Last Updated: May 5, 2019
2019年3月26日付けの欧州データ保護会議(EDPB)ニュース(英語版)が筆者の手元に届いた。表題は「ポーランドの個人情報保護局長によるGDPR違反に基づく最初の罰金の法執行」というものである。念のためポーランドの個人情報保護局(Urzęd Ochrony Danych Osobowych :UODO)サイトで確認を行ったところ、元のデータはUODOがポーランド情報保護局のプレスリリースで作成したものであることが判明した。
保護局長(左)と分析戦略部長(右)による記者発表の模様(UODOサイトから引用)
同時にUODOサイトを調べたところ、UODOの任務、権限、組織等に関する解説サイトはポーランド語と英語版が全く同一(注1)で、ポーランド法の素人である筆者でも何とか解析できそうな気がしてならなくなった。
このUODO罰金の決定に関しては被告企業名や企業の違法行為の内容も含め、必ずしも情報が公表されていない。しかし、筆者が日頃情報源として利用している”TechCrunch Japan”の解説記事の日本語訳版を見つけた。同記事はさすがに専門メディアであり、独自にマーケテイング活動する企業への法令遵守やコスト面等への影響の解説は興味深い内容であり、本ブログでも引用、追加した。ただし、原文の内容を超える解説は皆無であり、訳文そのものも誤訳や説明不足といえる点がある。その具体的箇所について付録(2)で述べる。
ところが、筆者がUODOの具体的活動やポーランドのGDPRの国内法化の動向等を調べたていたところ、ポーランドの監査・税務・法務等国際事務所”Rödl&Partner” (注2)の解説サイトで、同事務所のシニアアソシエイト弁護士であるグジェゴシュ・ゲンボレック( Grzegorz Gęborek)氏 (注3)の2回にわたる簡単なレポートを読んで、あらためてEU加盟国におけるGDPRに準拠した国内法令の整備状況の遅れや具体的手続きの遅れ等があるとの事実も確認できた。
そこで、今回のブログは、(1)UODOのリリース文の仮訳するとともに、(2)UODOの任務、権限、組織等に関する解説を行い、次に(3)ポーランドのGDPRの国内法化の概要と課題、(4)UODOの最近時の主な活動と特徴を述べ、最後に(5)英国のBrexitに関する情報保護面の取扱準備の内容を引用するものである。特に最後の(5)の問題はポーランド以外のEU加盟国で同様の混迷を抱えていることは言うまでもない。
最後に6.付録として前述のグジェゴシュ・ゲンボレック氏の問題指摘の内容を概観する。
なお、UODOの組織は人口約3,850万人の国としては本文第2項で述べるとおりかなり大きい。その背景にあるのは以下のべるとおり、UODO自体の責任の範囲が広く、またEU理事会議長国の持ち回り制の影響などとも関係するかもしれない。
3回に分けて掲載する。
1.UODOのリリース文「ポーランドの個人情報保護局長によるGDPR違反に基づく最初の罰金の法執行」の仮訳
ポーランドの個人情報保護局(UODO)のエディタ・ビエラク・ジャマ(Edyta Bielak-Jomaa)局長は、EUの「一般データ保護規則(GDPR)」第14に基づく情報保護に関する権利・義務を履行しなかったことに対して、欧州のデジタルマーケティング企業Bisnode(本社はスウェーデン) (注3-4)の情報管理者に943, 000ポーランド・ズウォティ(PLM)(約22万ユーロ:約2,772万円)を超える額のはじめてとなる罰金を科す「決定(DECYZJA )」を下した。(注3-3)
エディタ・ビエラク・ジャマ(Edyta Bielak-Jomaa)局長(ウエブサイトからダウンロード)
UODO局長であるエディタ・ビエラク・ジャマ博士は「情報管理者(controller)たる会社は、情報を提供する義務を認識していた。それ故に、この被告会社にこの金額の罰金を科すという決定を行った」点を強調した。
自身の個人データが被告会社によって処理されたことにつき多くの人々はこれを知らなかった。情報管理者はその処理についてデータ主体に通知しなかったため、一般データ保護規則(GDPR)の下で権利を行使する可能性を奪われた。この結果、データ主体は自身による修正または消去を要求するために自身のデータのさらなる処理に反対する可能性はなかった。同局長は、そのデータが会社によって処理され、基本的な問題 ー データの処理に関する情報ー に関連している人々の基本的権利と自由権に関係しており、この違反は極めて重大であると考え、情報管理者がGDPRに準拠していないことを理由に、罰金を科すことが必要であったと述べた。
UODOの分析戦略部長であるピョートル・ドロベック(Piotr Drobek)は、「被告会社は600万人以上の人々に関する情報提供義務を果たしていなかった。 同社による処理について知らされた約9万人のうち、1万2千人以上がデータの処理に反対した。これは、GDPRに準拠して被告会社が権利を有する人が権利を行使するために情報義務を適切に履行することがいかに重要であるかを示している」と説明した。
分析戦略部長ピョートル・ドロベック(Piotr Drobek)(ウエブサイトからダウンロード)
UODOの局長の決定は、公的に入手可能な情報源、特に「中央電子登録簿および経済活動に関する情報登録簿(Central Electronic Register and Information on Economic Activity:CEIDG)」(注3-5)から入手したデータ主体のデータを処理し、商業目的でデータを処理した会社の活動に関連する手続きに関するものである。UODOは、まず事業活動を行っている自然人( 現在そのような活動を行っているか、または中断している起業家、および過去にそのような活動を行った起業家)に関する情報義務の遵守違反を検証した。管理者は EUのGDPRの第14条(1)項から(3)項(注4)の下で要求されている情報に関しEメールアドレスの破棄のみ情報義務を果たした。しかし、管理者はその他の人の場合、その運用経費が高いため、手続きの過程で説明したように、情報義務を遵守せず、そのウェブサイト上でのみ情報義務条項を提示しただけであった。
局長の公式意見では「そのような行動は不十分であった。 特定の人への連絡先データを持っている間はかならず管理者はユーザーに関連して、①保有するユーザーのデータ、②そのデータの出所、③計画されたデータ処理の目的と保有期間、そして④GDPRの下でのデータ主体の権利といった情報義務を果たすべきである」と述べた。
また、局長の公式意見では、「GDPRの規定第14条は、書簡でそのような通信を送る義務を管理者に課すものではなく、費用のかかる義務を履行しないことの言い訳として会社から反論が提起された。
しかし、関連する場合には、被告会社はユーザーの住所と電話番号を持っていたので、データが処理されている人に情報を提供する義務を遵守することができた。したがって、この事件は、数年前にポーランドのDPAが決定した他の事件とは区別する必要がある」と述べた。
さらに、同局長は、訴訟手続き中に制定されたため、関係者に直接情報を提供することの必要性を認識していたため、管理者のGDPR違反は意図的であると判断した。
罰金を科す一方で、当局はまた管理者が規則違反を終わらせるためにいかなる措置も講じなかったという事実や、そうする意図を宣言しなかった点を考慮には入れなかった。
2.UODOの任務、権限、組織
他のEU加盟国と同様ポーランドのUODOは、GDPR第6章 独立監督機関:第1節 独立的地位:第51条 監督機関(各加盟国は、取扱いと関連する自然人の基本的な権利及び自由を保護し、かつ、EU域内における個人データの自由な流れを促進するため、本規則の適用を監視する職責を負う1若しくは複数の独立の公的機関を定めるなければならない(「監督機関」))以下の規定に基づく監督・監視機関である。
その法的根拠については、2018年5月10日に成立した「個人データ保護法(Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych;ACT of 10 May 2018 on the Protection of Personal Data(以下、”Ustawa”という)」第7条で第4章~7章および第11章に基づくと明記する。(同法の非公式の英語版は以下のURLからリンク可)
特に同法を詳しく読んだり、以下述べるとおりHPにおいてUODO局長の権限はかなりのものである。
(1) 主な任務・権限
GDPR第57条職務以下で具体的に列挙している。また、”Utawa”は第4章~第7章(第54条~74条)および第7章(第101条~第108条)で具体的な任務を明記している。具体的なHPでの広く教育・啓蒙、情報侵害にかかる苦情受付、企業等のデータ保護オフィサー等各種届出、データ侵害時のUODOやデータ主体への通知様式などにつき、詳しく解説している。
(ⅰ)GDPRの適用にかかる具体的情報
①第30条に定める管理者の取扱記録の保管義務(本項はポーランド語のみなので略す)
②リスクベースのアプローチの理解および適用
③”Ustawa”が必要とする処理作業の種類のリスト
GDPRの第35条第4項(注5)によると監督当局は、データ保護影響評価( Data protection impact assessment )の要件の対象となる種類の処理業務のリストを作成し公表するものとする。
2018年5月10日のポーランドのデータ保護法(Ustawa)の54条に基づき上記リストは同法の施行後3ヶ月以内にUODO局長によって発表されされねばならない。
UODO局長は、処理業務リストの最終提案を作成し、それをGDPRの手順に従って欧州データ保護会議に送付し、その内容は適切な発表で発表した。
UODOの組織図(URL: https://uodo.gov.pl/en/494)
(ⅱ) GDPR第77条以下にもとづく自然人たるデータ主体、またはGDPR第80条に基づく代理人たる組織・団体等による異議申立て
GDPRや欧州条保護指令(95/46/EC)に違反した場合、GDPR第77条に基づきデータ主体等はUODO局長に対し異議申し立てを行うことができる。また、データ主はGDPR第78に基づき司法救済を監督機関であるUODOに求めることができる。なお、代理人による委任状を伴う異議申立ての場合、その代理人は公益目的を有し、データ主体の権利と自由の保護分野で活発な法的目的をもっている非営利団体、協会または組織であること。(GDPR第80条第1項)(委任状は1960年6月14日ポーランド行政手続法第32~34条の要件を満たすこと)
*書面による異議申立て
UODO局長あて提出する異議申し立ては次の内容を含むこと。
①申立人の声明および住所
*書面による異議申立て
UODO局長あて提出する異議申し立ては次の内容を含むこと。
①申立人の声明および住所
②手書きの署名
③異議申し立ての対象となる団体名(団体名、本社の住所等)
④違反の詳細な事実
⑤申請書(申請者が監視当局に期待する行動内容:)例:データの削除、情報提供義務の履行、データの修正、データ処理の制限など。
(注)個人データ保護に関する規定の違反に対する損害賠償は裁判所での解決手続きの対象となるのみで、監督当局の手続きによることはできない。また異議申立人は、異議申立てにより開始された訴訟において、管理人に行政罰を科すことは要求できない。行政罰を科す決定は、監督機関の局長の権限の範囲内のみ有効である。
*電子形式での異議申立て(苦情)手続き
注:異議申立てはポーランド語で提出する必要がある。
電子形式で提出された異議申立ては、従来の書面形式で提出された苦情の要件に加えて、以下の条件を満たす必要がある。
a.適格な電子署名、またはePUAP (注6) の信頼できるプロファイルによって確認された署名、または検証済みデータの出所と完全性を電子形式で確認する可能性を保証する方法で認証された署名があること。
b.申請者の電子アドレスを含めること。
異議申立てが代理人によって電子的に提出される場合は、電子文書の形式の委任状に、資格のある電子署名、またはデータ主体によってePUAPの信頼できるプロファイルによって確認された署名を添付する必要がある。。委任状の写しまたはその承認を示す他の書類の写しが電子書類の形で作成されている場合、それらの認証は、適格な電子署名またはePUAPの信頼できるプロファイルによって確認された署名を用いて行われる。委任状の写しまたは電子的に認証された承認を示す他の文書の写しは、規則で指定されたデータフォーマットで作成されなければならない(公共の業務を遂行する事業体の活動の情報化に関する2005年2月17日の法律第18号参照)。
******************************************************************************
(注1)上がUODOのポーランド語版、下が英語版である。
(注2) ”Rödl&Partner”は、監査、ビジネスプロセスアウトソーシング、税務コンサルティング、法務コンサルティング、コンサルティングの分野で総合的なプロフェッショナルサービスを提供する国際企業である。”Rödl&Partner”は、世界51カ国に111のオフィスを展開している。
(注3) グジェゴシュ・ゲンボレック Grzegorz Gęborek 氏のプロファイル:
弁護士:ドイツ・フランクフルト(オーダー)アム・マイン (Frankfurt am Main) のヴィアンドリーナ・ヨーロッパ大学(注3-2)を卒業し、 ドイツの刑法を専門とするドイツの学士号とポーランド法の修士号を取得。ポーランドとドイツの民法と民事訴訟を専門としている。彼は英語も堪能である。
(注3-2) Europa-Universität Viadrina Frankfurt (Oder) 大学:ドイツのポーランド国境に近いフランクフルト・アン・デア・オーダーに1991年に設立された比較的新しい大学ですが、学生の4割がドイツ以外の国籍を持つという国際性が際立った特徴があります。小規模な大学にもかかわらず、220もの提携校をもち、留学生の受け入れにも積極的です。当然のことながらドイツ語コースも充実していて、日常言語運用能力の向上から専門分野(法学・文化科学・経済学)の導入と知見の獲得までを視野に入れたプログラムが特徴的です。(上智大学の協定校)サイトから引用)
(注3-3) 3月28日のローファームBaker McKenzie のブログ記事「ポーランドの情報保護機関(DPA)DPAは、EU「一般情報保護規則」第14条違反を理由として22万ユーロの罰金を科した」および4月2日Hogan Lovells LLPブログが事実関係やGDPRとの関係も含め詳しく解説しているので併せて確認されたい。
(注3-4) 念のため筆者はBisnode者のサイトで「privacy and Data security at bisnode:Your data, carefully handled, controlled by you.」の内容を確認したが、今回のUODOの決定やその具体的対応に関する記述はなかった。
(注3-5) CEIDGの利用に関する解説部分を仮訳する。
起業家は、申請書の提出日よりも経済活動の開始後日をCEIDGへの参加申請書に記載する権利を有する。
(注4) GDPR第14条第1項から第3項の訳文を抜粋引用する。わが国の個人情報保護委員会の仮訳文から引用
第14条 個人データがデータ主体から取得されたものではない場合において提供される情報
1. 個人データがデータ主体から取得されたものではない場合、管理者は、データ主体に対し、以下の情報を提供する:
(a) 管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先
(b) 該当する場合は、データ保護オフィサーの連絡先
(c) 予定されている個人データの取扱いの目的及びその取扱いの法的根拠
(d) 関係する個人データの種類
(e) もしあれば、個人データの取得者又は取得者の類型
(f) 該当する場合は、管理者が個人データを第三国又は国際機関の取得者に対して移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46条若しくは第47条に定める移転の場合又は第49条第1項第2項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報
2. 第1項に定める情報に加え、管理者は、データ主体に対し、データ主体に関して公正かつ透明性のある取扱いを確保するために必要な以下の情報を提供する
(a) その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。
(b) その取扱いが第6条第1項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。
(c) 個人データへのアクセス、個人データの訂正又は消去、又は、データ主体と関係する取扱いの制限を管理者から得ることを要求する権利、又は、取扱いに対して異議を述べる権利、並びに、データポータビリティの権利が存在すること
(d) その取扱いが第6条第1項(a)又は第9条第2項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること
(e) 監督機関に異議を申立てる権利。
(f) どの情報源からその個人データが生じたか、及び、該当する場合は、公衆がアクセス可能な情報源からその個人データが来たものかどうか。
(g) プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、それが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報
3.管理者は、以下のとおりに、第1項及び第2項に定める情報を提供する。
(a) その個人データが取扱われる具体的な状況を考慮に入れ、個人データ取得後の合理的な期間内。ただ
し、遅くとも1 か月以内。
その個人データがデータ主体との間の連絡のために用いられる場合、遅くとも、当該データ主体に対
して最初の連絡がなされる時点において。又は
(c) 他の取得者に対する開示が予定される場合、遅くともその個人データが最初に開示される時点におい
て。
(以下、略す)
(注5) GDPR第37条第4項「監督機関は、第1 項によるデータ保護影響評価の義務に服する取扱業務の種類のリストを作成し、これを公表しなければならない。監督機関は、第68 条に規定する欧州データ保護会議に対し、そのリストを送付するものとする。」
(注6) ”ePUAP”は(ePUAP)はポーランドの「公共サービスの電子プラットフォーム(Elektronicznej Platformy Usług Administracji Publicznej :ePUAP)」の意味である。ポーランドのデジタル化大臣が管理者で、法的義務に基づく個人データの処理に関する情報条項(公共の業務を行う団体の行為の電子化に関する平成17年2月17日の法律に関連した処理)入力時に必要とされる。
**********************************************************************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます