スペイン DPOの指名なく制裁金2万5千ユーロ


制裁金2万5千ユーロの決定

スペインのデータ保護監督機関(AEPD)は、GLOVOAPP23, S.L.(以下「当該企業」という)に対して、データ保護オフィサー(DPO)を指名していないことを理由に制裁金2万5千ユーロ(約300万円)を課すことを決定した。

決定理由

当該企業は、2015年にバルセロナで設立され、モバイルアプリを通じて注文された製品を購入、受け取り、配送するオンデマンドの宅配サービスを行っている。特に、食品配達が最も人気のサービスである。当該企業は、GDPR第37条及び国内法(Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.)(以下「LOPDGDD」という)第34条により、DPOを指名しなければならない場合に該当しないと主張していた。また、GDPR第39条が定めるDPOの業務を遂行するデータ保護委員会が存在しているので、実質的にもGDPRには違反していない、とも主張していた。

GDPR第37条第1項(b)では、「管理者又は処理者の中心的業務が、その取扱いの性質、範囲及び又は目的のゆえに、データ主体の定期的かつ系統的な監視を大規模に要する取扱業務によって構成される場合」にDPOを指名しなければならないとしている。

さらに、LOPDGDD第34条では、第1項でGDPR第37条第1項に該当する場合にはDPOを指名しなければならないとした上で、第3項で「DPOの指名と解任を、その10日以内にAEPDに通知する」としている。

AEPDは、DPOを欠いたまま問題となっている個人データ処理を大規模に実行することはGDPR第37条第1項(b)に違反し、LOPDGDD第34条に反する。そして、当該企業にはデータ保護委員会が存在するが、制裁時点で当該会社のWebページのプライバシーポリシーにDPOがデータ保護委員会であるとの記載はない、として当該企業のGDPR第37条第1項(b)違反を認定し、制裁金を課した。

DPO指名の重要性

本件では、実質的にDPOの業務を行う組織があったにもかかわらず、プライバシーポリシーへの記載がなく、DPOの指名がないとされ、制裁金が課された。当局がDPOの業務だけではなく、形式的にもプライバシーポリシー上でDPOを明らかにすることを重視していることが伺える事案である。

【AEPDの決定文】
https://www.dataguidance.com/sites/default/files/ps-00417-2019.pdf

関連情報

IIJ ビジネスリスクマネジメントポータル(BizRis)

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

オンラインセミナー

第3回オンラインセミナー「EU代理人及びDPOに関する最新動向・執行事例と日本企業に求められる対応」

お申込みはこちら

IIJ DPOアウトソーシングサービス

    • 高度な専門性、言語能力、経験豊富なDPOを業務委託により提供
    • 監督機関との連絡窓口として開示可能
    • 24時間365日データ主体からの問い合わせ対応を受付し、お客様と連携

 世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト