EU29条作業部会議長、GDPRの制裁措置を語る


EU加盟国のデータ保護監督機関の代表などから構成されるEU29条作業部会の議長に就任したアンドレア・イェリネック氏が、世界的なプライバシープロフェッショナル団体であるIAPPがワシントンで3月27-28日に主催した会議で、GDPRに基づく制裁措置について語った。同作業部会はGDPR施行とともに、GDPRに位置付けられた欧州データ保護委員会(European Data Protection Board)に改組されることになっており、イェリネック議長はその初代議長に選出されることが濃厚と言われている。

イェリネック議長は、繰り返し、企業と監督機関との対話、とくに監督機関と企業のDPOがお互いによく知り合い、対話することが重要だと述べた。イェリネック議長は、もし企業に対して何らかの制裁措置があるとすれば、それは企業のマネジメントの責任であり、制裁はDPOに向けられるものではなく、DPOはあくまで独立の立場でなければならないと強調した。

イェリネック議長は、さらに、すべての加盟国のデータ保護監督機関はGDPRが新設したワン・ストップ・ショップ制度が円滑に機能することを望んでおり、そのためにはデータ保護監督機関どうしの意思疎通と協力関係が重要だと述べた。

GDPR施行直後の一斉取締の可能性について、イェリネック議長は、いくつかのデータ保護監督機関がすでにシミュレーションを行っており、同議長自身が率いるオーストリアのデータ保護監督機関では、ハンガリーとルクセンブルクのデータ保護監督機関を招いて、ワン・ストップ・ショップによる連携が必要となるいくつかのシナリオについてシミュレーションを実施したと述べた。データ侵害事故の72時間以内報告義務は非常にタイトなので、企業側でも、DPOを中心に、データ侵害事故を想定したシミュレーション訓練を実施すべきだとイェリネック議長は述べた。

https://iapp.org/news/a/new-wp29-chair-talks-enforcement-role-of-the-dpo/

関連記事