ベルギー GDPR38条1項及び6項違反を理由に5万ユーロの制裁金


制裁金5万ユーロ

ベルギーのデータ保護監督機関(以下「APD」という)は、GDPR第38条第1項及び第6項に違反するとして、制裁金5万ユーロを課す決定を行った。当該企業が、請求書の発行を紙から電子へ変更する際、誤送付という個人データの不正開示事案(本件事案)が発生し、APDが本件事案を調査した際、以下の事実が判明したためである。

DPOの関与が不十分

the data protection officer(データ保護責任者)(以下「DPO」という)は、GDPR第38条第1項により、個人データの保護に関連するすべての問題にDPOが適切かつタイムリーに関与する必要がある。しかし、当該企業のDPOは本件事案の調査報告について結果の報告を受けるのみであった。「相談」されていなかったのである。また、APDへ提出された本件事案に関する報告書にも、「DPOからの助言」が体系的に記載されていなかった。

DPOの独立性がない

当該企業のDPOは、監査、リスク、コンプライアンス部門の役員の地位も有していた。GDPR第38条第6項では、DPOは他の職務を遂行することが出来るとするが、管理者はDPOの職務とDPO以外の職務の利益相反を防止するよう確保する必要がある。APDは、利益相反は常にケースバイケースで評価されるが、ドイツにおける実践的アプローチ(1)社内の主要な機能保有者による自己統制が存在するかどうか、(2)利益相反に関する内部ルールが存在するかどうか、および(3)個人データに影響を与える重要な運用責任を負うこと、が参考になるとしている。しかし、当該企業では、最近になってようやく利益相反を防止する方針を定めただけで、他の利益相反を防止する策はなく、利益相反を防止するためのシステムとしては不十分であると判断された。

他の問題点

本件では、その他にもGDPR第31条(監督機関との協力義務)、同第32条(セキュリティ義務)、同第33条(個人データ侵害時の監督機関への報告義務)、同第34条(個人データ侵害時のデータ主体への報告義務)も問題とされたが、いずれも違反していないと判断された。


処分決定書のリンク(オランダ語)
https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_NL_.pdf

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト