データ保護責任者の任命
GDPRでは、特定の条件を満たす管理者または処理者において、次の要件や地位、役割を有する「データ保護責任者」を任命することが求められています。
図表3 データ保護責任者(DPO)の概要
| 要件 |
|
| 地位 |
|
| 役割 |
|
また、そもそもこのようなデータ保護責任者を任命しなくてはならない、管理者または処理者の特定の条件として、次の3つが規定されています。
- (i)処理が公的機関または公的団体によって行われる場合
- (ii)管理者または処理者の主な活動が、データ主体の定期的及び体系的監視を大規模に求める処理活動である場合
- (iii)管理者または処理者の主な活動が、特別カテゴリのデータまたは有罪判決および犯罪に関連する個人データの大規模な処理である場合
民間企業の場合は、上記のうち多くのケースで(i)は除外できると想定されますので、特に自身の組織が(ii)または(iii)に該当するかどうかを確認のうえ、該当する場合はデータ保護責任者の任命を行うことになります。
- データ主体が、特定の目的のために自身の個人データが処理されることに同意している
- 個人データの処理が管理者等にとっての正当な利益のために必要である
- データ主体が当事者となる契約を履行する場合またはデータ主体の要請による場合、もしくは管理者が負う法的義務を遵守する
上記の「要件」にあるように、企業グループの場合は、単一のデータ保護責任者を任命する(容易にアクセスできるとき)か、または企業ごとにデータ保護責任者を任命するかのいずれかを選択することが可能です。
ただし、EU加盟国の中には、その国内法によりデータ保護責任者の任命を求めている国がありますので、グループで単一の任命にあたっては、そのような国内法もあわせて遵守されるよう注意が必要になります。
