EUデータ保護規則(GDPR)は、一定の場合に管理者および処理者にデータ保護担当者(DPO:Data Protection Officer)の指名を義務付けました。データ保護担当者は専門知識を持っている者である必要があり、独立して行動し、職務の遂行にあたり管理者および処理者からの指示は受けません。データ保護担当者は、管理者および処理者にデータ保護規則の遵守に関して助言をしたり、遵守の有無を監視する役割を担っています。
データ保護担当者の指名
データ保護担当者の指名
EUデータ保護規則第37条第1項でデータ保護担当者の指名について定めています。
Article 37 Designation of the data protection officer
1. The controller and the processor shall designate a data protection officer in any case where:
(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;
(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or
(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10.
管理者および処理者は、次の3つのいずれかに該当する場合には、データ保護担当者を指名しなければなりません。
(a) 司法上の権限に基づき行動する裁判所を除く公的機関または団体によって処理が行われる場合
(b) 管理者または処理者の中心的な行為が、その性質、範囲、目的に照らし、大規模にデータ主体の定期的および系統的監視を必要とする処理操作である場合
(c) 管理者または処理者の中心的な行為が、第9条による特別な種類のデータ並びに第10条にいう有罪判決及び犯罪に関連する個人データの大規模な処理を構成する場合