GDPR 規則 (EU) 2016/679

第37条

データ保護オフィサーの指名

  1. (1) 管理者及び処理者は、以下の場合において、データ保護オフィサーを指名しなければならない:
    1. 公的機関又は公的組織によって行われる場合。ただし、裁判所がその司法上の権限を行使する(actingin their judicial capacity)場合を除く取扱い
    2. 管理者又は処理者の中心的業務が、その取扱いの性質、範囲及び又は目的のゆえに、データ主体の定期的かつ系統的な監視を大規模に要する取扱業務によって構成される場合;又は、
    3. 管理者又は処理者の中心的業務が、第9 条による特別な種類のデータ及び第10 条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合。
  2. (2) 企業グループは、データ保護オフィサーが各拠点から容易にアクセス可能な場合に限り、1 名のデータ保護オフィサーを指名できる。
  3. (3) 管理者又は処理者が公的機関又は公的組織である場合、その組織上の構造及び規模を考慮に入れた上で、複数の公的機関又は公的組織に対して単一のデータ保護オフィサーを指名できる。
  4. (4) 第 1 項で定める場合以外においては、管理者若しくは処理者、又は、様々な種類の管理者若しくは処理者を代表する団体その他の組織は、データ保護オフィサーを指名することができ、又は、EU 法又は加盟国の国内法によって要求される場合、データ保護オフィサーを指名しなければならない。そのデータ保護オフィサーは、そのような団体その他の組織を代表する管理者又は処理者のために行動できる。
  5. (5) データ保護オフィサーは、専門家としての資質、及び、特に、データ保護の法令及び実務に関する専門知識並びに第39 条で定める職務を充足するための能力に基づいて指定される。
  6. (6) データ保護オフィサーは、管理者又は処理者の職員とすることができ、又は、業務契約に基づいてその職務を果たすことができる。
  7. (7) 管理者又は処理者は、データ保護オフィサーの連絡先の詳細を公表し、かつ、監督機関に対し、それを連絡しなければならない。