ベルギー当局、内部監査室長はDPOに不適と判断


内部監査室長はDPOとして不適

ベルギーのデータ保護当局、Gegevensbeschermingsautoriteit (以下「GBA」)は、会社の内部監査室長(あるいは、内部監査部門長。オランダ語の原文では、”hoofd van Interne Audit”)、リスク管理部門長、コンプライアンス部門長などのラインの部門長は、その職務において担当部門における個人データ処理の目的及び手段の決定に関与し、したがってDPOとしての業務と利益相反があるので、担当部門との関係においては、DPOとして不適であるとの見解を示した。この見解は、GBAが名称を伏せたある企業(以下「被制裁企業」)のデータ漏洩事故に関して下した制裁決定中で示された。

内部監査室長とDPOとの利益相反

被制裁企業は、内部監査室長の役割はアドバイザリー的な位置づけであり、同企業における個人データ処理の目的および手段を決定しているわけではなく、EDPBの前身であるEU旧29条作業部会(以下「WP29」)がDPOに関するガイドラインで示した利益相反の基準に抵触せず、そもそも監査という職務の性質上、その立場は中立的であると主張した。しかし、GBAは、被制裁企業のDPAは、部門長としての役割を持っているので、担当部門における個人データ処理の目的および手段の決定に関与しなければならず、中立ではあり得ないと判断した。GBAは、さらに一般論として、部門長の地位にあるものは、当該部門との関係においてDPOの地位とは相容れないとの見解を示した。

29条作業部会のガイドラインからさらに踏み込んだ判断

WP29のDPOガイドラインでは、DPOの地位と利益相反する役職として、最高執行役員、最高業務役員、最高財務役員、最高医務役員、マーケティング部門長、人事部門長、IT管理部門長などを例示していた。その上で、WP29は、これらは例示に過ぎず、さらに下位の役職であっても、業務の性質により、DPOの地位と利益相反する役職があることを明らかにしていた。GBAの今回の判断はWP29の立場からさらに踏み込み、およそ「部門長」である者は、自らが統括する部門との関係ではDPOの役割と利益相反があるとしている。

企業はDPOの位置づけをチェックすべき

他のEU加盟国の当局がGBAと同じ判断を示すかどうかは予断を許さないが、企業としては、DPOが社内の他の役職を兼任する場合、利益相反の可能性を指摘されるリスクがないかどうかについてチェックすべきだろう。

 

GBAの制裁決定原文:

(オランダ語)

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_NL_.pdf

(フランス語)

https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_FR_.pdf

関連記事