EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済

今回は、EUデータ保護規則の執行と罰則の強化について考えてみます。

EUデータ保護規則の動向が日本で注目された理由の一つに、巨額の過料があります。「罰金」という用語を使用している文献もありますが、「罰金」は刑事罰で使用される用語であり、EUデータ保護規則で課せられのは行政罰であるため、「過料」という用語の方が日本法の用語の使用に合致していると思われます。 また、日本法の英語訳では、過料は”administrative fine”または”administrative fines”と訳されています。そこで、このサイトでは「過料」という用語を用いることにします。なお、文献によっては、課徴金、制裁金という用語を使用しているものもあります。

さて、2012年に欧州委員会によって規則案が提案された段階では、違反の内容によって、250,000ユーロまたは企業の場合は全世界の売上高の0.5%(いずれか高い方)を上限とする過料、500,000ユーロまたは全世界の売上高の1%(いずれか高い方)を上限とする過料が課される内容となっていました。指令と異なり、きわめて大きな制裁が提案され、データ保護の遵守が以前にもまして企業の経営に大きく影響を及ぼすこととなりました。日本でも数多くの報道がなされたとことです。
それでは、発効したEUデータ保護規則の最終的な内容はどうなっているでしょうか。結論を先取りすると、過料の金額の上限が、1000万ユーロ(企業の場合は全世界の前年の総売上高の2%)または2000万ユーロ(企業の場合は全世界の前年の総売上高の4%)まで引き上げられています。

過料を課す権限は、監督機関の権限の一つです。
EUデータ保護指令では、指令の執行を監督する機関(監督機関といいます。SA:Supervisory Authority)の権限として、調査権限、処理に介入する権限、違反について法的手続を開始する権限などを定めていました(第28条3項)。もっとも、その詳細は構成国の法律にゆだねられていました。その結果、監督機関である国内データ保護機関(DPA:Data Protection Authority)の権限や執行能力は、構成国によってまちまちになっていたのです。
EUデータ保護規則では、監督機関の権限を強化し執行能力を増強するなど、大きな変更がありました。これに伴い課すことのできる過料も巨額なものとなったのです。このことは、規則の前文149項に明示されています。
指令と異なり、規則は国内法の制定を必要としません。また、統一的な執行を目指して統一的な仕組みを講じているため、各構成国の監督機関の権限はこれまでと異なり均一化されることになりました。

続きを読む →

EUデータ保護規則(GDPR)―用語の定義:本人の同意がより厳しくなっています!

EUデータ保護規則は、第4条で用語の定義をしています。指定では8項目について定義がありましたが、規則では26項目に増えて精緻になっています。指令と規則で共通する8項目については、そのほとんどが実質的に変わりはありません。注意しなければならないのは、データ主体の「同意」がより厳しくなっている点です。

個人データ(Personal data)

第4条(1)は次のように定義しています。

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

「個人データ」とは、特定されたまたは特定可能な自然人(データ主体)に関するすべての情報をいう。特定可能な自然人とは、特に名前、認識番号、位置情報、オンラインIDまたは当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的特定に固有な1つ以上の要素を参照することにより、直接的または間接的に特定できる者をいう。

指令の定義(第2条(a))と大きく変わりはありませんが、細かな違いがあります。位置情報とオンラインIDが例示として加えられている点です。指令でも、これらは個人データとして捉えられるのが一般でしたが、規則によって明確化されました。

「データ主体」とは、「特定されたまたは特定可能な自然人」をいいますが、これは日本の個人情報保護法の「本人」に該当する概念と捉えておけばよいでしょう。

続きを読む →

EUデータ保護規則(GDPR)―どのような場合に日本企業に適用されるのか

EUデータ保護規則は、EUデータ保護指令と比べて適用される企業の範囲が広がっています。
日本企業の備えとしては、まず自社がEUデータ保護規則が適用される企業であるかどうかをチェックする必要があります。3つの項目でチェックしてみましょう。

3つの適用範囲に関するチェック項目

(1)EUの1つ以上の構成国に管理者または処理者となる拠点を設置しているか。
(2)国際公法によって、構成国の国内法が拠点に適用されるか。
(3)EU内のデータ主体に対し商品やサービスを提供しているか、またはEU内のデータ主体の行動を監視しているか。

(1)と(2)は、EUデータ保護指令と変わりません。つまりEU内かまたは国際公法によって構成国の国内法が適用される地域内のいずれかに、日本企業が管理者または処理者としての拠点を有している場合には、EUデータ保護規則が適用され、規則を遵守する義務が生じます。
拠点とはestablishmentを和訳したものですが、安定した設備を通じた効果的かつ現実の活動の実施を意味し、安定した設備が支店か法人格を有する子会社かという法的な形式は問われていません(前文22)。
また、実際のデータ処理がEU内で行われているかどうかは関係がありません。
続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利④:削除権(忘れられる権利)

EU個人データ保護規則が正式決定

2016年4月27日に、EUの欧州議会と理事会が共同で、EU個人データ保護規則を決定しました。理事会が同規則の提案をしたのが、2012年1月25日でしたから、正式決定するまで約4年強かかったことになります。

英語の正式名称は、”REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)”という長い名称です。和訳するならば、「個人データの処理に係る自然人の保護及び当該データの自由な移動並びにEC指令の廃止に関する2016年4月27日付け欧州議会と理事会の2016年679号EU規則」とでもいうのでしょうか。長い名称なので、ここではEUデータ保護規則と呼ぶことにします。施行は2018年5月25日です。

EUでは、欧州議会と理事会が立法機関ですが、立法行為には、欧州議会と理事会が共同で決定する通常立法行為と、欧州議会または理事会が単独で決定する特別立法手続があります。個人データ保護規則は、通常立法行為によって決定されました。

これまでEUの個人データ保護は、個人データ保護指令(”DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data”)で規律されていましたが、2018年5月25日からは個人データ保護規則が取って代わることになります。

なお、指令と規則は、いずれも第二次法ですが、両者の法的効力についてはどちらかが優位とされるという関係にはありません。違いは、規則はすべての構成国で直接に適用され自動的に国内法になりますが、指令は内容を達成する手段と方法が構成国に任されており、国内法化をする必要があります。
EU個人データ保護規則は、この意味で構成国内での相違が少なくなり、統一的な規律ができるものとなっています。

削除権(忘れられる権利)

EU個人データ保護規則案の段階

EU個人データ保護規則は、様々な意味で動向に注目を集まっていましたが、その一つが忘れられる権利でした。
理事会が提案をした規則案では、忘れられる権利について、次のような条文が示されました。2項以下は省略しています。

 

Article 17  Right to be forgotten and to erasure

1  The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data, especially in relation to personal data which are made available by the data subject while he or she was a child, where one of the following grounds applies:

(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data;

(c) the data subject objects to the processing of personal data pursuant to Article 19;

(d) the processing of the data does not comply with this Regulation for other reasons.

第17条 忘れられる権利と削除権
1 データ主体は、次の理由がある場合、特に子供のときに自身が利用可能にした個人データについて、管理者に対し個人データの削除及び当該データの拡散の抑止を求める権利を有する。
(a) 当該データが収集その他処理された目的との関係でもはや必要でなくなった場合
(b) データ主体が第6条(1)(a)に基づきなされた処理についての同意を撤回した場合、同意した保管期間が経過した場合、その処理にその他の法的根拠がない場合
(c) データ主体が第19条に従って個人データの処理に異議を申し立てた場合
(d) データ処理がその他の理由で本規則を遵守していない場合

欧州議会の修正意見

この規則案に対して、欧州議会は、忘れられる権利という言葉を削除し、いくつかの修正提案をしました。このため、最終的に決定される規則には、忘れられる権利という言葉は削られるのではないかと思われていました。

Article 17 Right to be forgotten and to erasure

1  The data subject shall have the right to obtain from the controller the erasure of personal data relating to him or her and the abstention from further dissemination of such data,especially in relation to personal data which are made available by the data subject while he or she was a child,and to obtain from third parties the erasure of any links to, or copy or replication of, those data where one of the following grounds applies:

(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data;

(c) he data subject objects to the processing of personal data pursuant to Article 19;

(ca) a court or regulatory authority based in the Union has ruled as final and absolute that the data concerned must be erased;

(d) the processing of the data does not comply with this Regulation for other reasons have been unlawfully processed.

 最終的に確定したEUデータ保護規則

ところが、公表された規則では、忘れられる権利という言葉が復活。

Article 17 Right to erasure (‘right to be forgotten’)

1  The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;

(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);

(d) the personal data have been unlawfully processed;

(e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;

(f) the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).

第17条 削除権(「忘れられる権利」)
1 データ主体は、次の理由がある場合、遅滞なく管理者に対し個人データの削除を求める権利を有し、管理者は遅滞なく個人データを削除する義務を負う。
(a) 当該データが収集その他処理された目的との関係でもはや必要でなくなった場合
(b) データ主体が第6条(1)(a)又は第9条(2)(a)に基づきなされた処理についての同意を撤回した場合、及びその処理にその他の法的根拠がない場合
(c) データ主体が第21条(1)に従って処理に異議を申し立てた場合で、その処理に優越的な正当理由がない場合か、又は第21条(2)に従って異議を申し立てた場合
(d) 個人データが違法に処理された場合
(e) 管理者がEU法又は構成国法の法的義務を遵守するために個人データを削除しなければならない場合
(f)    個人データが、第8条(1)にいう情報化社会サービスの提供に関連して収集された場合

今後は、EUでは、データ主体は、上記の内容で削除権=忘れられる権利を行使することができ、管理者は削除の義務を負うことになります。

違反がある場合の救済

データ主体の権利に関して違反がある場合、管理者である企業などは、行政罰である過料を課される可能性があります。また、データ主体は、監督機関に対し不服を申し立てたり、司法的救済を求めることができます。
詳細は、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済“の記事でまとめましたので、参考にしてください。

*本記事は、Privacylaw.jpのサイトに掲載していたものを、同サイトをリニューアルするため、本サイトに移動したものです。

2016年10月21日更新:違反がある場合の救済を追加しました。

 

EU個人データ保護規則(GDPR)―制定の経緯と手続

欧州連合(EU)で、2016年4月27日に、欧州議会と理事会が個人データ保護規則を決定しました。
施行は、2年後の2018年5月25日です。
理事会が規則案を提案してから正式に決定するまで約4年かかりましたが、現在の法枠組みであるEUデータ保護指令からの大きな変更もあり、ヨーロッパでビジネスを展開する日本企業にとっては、内容を確認しておきたいところです。
制定の経緯と手続を見ていきましょう。

現在の法枠組み:EU個人データ保護指令

EUの個人データ保護といえば、EU個人データ保護指令を思い浮かべる方が多いのではないでしょうか。2018年5月24日までは、EU指令が効力を有しています。
1995年に立法されたEU指令の正式名称は、DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(個人データの処理に係る個人の保護及び当該データの自由な移動に関する1995年10月24日付け欧州議会と理事会の欧州共同体1995年46号指令)です。以下、EU指令と呼びます。

指令の中に欧州共同体(EC)という名称が出てきますが、ECについてはミニ知識を参照してください。

EU指令の英語の条文はこちら
堀部政男研究室の和訳が総務省のウェブサイトに掲載されています。

続きを読む →