Chief Privacy OfficerとDPOは兼任できない!?


総合法律事務所Pinsent Masonsのデータ保護エキスパートMarc Dautlichは、9月7日、企業のChief Privacy Officer(CPO)は、GDPRが規定するData Protection Officer(DPO)と兼任することができない可能性があるとの見解を明らかにした。CPOの業務とDPOの業務とは潜在的に利益相反の可能性があり、業務の独立性を保証できないことが理由だ。

GDPRは、業務上、大規模な個人データ処理を実施したり、常にシステマティックに個人の監視を実施する企業に対してDPO選任を義務づける。DPO選任義務は加盟国法で拡張することができ、ドイツ各州では10人以上の従業員が個人データ処理に従事している場合にDPO選任を義務づけている。DPOの職務は、組織及び従業員に対して個人データ保護全般に関して情報提供すること、データ保護影響調査(Data Protection Impact Assessment)の実施に関して助言を提供すること、監督機関との間の連絡調整に当たることなどである。GDPRは、DPOはデータ保護法制及び実務のエキスパートでなければならず、従業員であっても外部人材であってもよいが、組織の経営層に直接助言できる地位に置かれ、その職務執行は独立性を保証されなければならないと規定し、組織内で他の職務を兼任する場合には、利益相反があってはらならないと規定する。

EU加盟各国データ保護監督機関の代表者で構成する「29条データ保護作業部会」が今春公表したDPOに関するガイドラインによると、DPOは職務遂行の独立性を確保するため、組織において個人データ処理の目的又は手段を決定する地位に就くことはできないとしている。組織によってはCPOはプライバシー保護の観点から組織における個人データ処理の方針を実行する上で重要な役割を担っており、まさにガイドラインが指摘する利益相反の例に当てはまるものだ。

https://www.out-law.com/en/articles/2017/september/chief-privacy-officers-may-not-be-eligible-to-serve-as-data-protection-officers-under-the-gdpr-says-expert/

関連記事