EUデータ保護規則(GDPR)ー監督機関とデータ保護評議会

EU指令の下では、国内データ保護機関(DPO)が指令の違反について調査し判断する権限がありました。この枠組みが変わるわけではありませんが、EUデータ保護規則(GDPR)の下で4つの大きな変更があります。

①DPO(国内データ保護機関)に代わりSA(監督機関)が設置されます。
②複数の国で事業を行い、国境を越える個人データの処理を行う企業については、主たる事業所がある構成国の監督機関が「主たる監督機関」となり、”One Stop Shop”によって個人データの問題に対応します。
③EU構成国間での規則の適用について相違をなくす工夫として、統一する仕組みconsistency mechanism)が導入されました。
④第29条作業部会がデータ保護評議会(EDPB)に生まれ変わります。

監督機関とデータ保護評議会については、ざっと確認するだけで足りると思います。欧州で事業を展開する日本企業にとって留意しておくべき点は、主たる監督機関がどこになるのか、という点です。

監督機関の役割と権限

監督機関とは

監督機関とは、データ処理に関して自然人の権利および自由を保護し、個人データのEU内の自由な流通を促進するために、EUデータ保護規則の適用を監視する独立した公的機関をいいます。
規則が次のように定めているとおりです。

Article 51 Supervisory authority
1. Each Member State shall provide for one or more independent public authorities to be responsible for monitoring the application of this Regulation, in order to protect the fundamental rights and freedoms of natural persons in relation to processing and to facilitate the free flow of personal data within the Union (‘supervisory authority’).

監督機関の設置・独立性・構成員の選任

監督機関を設置するのは、各構成国です(第51条第1項)。ただし、すでにEU指令の下で、国内データ保護機関(DPO)が存在していますので、全く新しい機関を設置するのではなく、DPOをEUデータ保護規則に即して監督機関に変える方向で進められているようです。
監督機関は、EU内の本規則の統一的な適用に寄与しなければならず、監督機関相互でまた欧州委員会と協力しなければなりません(第51条第1項)。
1つの構成国で監督機関を2つ以上設置することができますが、2つ以上設置する場合は、個人データ保護理事会において代表する監督機関を指定し、第63条にいう統一する仕組みに関するルールを他の機関が遵守するような仕組みを作っておく必要があります(第51条第1項・第3項)。

監督機関は、職務を遂行し権限を行使するにあたり完全に独立して行動します(第52条第1項)。
監督機関の構成員は、外部の影響から自由でなければならず、誰かの指示を求めたり指示を受けたりしません(第52条第2項)。この「外部」には、構成国政府も当然含まれます。

監督機関の構成員は、義務と矛盾する行為をしてはならず、有償であるか否かを問わず、任期中は義務と矛盾する職業に従事することが禁じられています(第52条第3項)。

こうした独立性を担保するために、EUデータ保護規則は、構成国に次の義務を課しています(第52条第4項・第5項・第6項)。
・必要な人的・技術的・財政的資源、施設およびインフラの提供
・監督機関によるスタッフの選任の確保
・独立性に影響を及ぼさない財政管理の下、監督機関が別個の公的年度予算を持つことの保証

規則は、構成員の選任、資格、身分保障などの一般的な条件も定めています。
監督機関の構成員は、透明性ある手続により、議会、政府、元首または構成国法に基づき任命権限を持つ独立団体により、任命されます(第53項第1項)。任命手続の詳細は、構成国法に委ねられています(第54条第1項(c))。

構成員は、個人データ保護の分野で、その義務を遂行し権限を行使するために求められる資質、経験および技術を備えている人物が選ばれます(第53項第2項)。その詳細は、構成国法によって定められます(第54条第1項(b))。

構成員の義務は、構成国法に従って任期満了、辞任または強制退職により終了します(第53条第3項)。任期は構成国法によって定められますが、4年以下の任期は最初の任期を除き設定できません(第54条第1項(d))。再任を認めるかどうかは構成国法によって定められます(第54条第1項(e))。

構成員は、重大な不法行為があった場合、または義務の遂行に求められる条件を満たさなくなった場合に限り解任されます(第53条第4項)。
構成員やスタッフの義務、禁止行為、解職等は、構成国法で詳細が定められることになっています(第54条第1項(e))。

構成員やスタッフは守秘義務を負っています(第54条第2項)。

監督機関の職務

各監督機関の職務には次のようなものがあります(第57条第1項)。

a 規則の適用の監視と執行
b 処理に関する危険、準則、保護措置、権利の一般人の啓発と理解の促進(特に子供に向けられた活動には特別な注意を払うこと)
c 処理に係る自然人の権利と自由の保護に関する法制上、行政上の措置に関し、議会、政府、その他の機関、団体に対する助言
d 規則に基づく義務について管理者と処理者の意識の促進
e 要請に応じてデータ主体の権利の行使に関する情報のデータ主体への提供
f データ主体、データ主体を代理する団体による不服申立ての処理と調査
g 規則の適用と執行の統一を確保するため他の監督機関との協力(情報共有と相互援助の提供を含む)
h 規則の適用の調査
i 個人データの保護に影響を及ぼす限りで、情報通信技術と商業上の慣行の進展の監視
j 標準契約条項の採択
k データ保護影響評価の要件に関するリストの策定・維持
l データ保護影響評価に係る処理操作に関する助言
m 行動規範の策定の奨励、意見の提示、十分な保護措置を提供する行動規範の採択
n データ保護認証機関の設置、データ保護シール・マークの設定の奨励、認証基準の採択
o 該当する場合、認証の定期的審査
p 行動規範を監視する団体と認証団体の認定基準の策定・公表
q 行動規範を監視する団体と認証団体の認定
r 契約条項の承認
s 拘束的企業準則の承認
t データ保護評議会の行動への寄与
u 規則の違反と取られた措置の記録の維持
v 個人データの保護に関するその他の職務の実行

監督機関の権限

監督機関の権限は、調査権限、是正権限、認可・承認・助言権限に分かれており、規則第58条に詳細に定められています。

【調査権限】

a 管理者および処理者ならびに該当する場合にはその代表者に対し、職務の遂行に必要とする一切の情報を提供するよう命じること
b データ保護監査の形式で調査を行うこと
c 認証の審査
d 管理者および処理者に対し、申し立てられた規則の違反行為を通知すること
e 管理者および処理者から、職務の遂行に必要なすべての個人データおよび情報へのアクセスを得ること
f EUおよび構成国の訴訟法に従って、データ処理設備および手段を含む管理者および処理者の施設へのアクセスを得ること

【是正権限】

a 管理者または処理者に対し、予定する処理操作が規則の条項に違反するおそれがあることを警告すること
b 処理操作が規則の条項に違反している場合に、管理者または処理者にけん責を発すること
c 規則に基づくデータ主体による権利行使の請求に応じるよう管理者又は処理者に命じること
d 適当な場合に、一定の方法で一定の期間内に処理操作について本規則の条項を遵守するよう管理者または処理者に命じること
e データ主体に対し個人データの侵害を連絡するよう管理者に命じること
f 処理の禁止を含む暫定的または最終的な制限を課すこと
g 個人データの訂正、削除、処理の制限、ならびに開示された個人データの受領者に対する当該行為の通知を命じること
h 認証を撤回すること、発行された認証を認証機関に撤回するよう命じること、または認証の要件を満たしていないもしくはもはや満たしていない場合には、認証を発行しないよう認証機関に命じること
i 個別事案の状況に応じて、本項にいう措置に加えまたはその措置に代えて、過料を課すこと
j 第三国の受領者又は国際機関へのデータ流通の停止を命じること

【認可・承認・助言権限】

a 事前諮問手続に従い管理者に助言すること
b 個人データの保護に関連する事項について公衆のみならず議会、構成国政府または構成国法に従いその他の機関および団体に対し、みずから進んで、または要請により意見を述べること
c 構成国法が事前の認可を要求している場合には、個人データ保護影響評価に係る処理を認可すること
d 意見を述べ、行動規範案を承認すること
e 認証機関を認定すること
f 認証を発行し、認証の基準を承認すること
g 標準データ保護条項を採択すること
h 契約条項を認可すること
i 行政協定を認可すること
j 拘束的企業準則を採択すること

監督機関の活動の公開

以上のように、監督機関には広範な権限があり、個人のデータ保護に関する権利と自由の保障に大きな役割を果たすことが期待されています。同時に、その活動は透明性あるものでなければならず、活動に関する年次報告を通して一般に公開されることが予定されています(第59条)。

 

複数の国にまたがる個人データ処理についての対応ー主たる監督機関の役割、他の監督機関との協力、監督機関間の相互支援・共同業務

複数の国で事業を行う企業はいきおい複数の国で個人データの処理を行い、そのデータ処理が国境を越えて複数の国にまたがることがあります。EU指令の下では、こうした企業は各構成国の監督機関の監督をそれぞれ受けていました。このため構成国法の相違も手伝って、監督機関のEU指令の解釈が異なる可能性があり、ビジネスにとっては大きな負担となっていました。

主たる監督機関とは

EUデータ保護規則はこの問題を解消しています。「主たる監督機関」(lead supervisory authority)を定めて、”One Stop Shop”とし、越境する個人データの処理の問題を原則として1つの監督機関が監督することにしたのです。
すなわち、企業が複数の事業所をEU域内に持つ場合には、「主要な事業所」(main establishment)のある構成国の監督機関が「主たる監督機関」になります。
なお、単一の事業所しか持たないものの、個人データの処理が越境する事業を行っている企業については、その単一の事業所のある構成国の監督機関が「主要な監督機関」となります。
これらは規則第56条第1項に定められています。

Article 56 Competence of the lead supervisory authority
1. Without prejudice to Article 55, the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the cross-border processing carried out by that controller or processor in accordance with the procedure provided in Article 60.

6. The lead supervisory authority shall be the sole interlocutor of the controller or processor for the cross-border processing carried out by that controller or processor.

*本サイトでは、”establishment”を「事業所」と訳していますが、「拠点」と訳す例もあるようです。

主たる事業所とは

主たる監督機関がどこになるかは、「主たる事業所」(main establishment)がどこかという問題とリンクしています。「主たる事業所」は、規則第4条第16項に次のように定義が定められています。

(16) ‘main establishment’ means:
(a) as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;
(b) as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;

すなわち、複数の構成国内に事業所を有する管理者については、「主要な事業所」は、EU域内で中心的な経営がなされている場所になります。日本語でいえば、本部ということになるでしょうか。たとえば、日本のある企業が、オランダに欧州の本部を置いていたと仮定します。この企業が、フランス、ドイツ、イタリア、スウェーデンなどに複数の事業所を持っている場合、オランダの本部が主たる事業所となり、同時にオランダの監督機関が、この日本企業の個人データの処理に関する問題を監督する「主たる監督機関」となります。

ただし、EUデータ保護規則は、あくまで個人データの処理に関わる法令ですので、主要な事業所であるか否かの判断も個人データの処理を中心になされることになっています。個人データの処理の目的および手段に関する決定が中央本部ではない別の事業所でなされ、その事業所が決定を実施する権限を持っている場合には、この決定を行う事業所が主要な事業所とみなされます。たとえば、上記の事例で、オランダに本部はあるものの、個人データの処理についてはドイツの事業所が目的・手段を決定し、その決定を実施する権限を持っていた場合、オランダの本部ではなく、ドイツの事業所が「主たる事業所」となり、ドイツの監督機関が「主たる監督機関」となります。

一方、複数の構成国内で事業所を有する処理者についてはどうでしょうか。これも、管理者と同様に、処理者がEU域内で中心的に経営をしている場所が「主要な事業所」となります。
処理者がそうした場所をEU域内に持っていない場合には、主な処理行為を行っているEU域内の処理者の事業所が「主要な事業所」となります。

主たる監督機関が事案を処理しない場合

以上が原則ですが、例外があります。
複数の事業所を有する企業について、その個人データ処理が、ある構成国内の事業所にのみ関係するかまたはその構成国内のデータ主体にのみ著しく影響を及ぼす場合には、当該構成国の監督機関が、申し立てられた不服申立てまたは発生の可能性のある本規則の違反を処理することがあります(第56条第2項)。
この監督機関は、主たる監督機関に通知をし、通知後3週間以内に主たる監督機関は事案を処理するか否かを決定します(第56条第3項)。主たる監督機関が事案を処理しないことを決定した場合、通知をした監督機関が所定の手続(第61条、第62条)に従って事案を処理することになります(第56条第5項)。
なお、主たる監督機関が事案を処理することを決定した場合、通知をした監督機関は事案を処理しませんが、主たる監督機関に対し決定に関する草案を送付することができ、主たる監督機関はその草案を最大限考慮することになっています(第56条第4項)。

主たる監督機関と関係監督機関との協力

複数の国に関わる個人データの処理について、1つの監督機関だけが監督をし、不服申立てについて判断すると、他の国の監督機関とは意見を異にする判断がなされる可能性も皆無とはいえません。これを極力避けるためには、監督機関間の協力が必要になります。EUデータ保護規則は、第60条で詳しくこの協力について定めています。
すなわち、主たる監督機関と関係監督機関は、意見を一致させるために協力し、関連する情報を相互に交換します(第60条第1項)。必要ならば、主たる監督機関は、関係監督機関に対し相互支援を求め、共同作業を行うこともあります(第60条第2項)。

また、主たる監督機関は決定案を関係監督機関に送付し、送付を受けた関係監督機関はこれについて意見を述べます(第60条第3項)。そこで、関係監督機関が、主たる監督機関の決定案について適切で理由を付した異議を述べた場合、主たる監督機関がその異議に従わない場合、または主たる機関がその異議が適切でなく理由がないと考えた場合には、あとで述べる統一する仕組みに事案が付託されます(第60条第4項)。主たる機関が異議に従うときには、決定案を改訂し、関連監督機関に送付します(第60条第5項)。この改訂案に対しては4週間以内にさらなる異議を述べない限り、改訂案に同意したものとみなされ、その決定に拘束されることになります(第60条第6項)。

こうして主たる監督機関と関連監督機関との間の協力により出来上がった決定を、主たる監督機関が採択し、管理者または処理者の主たる事業所または単一の事業所に通知します(第60条第7項)。決定は不服申立てを受けた監督機関を通じて、申立人にも通知されます(第60条第7項)。場合によっては、関係監督機関と欧州データ保護評議会に通知されます(第60条第7項)。
不服申立てが棄却または却下される場合、例外的に不服申立てを受けた監督機関が決定を採択し、申立人に通知をします(第60条第8項)。
一部が認容され、一部が棄却または却下される場合、認容された部分の決定を主たる監督機関が採択し、棄却または却下された部分の決定を不服申立てを受けた監督機関が採択し、それぞれ管理者または処理者および申立人に通知をします(第60条第9項)。

主たる監督機関の決定が通知された後、管理者または処理者は、すべての事業所で決定を遵守するための措置を講じなければならず、その措置について主たる監督機関に通知しなければなりません(第60条第10条)。主たる監督機関は、それを関係監督機関に通知します(第60条第10条)。

監督機関間の相互支援・共同業務

監督機関は、本規則を統一した方法で実施し適用するために、相互に関連情報を提供し、相互に支援しなければならず、効果的な協力をするための措置を相互に整備しなければならないとされています(第61条第1項)。支援の要請をする場合、目的と理由を含む全情報を要請を求める監督機関に伝えます(第61条第3項)。要請された場合、監督機関は、管轄権がないか規則、EU法または構成国法に違反する場合でなければ、要請を拒絶することはできず、1か月以内にそれに応じた措置を講じる必要があります(第61条第4項、第2項)。

管理者または処理者が、複数の構成国に事業所を有する場合、または複数の構成国で相当の数のデータ主体が処理操作によって著しく影響を受けるおそれがある場合、各構成国の監督機関は、共同で調査や執行措置を行う共同業務に参加する権利があります(第62条第1項、第2項)。

統一する仕組み

以上のとおり、主たる監督機関、監督機関間の協力、相互支援、共同業務といった制度によって、EUデータ保護規則の適用が統一されるような工夫がなされています。
さらに、規則は欧州データ保護評議会を通じて、規則の適用を統一する仕組み(consistency mechanism)を設けました(第63条以下)。

*本サイトでは、”consistency mechanism”を統一する仕組みと訳していますが、文献によっては「一貫性メカニズム」と訳しているものもあります。

欧州データ保護評議会の意見

欧州データ保護評議会についてはあとで説明しますが、EUデータ保護規則の統一的な適用のために、欧州データ保護評議会が果たす役割は大きなものがあります。
その一つが、以下の事項について、監督機関から送付を受けた決定案について意見を述べる役割です(第64条第1項)。

  • 監督機関が、データ保護影響評価の要件を満たす必要のある処理操作の一覧を採択する場合
  • 監督機関が、行動規範案、行動規範案の修正・拡張を行う場合
  • 監督機関が、認証機関の認定基準を承認する場合または認証機関の承認をする場合
  • 監督機関が標準データ保護条項を決定する場合
  • 監督機関がEU域外の第三国に個人データを移転する場合の契約条項を承認する場合
  • 監督機関が拘束的企業準則を承認する場合

監督機関は、欧州データ保護評議会の意見を受領するまでは、決定を採択してはなりません(第64条第6項)。
欧州データ保護評議会は、監督機関から通知を受けてから8週間以内に意見を採択する必要があります(事案によってはさらに6週間まで延長可能、第64条第3項)。
意見は監督機関に通知され、公表されます(第64条第5項)。
監督機関は、欧州データ保護評議会の意見を最大限考慮する義務があり、意見を受領してから2週間以内に、決定案を維持するか、それとも修正するかを欧州データ保護評議会の議長に通知します(第64条第7項)。監督機関が、欧州データ保護評議会の意見の全部または一部に従うつもりがないことを、関連する理由を示して欧州データ保護評議会の議長に通知した場合には、拘束的決定の採択の対象となります(第64条第8項。後述します)。

上記の事項に限らず、監督機関、欧州データ保護評議会の議長、欧州委員会は、規則の一般的な適用に関する問題や複数の構成国に影響を及ぼす問題について、欧州データ保護評議会が審査することを要請することができます(第64条第2項)。管轄を有する監督機関が第61条に基づく相互支援または第62条に基づく共同業務の義務を遵守していない場合もこれに含まれます。
欧州データ保護評議会は、8週間以内(事案によっては6週間まで延長可)に意見を採択する必要があります(第64条第3項)。意見は、監督機関または欧州委員会に通知され、公表されます(第64条第5項)。

欧州データ保護評議会による紛争解決

これまで見てきたとおり、監督機関間、欧州データ保護評議会と監督機関間で意見の一致をみるように、綿密な手続規定が設けられています。しかし、監督機関がそもそも意見を聞かなかったり、意見を受け取っても意見を一致させられない場合には、誰かが最終的な判断をせざるを得ません。また、監督機関の管轄自体に争いがあるなど一定の場合にも判断者が必要です。こうした場合に、欧州データ保護評議会が判断をします。

具体的には、欧州データ評議会は、以下の場合に、規則の正確かつ統一的な適用を確保するために、拘束力のある決定を下します(第65条第1項)。

  • 関係監督機関が主たる監督機関の決定案に対し適切で理由を付した異議を申し立てた場合
  • 関係監督機関の上記の異議を、主たる監督機関が適切でなく理由が付されていないと拒絶した場合
  • いずれの関係監督機関が主たる事業所に対する管轄権を有するかについて見解が対立している場合
  • 監督機関が欧州データ保護評議会の意見を求める義務があるにもかかわらず、意見の要請をしなかった場合
  • 監督機関が欧州データ保護評議会の意見に従わない場合

欧州データ保護評議会は、これらの事項を付託された後1か月以内(事案によってはさらに1か月まで延長可)に、拘束力ある決定を採択し、関係監督機関に通知しなければなりません(第65条第2項、第5項)。監督機関は、これを受けて1か月以内に、最終決定を採択します(第65条第6項)。

緊急手続

特別な場合に、データ主体の権利および自由を保護するために、監督機関が緊急に行動する必要がある場合、監督機関が暫定的な措置を講じることがあります(第66条第1項)。その際、監督機関は、最終的な措置が緊急に必要であると考えた場合、欧州データ保護評議会に、緊急時の意見または緊急時の拘束力ある決定を要請することができます(第66条第2項)。
また、管轄のある監督機関が適切な措置を講じていない場合に、他の監督機関が、データ主体の権利および自由を保護する目的で、欧州データ保護評議会に、緊急時の意見または緊急時の拘束力ある決定を要請することもできます(第66条第3項)。
こうした緊急時には、欧州データ保護評議会は、2週間以内に緊急時の意見または緊急時の拘束力ある決定を採択しなければなりません(第66条第4項)。

 欧州データ保護評議会の役割と権限

欧州データ保護評議会とは

欧州データ保護評議会の役割の一部を紹介しました。さて、そもそも欧州データ保護評議会とは何でしょうか。
The European Data Protection Board(欧州データ保護評議会)は、EUデータ保護規則によって設置された機関で、法人格を有しています(第68条第1項)。
その構成員は、構成国の監督機関の長、欧州データ保護監督官またはその代理人です(第68条第3項)。1つの構成国の中で複数の監督機関が存在する場合には、当該構成国法によって共同代表者が任命されます(第68条第4項)。
欧州委員会は、欧州データ保護評議会の活動や会議に参加する権利がありますが、投票権はありません(第68条第5項)。
データ保護会議は、議長が代表します(第68条第2項)。

EU指令の下で法人格はありませんが、第29条作業部会(The Article 29 Working Party)が、諮問機関としてEUの個人データ保護に関する問題を取り扱っています。
一方、欧州データ保護評議会は、法人格があり、下記にみるとおり、権限も強化されています。もっともゼロから組織を作るわけではありません。現在、第29条作業部会が欧州データ保護評議会に衣替えをするための準備がなされています。

*本サイトでは、”The European Data Protection Board”を、「欧州データ保護評議会」と訳しています。当初、欧州データ保護理事会と訳したのですが、EUの理事会と混同しかねないので修正しました。併せて他のページの記載も修正しています。
文献によって、「欧州データ保護会議」、「欧州データ保護局」、「欧州データ保護役員会」など訳し方は様々なようです。

欧州データ保護評議会の独立性

欧州データ保護評議会は、職務の遂行および権限の行使について独立して行動しなければならず、誰かに指示をあおいだり、指示を受けたりしてはならないと定められています(第69条)。

欧州データ保護評議会の職務

おおざっぱに言ってしまえば、EUのデータ保護の司令塔といったところでしょうか。欧州委員会に立法を含め個人データ保護の問題を助言をしたり、規則の適用に資するために、ガイドライン、提言、事例などの公表をしたり、行動規範の策定やプライバシー・シール・マークの確立を奨励したり、認証の仕組みを具体化したり、EU内で監督機関の判断に齟齬が出ないようにするなどです。

a 規則の正しい適用を監視し確保する §64,§65
b 規則の修正の提案を含め、EUにおける個人データ保護の問題について欧州委員会に助言する
c 拘束的企業準則に関する管理者、取扱者および監督機関の間の情報公開のための形式および手続について欧州委員会に助言する
d 公に利用可能な通信サービスから個人データのリンク、コピーまたは複製を消去する手続に関し、ガイドライン、提言および最良の事例を公表する §17Ⅱ
e 自ら進んで、または構成員の要請、欧州委員会の要請により、規則の適用に関する問題を調査し、規則の統一的な適用を推奨するために、ガイドライン、提言および最良の事例を公表する
f プロファイリングに基づく決定に対して基準および条件をより明確にするために、(e)号に従って、ガイドライン、提言および最良の事例を公表すること §22Ⅱ
g 個人データ侵害の確定、不当な遅滞の判断、管理者または処理者が個人データ侵害の通知を要求される特定の状況について、(e)号に従って、ガイドライン、提言および最良の事例を公表する §33ⅠⅡ
h 個人データ侵害が自然人の権利および自由に対し高い危険を生じさせるおそれのある状況に関して、(e)号に従って、ガイドライン、提言および最良の事例を公表すること §34Ⅰ
i 管理者および処理者の厳守する拘束的企業準則に基づく個人データ移転についての基準および要件をさらに明確化する目的で、ならびにデータ主体の個人データの保護を確保するためにさらに必要な要件に関し、(e)号に従って、ガイドライン、提言および最良の事例を公表すること §47
j 個人データの移転に関する基準および要件をさらに明確にする目的で、(e)号に従って、ガイドライン、提言および最良の事例を公表すること §49Ⅰ
k 監督機関の権限にいう措置の適用および過料の決定に関し、監督機関のためのガイドラインを作成する §58ⅠⅡⅢ
§83
l (e)および(f)号にいうガイドライン、提言および最良の事例の実用的な適用を見直す
m 規則違反に関する自然人による報告に関する一般的な手続を確立するため、(e)号に従って、ガイドライン、提言および最良の事例を公表する §54Ⅱ
n 行動規範の策定、データ保護認証の仕組みおよびデータ保護シール・マークの確立を奨励する §40,§42
o 認証機関の認定および定期的審査、認定された団体および第三国に設置された認定された管理者または処理者の公的記録を維持する §43§,43Ⅵ
§42Ⅶ
p 認証機関の認定について要件を具体化する §42,§43Ⅲ
q 認証の要件に関する意見を欧州委員会に提出する §43Ⅷ
r 図形に関する意見を欧州委員会に提出する §12Ⅶ
s 第三国または国際機関における保護レベルの十分性の評価に関する意見を欧州委員会に提出する
t 統一する仕組みによる監督機関の決定案等について意見を述べる §64Ⅰ,§64Ⅱ
§65,§66
u 監督機関の間の協力および情報・実務の交換を促進する
v 共通の訓練プログラムを促進し、監督機関の間の人材交流、適切な場合には第三国の監督機関または国際機関との人材交流を進める。
w 世界中のデータ保護監督機関と、データ保護法制および事例に関する知識および文書の交換を促進する
x EUレベルで策定される行動規範について意見を述べる §40Ⅸ
y 統一する仕組みで処理された問題に関する監督機関および裁判所の下した決定の電子的記録を公に入手可能にする

 

まとめ

長々書いてしまいましたが、要するに、EU指令では構成国によって異なる解釈や執行がなされる可能性がありましたが、EUデータ保護規則では、そうした齟齬を極力なくす工夫が随所に表れているということです。

その一つが「主たる監督機関」です。EU内で事業を行う日本企業にとっては、これに関する知識を押えておけば十分と思われます。

2016年11月9日更新:欧州データ保護評議会の説明部分に、第29条作業部会の記載を追加しました。

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。