前回から企業によるGDPR遵守の監督・遵守に関する以下の事項について解説していますが, 今回は以下の(3)~(5)に関し解説します。
(1)自己統制と市民による統制
(2)行動規範およびデータ保護認証
(3)監督機関とその権限
(4)欧州データ保護会議 (EDPB)
(5)欧州データ保護監督官(EDPS)
(6)主任監督機関ガイドライン
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) |
Q1: 監督機関とは?
A1: GDPR上, 「監督機関」(supervisory authorities)とは, EUの各加盟国が設立義務を負っている, GDPRの遵守を監視する独立した機関を意味し, GDPRに以下の通り規定されています。 (1).独立監督機関(Independent supervisory authorities) EUの各加盟国は, GDPRの遵守を監視する独立した機関(「監督機関」)を設置しなければならない(51(1))。 各監督機関は, EU全体におけるGDPRの一貫性ある運用(consistent application)に協力しなければならない(51(2))。 一国に複数の監督機関がある場合, EDPB(European Data Protection Board: EDPB)においてこれら複数機関を代表する監督機関を指定しなければならない(53(3))。 (2).監督機関とその構成員の独立性 各監督機関は, [加盟国政府等からも[1]]完全に独立して任務を遂行しまた権限を行使しなければならない(52(2)。 監督機関の構成メンバーは, 任務遂行・権限行使に当たり外部からの影響を受けてはならない(52(2))。また, その職責に反する(incompatible with)行為を行いまたは在任中職務に反する業務に従事してはならない(52(3))。 各加盟国は, 自国の監督機関にその任務遂行・権限行使に必要な人的・技術的・資金的リソース・施設等を提供しなければならない(52(4))。 各加盟国は, 監督機関の構成メンバーを, 議会・政府・元首または独立機関が, 透明性のある手続により任命するようにしなければならない(53(1))。 監督機関の構成メンバーは, その任務遂行・権限行使に必要な個人データの保護に関する資格・経験・技能を有しなければならない(53(2))。 監督機関の構成メンバーは, 重大な違法行為をした場合または任務遂行に必要な条件を欠いた場合に限り解任され得るものとする(53(4)。 各EU加盟国は, 国内法により監督機関の設置ルールを定めなければならない(54(1))。 監督機関の構成メンバーおよび職員(staff)は, その任務・職務遂行上知った全ての秘密情報(特に個人からのGDPR違反行為の通報)に関し, 在任・在職中および退任・退職後を問わず, 職務上の秘密保持義務(duty of professional secrecy)を負うものとする(54(2))。Q2: 各監督機関の管轄は?
A2 :GDPRに以下の通り規定されています。 各監督機関は, その所属加盟国内で任務遂行・権限行使の権限を有する(50(1))。 管理者または処理者[以下「管理者等」という]が複数加盟国で行う処理については, 当該管理者等の「主たる拠点」(main establishment)または単一(唯一)(single)の拠点がある加盟国の監督機関が, 「主任管監督機関」(lead supervisory authority)(次回解説)として権限を行使するものとする(56(1))。 但し, 管理者等が複数加盟国で行う処理であっても, 各監督機関は, 自己に申立てられた苦情またはGDPR違反が自国の拠点のみに関係するときもしくは実質的に自国のデータ主体にのみ影響するときは自身が管轄権を有する(56(2))。主任管監督機関は, 管理者等が複数加盟国で行う処理に関し, 管理者等に対する唯一の担当窓口(the sole interlocutor)になるものとする。Q3: 各監督機関の任務は?
A3:GDPRに以下の通り規定されています。 各監督機関の主な任務は次の通りである(57(1))。 ・GDPRの遵守の監視・執行(monitor and enforce) ・データ主体からの苦情申立(80)に関する調査(investigate) ・域外移転(46(2)(d))および処理委託契約(28(8))の標準データ保護条項策定 ・データ保護影響評価の対象となる処理のリスト(35(4))の作成 ・高リスク処理に関する協議における管理者等への助言(36(2)) ・行動規範の承認(40) ・個人データ保護認証制度(data protection certification mechanisms)またはデータ保護シール・マーク(data protection seals and marks)の認証組織の基準作成, 認定およびその定期的見直し (41~43) ・域外移転契約の個別承認(46(3)(a)) ・拘束的企業準則(BCR)の承認(47) ・EDPB(Q6参照)の業務への貢献Q4: 各監督機関の権限は?
A4:GDPRに以下の通り規定されています。 各監督機関は主に次のような権限を有する。 【調査権限】 (investigative powers) (58(1)) ・管理者等に対する情報提供命令(order) ・データ保護監査(data protection audits) ・GDPR違反認定通知 ・任務遂行上必要な個人データその他情報の入手 ・管理者等の事業所(個人データを処理する装置・手段・施設を含む)の立入・調査(obtain access to any premise ....) 【違反是正に関する権限】 (Corrective powers) (58(2)) ・違反のおそれがある旨の警告(to issue warnings)。 ・戒告処分(reprimands)。 ・データ主体の権利行使に対応しまたはこれに応じるべき旨の命令(order)。 ・GDPRを遵守して処理を行うべき旨の命令。 ・データ主体に個人データ侵害を通知すべき旨の命令 ・処理の暫定的または恒久的な制限(処理禁止を含む)(a temporary or definitive limitation including a ban)。 ・データ保護認証(42, 43)の取消し ・行政制裁金(administrative fine)の賦課(83)。 ・個人データのEU域外への移転禁止。 ・GDPRの違反行為の司法当局への通知および訴訟の提起または参加(commence or engage)の権限(58(5))。 【管理者等の対応・協力義務】 管理者等(およびその代理人)は, 監督機関の職務遂行に関し, その要求に応じ, 協力しなければならない(31)。Q5: 監督機関間の協力は?
A5:GDPRに以下の通り規定されています。 主任管監督機関および他の関係監督機関は相互協力(mutual assistance)(61)・情報交換・共同業業務(joint operation)(*)(64)等を行う(60(1), (2), 62)。(*)共同での調査(joint investigations)および共同での執行措置(joint enforcement measures)を含む。 主任管監督機関は, 作成した処分の決定案に対し他の関係監督機関に見解を求めこれを十分考慮しなければならない(60(3))。両者の見解が一致しない場合は一貫性メカニズム[EU全域におけるGDPRの一貫した適用を確保するための制度](63, 64)により調整される(60(4))。Q6: 欧州データ保護会議 (EDPB)とは?
A6:欧州データ保護会議(the European Data Protection Board)(EDPB)は, 各監督機関によるGDPRの執行(58)に関しGDPRのEU全域における一貫した適用(consistency)(以下「一貫性」という)を確保するため設立された監督機関の連合体です。なお, 全ての監督機関は, 一貫性確保のため, GDPR第63条~第67条に定める一貫性メカニズム(Consistency mechanism)により, 相互に協力し, また, 必要に応じ欧州委員会と協力しなければならない(63)とされています。 以下, EDPBに関する GDPRの規定内容を示します。 (1). EDPBの一貫性(Consistency)に関する任務 EDPBは, 一貫性確保のため次の業務を行う。 【各監督機関に対するEDPBの見解作成】 EDPBは, 各加盟国の管轄監督機関による次の行為に対し見解を作成する(64(1))。 ・データ保護影響評価の対象となる処理のリスト(35(4))作成。 ・複数加盟国に関係する行動規範案の承認(40(7))。 ・行動規範遵守の監視組織(41(3))または個人データ保護認証(43(3))の認証組織の認定基準の承認 ・域外移転(46(2)(d))および処理委託契約(28(8))の標準データ保護条項制定 ・域外移転契約の個別承認(46(3)(a)) ・拘束的企業準則(BCR)の承認(47)。 EDPBは, 各監督機関が相互協力・共同業務の義務を遵守しない場合, 他の監督機関, EDPB議長または欧州委員会の要請に応じ, 当該不遵守について審議し見解を作成する(64(2))。 【EDPBによる監督機関間の紛争解決】(Dispute resolution) EDPBは次のいずれかの場合拘束力ある決定を行う(adopt a binding decision)(65(1))。 (a)主任監督機関の作成した決定案に他の関係監督機関が同意しない場合(65(1)(a))。 (b)監督機関の間でどの監督機関が主任監督機関となるかに関し見解が相違する場合(65(1)(b))。 (c)監督機関がEDPBの見解を求めるべき場合(64(1)であるのにこれを求めない場合またはEDPBの見解に従わない場合(65(1) (c))。 (2).EDPBの組織とその独立性 (a)EDPBはEUの組織であり法人格(legal personality)を有する(68(1))。 (b)EDPBは次の者から構成される(68(3), (4))。[2] ・EUの各加盟国の監督機関の長(head)(一国に監督機関が複数ある場合はその共同代表(a joint representative)) ・欧州データ保護監察官(European Data Protection Supervisor:EDPS)(Q7参照) ・または, 上記のそれぞれの代理人 (c)EDPBの議長(Chair)は上記構成メンバーから多数決で選出され, EDPBを代表する(68(2),73(1))。 (d)欧州委員会もEDPBの活動・会合に参加権を有する(但し議決権なし)(68(5))。 (e)EDPBは, 独立して任務を遂行しまた権限を行使しなければならない(69(1))。 (3).EDPBのその他の任務 EDPBは上記(1)の他, 主に次の業務を行う(70(1))。 ・EU域内の個人データ保護に関する問題(GDPRの改正を含む)に関し欧州委員会に助言すること ・GDPR上の問題に関するガイドライン・推奨事項(recommendations)・ベストプラクティスを作成・公表すること。 ・行動規範・データ保護認証制度の促進(40~43) ・欧州委員会に対する見解提供(対象例:データ保護認証(43(8)), データ主体に対するアイコンによる情報提供(12(7)) , 十分性認定) (4).EDPBの事務局 (a)EDPBの事務局機能はEDPSから提供される(75(1))。 (b)但し, EDPBの任務遂行に従事する職員はEDPSの任務遂行に従事する職員とは区別されEDPB議長の指示のみに基づき任務を遂行する(75(2),(3))。 (c)EDPBとEDPSの協力条件は, 必要に応じMemorandum of Understandingにより合意され公表される(75(4))。Q7: 欧州データ保護監督官(EDPS)とは?
A7:欧州データ保護監督官(Role of the European Data Protection Supervisor)(EDPS)は, EU(欧州連合)の機関・組織における個人データの処理に関し, GDPR上, EU加盟国監督機関が当該加盟国におけるGDPR適用に関し有するのと同様の, 調査・是正・制裁・承認・助言等の任務と権限を有する機関で, 「EU機関データ保護規則」[3]に従い設けられている機関[4]です(規則57・58)。以下にEDPSに関するGDPRの規定内容を示します。 【GDPR上のEDPSに関係する主な条項】 EDPSは, 各加盟国の監督機関の長とともに欧州データ保護会議(European Data Protection Board)(EDPB)を構成する(68(1))。 EDPBの事務局の機能は, EDPSから提供される(75(1))。 但し, EDPBの任務遂行に従事する職員はEDPSの任務遂行に従事する職員とは区別されEDPB議長の指示のみに基づき任務を遂行する(75(2),(3))。 EDPBとEDPSの協力条件は, 必要に応じMemorandum of Understandingにより合意され公表される(75(4))。 今回は以上です。【筆者の個人情報保護関連書籍等】
“China Data and Personal Information Laws” 2022/1/31
「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05
『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18
「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24
「中国データ・情報関連法」 2021/9/18
「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10
「中国データセキュリティ法の成立とその概要」2021/06/18
「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月
「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月
「GDPR関連資格CIPP/E準拠 詳説GDPR (上)・ GDPRとCookie規制」 2019年11月
「GDPR関連資格CIPP/E準拠 詳説GDPR (下)・ GDPRとCookie規制」 2019年11月
[5] 【注】 [1] 【監督機関の政府等からの独立性に関するCJEU判決】 European Commission v. Federal Republic of Germany [2010] C-518/07, 9 March 2010. [2] 【EDPBメンバー】 EDPBサイト “Our Members” [3] 【EU機関データ保護規則】 テキスト (解説)Deloitte "Processing of personal data by European Institutions - Introducing more accountability with Regulation (EU) 2018/1725" February 2019 [4] 【EDPSの概要】 EDPSサイト [5]==========
【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)【発表論文・書籍一覧】 |