知し、かつ、助言すること;
(b) 取扱業務に関与する職員の責任の割当て、意識向上及び訓練、並びに、関連する監査を含め、本規則の遵守、それ以外のEU又は加盟国の個人データ保護条項遵守、並びに、個人データ保護と関連する管理者又は処理者の保護方針の遵守を監視すること;
(c) 要請があった場合、第35条によるデータ保護影響評価に関して助言を提供し、その遂行を監視すること;
(d) 監督機関と協力すること;
(e) 取扱いと関連する問題に関し、監督機関の連絡先として行動すること。第36条に規定する事前協議、適切な場合、それ以外の関連事項について協議することを含む。
データ保護オフィサー(DPO)は、少なくとも、以下の職務を行わなければなりません。
(a) 管理者または処理者および取扱いを行う従業者に対し、GDPRやその他のEU法または加盟国法のデータ保護に関する条項による義務を通知し、助言をすること(教育)
(b) 取扱業務に関与する職員の責任の割当て、意識向上および訓練、ならびに、関連する監査を含め、GDPRやその他のEU法または加盟国法のデータ保護に関する条項の順守や、個人データ保護に関連する管理者または処理者の保護方針の順守を監視すること(監督)
(c) 監督機関と協力すること
(d) 取扱いと関連する問題に関し、監督機関の連絡先として行動すること(第36条に規定する事前協議や、適切な場合には、それ以外の関連事項について協議することも含む)。
2. データ保護オフィサーは、その職務を遂行する際、取扱いの性質、範囲、過程及び目的を考慮に入れた上で、取扱業務と関係するリスクに関し、適正に注意を払う。
DPOは、その職務を遂行する際に、取扱いの性質、範囲、過程および目的を考慮したうえで、取扱業務と関連するリスクに関し十分に注意しなければなりません。
以上、第39条の「データ保護オフィサーの職務」でした。
ここまでが、第4節の「データ保護オフィサー」でした。
