Last Update: 5 may, 2019
(4) 標準契約条項
起業家はまず、ECによって承認されたデータ保護に関する標準的な契約条項の使用について検討すべきである。
現在、欧州委員会の次の3つの決定が適用される。
1)EU情報保護指令(95/46 / EC)に基づく、個人データの第三国への移転に関する標準契約条項に関する2001/497 / ECの決定 (決定書の本文は、次のWebサイトで入手できる)
2) 2001/497 / ECの修正の決定2004/915 / ECによる、個人データの第三国への移転に関する標準契約条項の代替セットの導入に関する決定。( 決定書の本文は、次のWebサイトで入手できる)
3)欧州議会および理事会の指令95/46 / ECに基づき、第三国で確立された処理者への個人データの移転に関する標準契約条項に関する決定2010/87 / EU 。これにより、第三国の処理者へのデータ移転が可能になる。 決定書の本文は、次のWebサイトで入手できる。
(5) 拘束的企業準則
国際的な企業グループは、GDPRで規定されている整合性の手順の中で、UODOの個人データ保護監査総監室長(Inspector General for Personal Data Protection)またはUE加盟国からのデータ保護当局によって以前に承認された拘束的企業準則を使用することもできる。従来の拘束的企業準則は、第三国のグループに英国からのデータの輸入者を含めることによって修正しなければならないことを覚えておく必要がある。
(6)公共部門におけるデータ移転にかかる保障
公的機関および団体によるデータ移転は、公的機関および団体間の法的拘束力および執行可能な手段に基づいて、個人情報保護局長の同意を得る必要なしに行い得る。公的機関またはデータ主体の法的強制力のある有効な権利を規定する団体間の管理上の取り決めに基づいて、個人情報保護局長の同意を得てデータ移転を行うことも可能である。(注9)
(7) 第49条 特定の状況における例外措置
GDPRは、適切なレベルの保護を保証していない、または標準契約条項や拘束的企業準則などの適切な保護が確保されていない場合でも、第三国へのデータ移転を許可する。GDPRの第49条に言及されているその特定の状況とは次のとおりである。
1)データ主体は、適切な決定および適切な保護措置がないためにデータ主体にそのような移転が発生する可能性のあるリスクについて知らされた後に、提案された移転に明示的に同意した場合、その同意は以下の条件を満たす必要があることを強調しておく。
①明示的に
②特に移転または一連のデータ移転に関するものであること。
③特に同意を表明する人は、移転に関連する可能性のあるリスクの可能性を認識している必要があること。
2)データ主体と管理者との間の契約の履行、またはデータ主体の要求に応じて取られる事前契約上の措置の実施のために、移転が必要な場合。
3)移転が管理者と他の自然人または法人との間のデータ主体の利益のために締結された契約の締結または履行のために必要であること。
4)公共の利益の重要な理由のために移転が必要な場合。
5)移転は、法的主張の立証、行使または抗弁のために必要である場合。
6)データ主体が肉体的または法的に同意を得られない場合において、データ主体または他の者の重大な利益を保護するために移転が必要な場合。
7)移転は公的登録簿から行われること。
8)移転は、管理者が追求する合法的な利益を強制するために必要であり、追加要件が満たされていること。
欧州データ保護委員会は、ガイドラインでデータ移転の上記の理由を詳細に説明している。
(8) 特に英国でサービスを提供する際にポーランド人のデータを処理する起業家の扱い
GDPRは、次の場合、起業家に関しEU内に存在する人物に関するデータの処理に直接適用されるため、EU内に存在しない管理者や処理者に関するデータの処理にも適用される。
①データ主体の支払いが必要であるかどうかにかかわらず、商品またはサービスを欧州連合内のそのようなデータ主体に提供すること。 または ② 彼らの行動が彼らの行動の範囲内で行われる限り、彼らの行動の監視は欧州連合域内で行われること。
そのような起業家の場合、管理者または処理者は書面によりEU域内の代理人(注10)を書面で商品やサービスの提供に関連してデータが処理されるデータ主体、または行動が監視されるデータ主体を特定しなければならない。
起業家は、自らによって行う処理が時折であり、大規模な場合には、特別なカテゴリーのデータの処理、または刑事有罪判決および犯罪に関連する個人データの処理を含まない場合、その処理の性質、文脈、範囲および目的を考慮して、自然人の権利および自由に対するリスクにより好ましくない結果をもたらす場合は、代理人を指名しなければならない。
(9) その他
欧州データ保護委員会(EDPB)は、GDPRの適用領域範囲に関するガイドライン(英語版)の第一版(3/2018)を採択した。
【付録(1)】
ポーランドのGDPRに準拠した国内法令の整備状況の遅れや具体的手続きの遅れ等
(1)はじめに
前述のとおり、ポーランドのRödl&Partnerの弁護士グジェゴシュ・ゲンボレック( Grzegorz Gęborek) 氏の(2)以下で述べる簡単な報告(2018.6他)を読むと、議会におけるかなり立法措置など対応の遅れやUODOの解釈の混乱はあったことは間違いなかろう、しかし、一方でUODO局長ほか事務方はこの遅れを回復すべく努力していることもウェブサイトの内容からみて間違いない。
これに関し特記すべき点は、ポーランド、イタリア、スペイン、ブルガリア、およびクロアチアの保護法強化にかかるEUプロジェクトの1つである「T4DATA」プロジェクトに監督機関や国内の企業、公的行政機関に向けた共同作業の成果である。T4DATAプロジェクトは、欧州連合の「権利、平等および市民権プログラム(2014-2020)」によって共同資金提供されている。
T4DATAの活動の経緯を以下、まとめておく。
①ザグレブでのT4DATAプロジェクトパートナーの最初の会議
T4DATAプロジェクト:データ保護権限とデータ保護担当者のトレーニング
②情報セキュリティ管理者のためのトレーニングがある。
公共部門からの情報セキュリティ管理者 - 将来のデータ保護責任者 - のためのトレーニングがあるであろう。
③T4DATAプロジェクトの枠組み内でのトレーナーのための国境を越えた訓練
T4DATAプロジェクトの枠組み内でのトレーナーのための国境を越えた訓練、2018年10月8〜10日、ワルシャワで開催
④ワルシャワで開催されたT4DATAプロジェクトパートナーの第2回会議
2018年10月11日、T4DATAプロジェクトのパートナー。 議論の主なトピックは、公共部門で働くデータ保護責任者である。
⑤行政の代表者を対象とした新しい研修構想
2019年の5月と6月に、ヨーロッパと国連のための国家委員会個人データの保護 このイニシアチブはデータ保護担当者に向けられている。
(2)ポーランドのGDPRの国内法対応他の仮訳
ポーランドのデータ保護制度改革はまだ進行中の作業であり、今後数カ月のうちに終了することを示すものは何もない。議会の議員たちは2018年5月25日のGDPRの実施期限を守ることができず、約300の法令にまたがる業界固有の規制すべてを修正することができなかった。 ポーランドの法律をGDPRと調整するために設定された2年間の準備期間の後、ポーランドの新しい個人データ保護法(Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych;ACT of 10 May 2018 on the Protection of Personal Data)がぎりぎりの5月10日に採択、成立した。この国内法は2018年5月25日に施行され、一部の選択された法律(Ustawaの1頁の注記で関係法が列挙されている)を改正する規定が含まれている。 残りの法律は後で修正される予定であるため、データ保護法の大幅な修正はまだ行われると考えられる。法律自体だけでなく、それらの法律を実施する「規則」も改正する必要がある(規則案はまだ準備できていない)。
(3) ポーランドの法律改革が現在も進行形
医療法などの高度に専門化された法律分野、または労働法などの事業に関連する法律における個人データ保護法令の日々の適用に関して、多数の懸念や疑問が生じている。雇用主や人事部門は、この範囲内で首尾一貫した法的枠組みを提供されないまま、求職者および従業員の個人データの処理をGDPRの要件に合わせるという困難な課題に直面している。その結果、個人データ処理の拘束力のある法令への準拠を確実にするためにとられるすべての措置は、新しい法律および規則に対応して数回にわたる検証および再修正される必要があるが、まだ数ヶ月以内にはそれらの措置は成立しそうもない。
(4) 個人情報保護局(UODO)の最近時の積極的な活動
しかし、最近になって、ポーランドの監督当局である個人情報保護局[UODOの局長がより積極的になり、例えば、1)データ保護法の最も重要な変更に関するトレーニング・イベントを開催したり、2)ハンドブックを発行した。 局長の最も注目すべき活動は、2018年10月5日に開催された個人データ保護に関する雇用者の義務に関するトレーニング・セッションを含み、それは最初に保護局の個人データ保護検査官に向けられた。 このイベントの素晴らしいプラス面は、それがオンラインで利用可能だったということであった。
このトレーニング中に、データ保護局の専門家が、募集中および雇用期間を通じて個人データを処理する方法について指示を出した。研修 参加者は状況に応じた手順を教えられ、その結果、事務所の運営の最初の数ヶ月間および事務所主導の社会的協議の間に、UODOに向けられた質問に対する回答を受けた。
(5) 職場における個人情報保護に関するガイドブック
データ保護局の検査官は、ビデオ監視を含むあらゆる形態の従業員監視を定期的に調査している。これは最終的に労働法で規制されている。このトピックは、トレーニングセッション中にも議論された。 このトレーニングイベントは、「職場における個人情報保護・雇用者のための手引き(Ochrona danych osobowych w miejscu pracy)」というガイドブックの発行にあわせ開催された。なお、同ガイドブックは事務所のウェブサイトで入手可能である。
このガイドブックは、企業グループ内での個人データの非常に物議を醸すデータ移転、臨時労働仲介機関等を通じて臨時労働者を雇用する場合の役割の確立など、国境を越えた業務を行う企業にとって非常に重要な実務上の多くの問題に対処したものでる。雇用者による新技術の使用に関し、ガイドブックは(ⅰ)就職活動、(ⅱ)採用プロセス、(ⅲ)雇用期間、および(ⅳ)労働法によって規制されているもの以外の雇用形態の4つのトピック分野をカバーしている。
これらトレーニングとガイドブックに大きな関心があるにもかかわらず、人事関係のデータ保護に関連するすべての問題を網羅しているわけではない。さらに、ガイドブックやトレーニング中に提示された意見のいくつかは、教義上の懸念を引き起こしている。
(6) 更なる課題
複雑で時々不明確な法令対応のために、UODOの見解は誤解され、その結果、誤って実行され、それは企業の解釈に害をもたらすかもしれない。その例としては、法律で厳格に規定されている場合にのみ求職者から同意を得る義務の欠如が広く議論されているが、これには労働法典に記載されていない非標準個人データの転送は含まれない。
(7) まとめ
現時点では、データ保護法に違反したことによる制裁の可能性を回避できる実用的な人事ソリューションを指摘することは困難であるし、現実に3月26日に保護局長は22万ユーロの罰金を科した。その違反事実の詳細はうかがい知れないが、同国内への海外企業の悪影響は間違いなかろう。
さらに、注目すべきことに、GDPR第83条に規定されEU全域に適用される行政上の罰金の他に、ポーランド議会の議員は新しいポーランドのデータ保護法(GDPRの下で許可されている)に「刑事罰」を導入した。 これは、UODOの局長のガイドブックにコメントすることをいっそう困難にする。 一方で、このガイドブックは、データ処理検査中のアプローチに影響を与える可能性がある監督当局の好みを反映している。またデータ処理に関わるすべての関係者が最初にGDPRを、次にGDPRと矛盾しない限り国内法を遵守しなければならないのに対し、場合によってはまったく珍しいと思われるその解釈は法律の根拠がない場合があり、実務上の混乱は避けられないであろう。
【付録(2)】
TechCrunch記事の要修正・追加が必要と思われる箇所
① 罰金金額800万ユーロの円換算の約99億8500万円は計算ミス→約9億9600万円が正しい。
② 「第14条の補足説明にある」・・具体的に何をさすのかが不明→EU指令第29条専門家会議の透明性に関するガイドラインP.26以下を引用すべき。
③「 欧州の最高裁判所」は誤り→「欧州司法裁判所」も誤り→「欧州連合司法裁判所」の訳語が正しい。
④ 苦情を訴える→異議申立てが正しい訳語。
⑤データ主体への通知期間の根拠条文として第14条第3項(a), (b)を追記すべき。
⑥ 2017年11月29日に採択されたWP29のガイドラインは「Article 29 Working Party Guidelines on transparency under Regulation 2016/679」P.26である旨明記すべき。WP29のガイドラインは多数ある。なお、わが国では”WP29”の訳語を個人情報保護委員会や国立国会図書館をはじめ99.9%が「作業部会」と訳している。その問題性は筆者のブログの(筆者注1)を参照されたい。
⑦ GDPR第14条には免責条項→「適用除外」条項とすべき。なお、第14条第5項(a),(b)を補記すべきであろう。
⑧ 第14条(5)→第14条第5項と記すべき。また「過大な努力」→「過大な負担」と訳すべき。
***********************************************************
(注9) GDPR第6条第1項後段参照。
(注10) GDPR第4条第17号において「代理人とは、EU域内に拠点のある自然人又は法人であって、第27条に従い、管理者又は処理者から書面によって指名され、本規則に基づく管理者又は処理者のそれぞれの義務に関して管理者又は処理者を代理する者のことを意味する」と定める。この定義に関し、実際はEU域内に設置する域外の海外法人の駐在員事務所、現地法人等を指すと考えるべきであろう。
**************************************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます