EUデータ保護規則(GDPR)―どのような場合に日本企業に適用されるのか

EUデータ保護規則は、EUデータ保護指令と比べて適用される企業の範囲が広がっています。
日本企業の備えとしては、まず自社がEUデータ保護規則が適用される企業であるかどうかをチェックする必要があります。3つの項目でチェックしてみましょう。

3つの適用範囲に関するチェック項目

(1)EUの1つ以上の構成国に管理者または処理者となる拠点を設置しているか。
(2)国際公法によって、構成国の国内法が拠点に適用されるか。
(3)EU内のデータ主体に対し商品やサービスを提供しているか、またはEU内のデータ主体の行動を監視しているか。

(1)と(2)は、EUデータ保護指令と変わりません。つまりEU内かまたは国際公法によって構成国の国内法が適用される地域内のいずれかに、日本企業が管理者または処理者としての拠点を有している場合には、EUデータ保護規則が適用され、規則を遵守する義務が生じます。
拠点とはestablishmentを和訳したものですが、安定した設備を通じた効果的かつ現実の活動の実施を意味し、安定した設備が支店か法人格を有する子会社かという法的な形式は問われていません(前文22)。
また、実際のデータ処理がEU内で行われているかどうかは関係がありません。
続きを読む →