EUデータ保護規則(GDPR)-データ保護担当者の指名・地位・役割

EUデータ保護規則(GDPR)は、一定の場合に管理者および処理者にデータ保護担当者(DPO:Data Protection Officer)の指名を義務付けました。データ保護担当者は専門知識を持っている者である必要があり、独立して行動し、職務の遂行にあたり管理者および処理者からの指示は受けません。データ保護担当者は、管理者および処理者にデータ保護規則の遵守に関して助言をしたり、遵守の有無を監視する役割を担っています。

データ保護担当者の指名

データ保護担当者の指名

EUデータ保護規則第37条第1項でデータ保護担当者の指名について定めています。

Article 37 Designation of the data protection officer
1. The controller and the processor shall designate a data protection officer in any case where:
(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;
(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or
(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10.

管理者および処理者は、次の3つのいずれかに該当する場合には、データ保護担当者を指名しなければなりません。
(a) 司法上の権限に基づき行動する裁判所を除く公的機関または団体によって処理が行われる場合
(b) 管理者または処理者の中心的な行為が、その性質、範囲、目的に照らし、大規模にデータ主体の定期的および系統的監視を必要とする処理操作である場合
(c) 管理者または処理者の中心的な行為が、第9条による特別な種類のデータ並びに第10条にいう有罪判決及び犯罪に関連する個人データの大規模な処理を構成する場合

上記に該当しない場合は、データ保護担当者の指名は義務ではありません。もっとも、管理者または処理者は、任意にデータ保護担当者を指名することができます(第37条第4項)。なお、EU法または構成国法によって、上記の場合以外に指名が義務付けられる場合もあり得ます(第37条第4項)。

事業グループがデータ保護担当者を指名する場合、各事業所から容易に当該担当者にアクセスできるならば、各事業所ごとにデータ保護担当者を指名するのではなく、グループで1人の保護担当者を指名することができます(第37条第2項)。

データ保護担当者を指名したら、管理者または処理者は、データ保護担当者の連絡先紹介を公表し、監督機関に連絡先詳細を伝えなければなりません(第37条7項)。

*”data protection officer”をここでは「データ保護担当者」と訳していますが、文献によっては、「データ保護オフィサー」と訳すものもあります。

データ保護担当者の資格

どのような人物がデータ保護担当者にふさわしいのでしょうか。第37条第5項では次のように定めています。

5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.

管理者および処理者は、専門的資質特にデータ保護法令と実務に関する専門的知識およびデータ保護担当者の職務を遂行する能力に基づいて、データ保護担当者を指名しなければなりません。
管理者または処理者の従業員から指名してもよく、業務契約を結んで外部者を指定してもかまいません(第37条第6項)。

データ保護担当者の地位

管理者および処理者は、データ保護担当者が適切に適時に個人データ保護に関するすべての問題に関与できるようにしなければなりません(第38条第1項)。指名したはいいものの、他の業務が忙しすぎて個人データ保護に関する問題に携わることができないというのでは、指名した意味がなくなってしまいます。
なお、個人データ保護担当者は、個人データ保護に関する業務以外の業務を行うことができますが、その場合、管理者および処理者はその業務と個人データ保護に関する業務との間で利益相反が生じないようにしなければなりません(第38条第7項)。

また、管理者および処理者は、データ保護担当者に対し、その職務の遂行、個人データおよび処理操作へのアクセス、専門知識を維持するために必要な資源の提供といった支援をする義務を負っています(第38条第2項)。

大切なのは、データ保護担当者の地位に関する次の規定です(第38条第3項)。

3. The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor.

管理者および処理者は、データ保護担当者が、その職務遂行に関し、一切指示を受けないことを保証しなければなりません。
また、データ保護担当者は、その職務遂行に関して、管理者または処理者により、解雇または処分を受けることはありません。
データ保護担当者は、管理者または処理者の最高位の経営レベルの者に直接報告をすることになっています。個人データの保護に関する責任を怖れて報告が途中で握りつぶされるようなことを防いでいるものと思われます。
このように、個人データ保護担当者は職務遂行の独立性と地位が保全されており、個人データの保護に関する職務に邁進することができます。

データ保護担当者の役割

データ保護担当者は、少なくとも次のような役割を担っています。

管理者または処理者およびデータ処理を行う従業員に対し、EUデータ保護規則その他のEUまたは構成国のデータ保護規定を知らせ、助言する。 §39Ⅰ(a)
EUデータ保護規則、その他のEUまたは構成国のデータ保護規定および管理者または処理者のデータ保護方針の遵守を監視する(責任の割り当て、意識の向上、訓練および関連する監査を含みます)。 §39Ⅰ(b)
データ保護影響評価に関し、要請があれば助言を与え、その履行を監視する。 §39Ⅰ(c)
個人データの処理や権利の行為に関するすべての問題について、データ主体の連絡先となる。 §38Ⅳ
監督機関と協力する。 §39Ⅰ(d)
個人データ保護影響評価の事前の諮問を含む、データ処理に関する事項について監督機関の連絡先となり、適切な場合には、その他の事項について協議する。 §39Ⅰ(e)

まとめ

ざっとデータ保護担当者について見てきました。地位の独立性や職務の重要性から、データ保護担当者を置くことは、顧客から見れば個人データの保護に力を入れているという印象を与えるでしょう。指名が義務付けられている企業はもちろんのこと、義務付けられていない企業であっても指名を検討してみてはどうでしょうか。

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。