スキップしてメイン コンテンツに移動

ポーランドの個人情報保護局長によるGDPR第14条違反に基づく最初の罰金の法執行(その3完)

 

Last Update: 5 may, 2019

(4) 標準契約条項

 起業家はまず、ECによって承認されたデータ保護に関する標準的な契約条項の使用について検討すべきである。

現在、欧州委員会の次の3つの決定が適用される。

1)EU情報保護指令(95/46 / EC)に基づく、個人データの第三国への移転に関する標準契約条項に関する2001/497 / ECの決定 (決定書の本文は、次のWebサイトで入手できる)

2) 2001/497 / ECの修正の決定2004/915 / ECによる、個人データの第三国への移転に関する標準契約条項の代替セットの導入に関する決定。( 決定書の本文は、次のWebサイトで入手できる)

3)欧州議会および理事会の指令95/46 / ECに基づき、第三国で確立された処理者への個人データの移転に関する標準契約条項に関する決定2010/87 / EU 。これにより、第三国の処理者へのデータ移転が可能になる。 決定書の本文は、次のWebサイトで入手できる。

(5) 拘束的企業準則 

 国際的な企業グループは、GDPRで規定されている整合性の手順の中で、UODOの個人データ保護監査総監室長(Inspector General for Personal Data Protection)またはUE加盟国からのデータ保護当局によって以前に承認された拘束的企業準則を使用することもできる。従来の拘束的企業準則は、第三国のグループに英国からのデータの輸入者を含めることによって修正しなければならないことを覚えておく必要がある。

(6)公共部門におけるデータ移転にかかる保障

 公的機関および団体によるデータ移転は、公的機関および団体間の法的拘束力および執行可能な手段に基づいて、個人情報保護局長の同意を得る必要なしに行い得る。公的機関またはデータ主体の法的強制力のある有効な権利を規定する団体間の管理上の取り決めに基づいて、個人情報保護局長の同意を得てデータ移転を行うことも可能である。(注9)

(7) 第49条 特定の状況における例外措置

 GDPRは、適切なレベルの保護を保証していない、または標準契約条項や拘束的企業準則などの適切な保護が確保されていない場合でも、第三国へのデータ移転を許可する。GDPRの第49条に言及されているその特定の状況とは次のとおりである。

1)データ主体は、適切な決定および適切な保護措置がないためにデータ主体にそのような移転が発生する可能性のあるリスクについて知らされた後に、提案された移転に明示的に同意した場合、その同意は以下の条件を満たす必要があることを強調しておく。

①明示的に

②特に移転または一連のデータ移転に関するものであること。

③特に同意を表明する人は、移転に関連する可能性のあるリスクの可能性を認識している必要があること。

2)データ主体と管理者との間の契約の履行、またはデータ主体の要求に応じて取られる事前契約上の措置の実施のために、移転が必要な場合。

3)移転が管理者と他の自然人または法人との間のデータ主体の利益のために締結された契約の締結または履行のために必要であること。

4)公共の利益の重要な理由のために移転が必要な場合。

5)移転は、法的主張の立証、行使または抗弁のために必要である場合。

6)データ主体が肉体的または法的に同意を得られない場合において、データ主体または他の者の重大な利益を保護するために移転が必要な場合。

7)移転は公的登録簿から行われること。

8)移転は、管理者が追求する合法的な利益を強制するために必要であり、追加要件が満たされていること。

 欧州データ保護委員会は、ガイドラインでデータ移転の上記の理由を詳細に説明している。

(8) 特に英国でサービスを提供する際にポーランド人のデータを処理する起業家の扱い

 GDPRは、次の場合、起業家に関しEU内に存在する人物に関するデータの処理に直接適用されるため、EU内に存在しない管理者や処理者に関するデータの処理にも適用される。

①データ主体の支払いが必要であるかどうかにかかわらず、商品またはサービスを欧州連合内のそのようなデータ主体に提供すること。 または ② 彼らの行動が彼らの行動の範囲内で行われる限り、彼らの行動の監視は欧州連合域内で行われること。 

 そのような起業家の場合、管理者または処理者は書面によりEU域内の代理人(注10)を書面で商品やサービスの提供に関連してデータが処理されるデータ主体、または行動が監視されるデータ主体を特定しなければならない。

 起業家は、自らによって行う処理が時折であり、大規模な場合には、特別なカテゴリーのデータの処理、または刑事有罪判決および犯罪に関連する個人データの処理を含まない場合、その処理の性質、文脈、範囲および目的を考慮して、自然人の権利および自由に対するリスクにより好ましくない結果をもたらす場合は、代理人を指名しなければならない。

(9) その他

欧州データ保護委員会(EDPB)は、GDPRの適用領域範囲に関するガイドライン(英語版)の第一版(3/2018)を採択した。

【付録(1)】

ポーランドのGDPRに準拠した国内法令の整備状況の遅れや具体的手続きの遅れ等

 (1)はじめに

 前述のとおり、ポーランドのRödl&Partnerの弁護士グジェゴシュ・ゲンボレック( Grzegorz Gęborek) 氏の(2)以下で述べる簡単な報告(2018.6他)を読むと、議会におけるかなり立法措置など対応の遅れやUODOの解釈の混乱はあったことは間違いなかろう、しかし、一方でUODO局長ほか事務方はこの遅れを回復すべく努力していることもウェブサイトの内容からみて間違いない。 

 これに関し特記すべき点は、ポーランド、イタリア、スペイン、ブルガリア、およびクロアチアの保護法強化にかかるEUプロジェクトの1つである「T4DATA」プロジェクトに監督機関や国内の企業、公的行政機関に向けた共同作業の成果である。T4DATAプロジェクトは、欧州連合の「権利、平等および市民権プログラム(2014-2020)」によって共同資金提供されている。

T4DATAの活動の経緯を以下、まとめておく。

①ザグレブでのT4DATAプロジェクトパートナーの最初の会議

T4DATAプロジェクト:データ保護権限とデータ保護担当者のトレーニング

②情報セキュリティ管理者のためのトレーニングがある。

公共部門からの情報セキュリティ管理者 - 将来のデータ保護責任者 - のためのトレーニングがあるであろう。

③T4DATAプロジェクトの枠組み内でのトレーナーのための国境を越えた訓練

T4DATAプロジェクトの枠組み内でのトレーナーのための国境を越えた訓練、2018年10月8〜10日、ワルシャワで開催

④ワルシャワで開催されたT4DATAプロジェクトパートナーの第2回会議

2018年10月11日、T4DATAプロジェクトのパートナー。 議論の主なトピックは、公共部門で働くデータ保護責任者である。

⑤行政の代表者を対象とした新しい研修構想

2019年の5月と6月に、ヨーロッパと国連のための国家委員会個人データの保護 このイニシアチブはデータ保護担当者に向けられている。

 (2)ポーランドのGDPRの国内法対応他の仮訳

 ポーランドのデータ保護制度改革はまだ進行中の作業であり、今後数カ月のうちに終了することを示すものは何もない。議会の議員たちは2018年5月25日のGDPRの実施期限を守ることができず、約300の法令にまたがる業界固有の規制すべてを修正することができなかった。 ポーランドの法律をGDPRと調整するために設定された2年間の準備期間の後、ポーランドの新しい個人データ保護法(Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych;ACT of 10 May 2018 on the Protection of Personal Data)がぎりぎりの5月10日に採択、成立した。この国内法は2018年5月25日に施行され、一部の選択された法律(Ustawaの1頁の注記で関係法が列挙されている)を改正する規定が含まれている。 残りの法律は後で修正される予定であるため、データ保護法の大幅な修正はまだ行われると考えられる。法律自体だけでなく、それらの法律を実施する「規則」も改正する必要がある(規則案はまだ準備できていない)。  

(3) ポーランドの法律改革が現在も進行形 

 医療法などの高度に専門化された法律分野、または労働法などの事業に関連する法律における個人データ保護法令の日々の適用に関して、多数の懸念や疑問が生じている。雇用主や人事部門は、この範囲内で首尾一貫した法的枠組みを提供されないまま、求職者および従業員の個人データの処理をGDPRの要件に合わせるという困難な課題に直面している。その結果、個人データ処理の拘束力のある法令への準拠を確実にするためにとられるすべての措置は、新しい法律および規則に対応して数回にわたる検証および再修正される必要があるが、まだ数ヶ月以内にはそれらの措置は成立しそうもない。 

(4) 個人情報保護局(UODO)の最近時の積極的な活動 

 しかし、最近になって、ポーランドの監督当局である個人情報保護局[UODOの局長がより積極的になり、例えば、1)データ保護法の最も重要な変更に関するトレーニング・イベントを開催したり、2)ハンドブックを発行した。 局長の最も注目すべき活動は、2018年10月5日に開催された個人データ保護に関する雇用者の義務に関するトレーニング・セッションを含み、それは最初に保護局の個人データ保護検査官に向けられた。 このイベントの素晴らしいプラス面は、それがオンラインで利用可能だったということであった。  

 このトレーニング中に、データ保護局の専門家が、募集中および雇用期間を通じて個人データを処理する方法について指示を出した。研修 参加者は状況に応じた手順を教えられ、その結果、事務所の運営の最初の数ヶ月間および事務所主導の社会的協議の間に、UODOに向けられた質問に対する回答を受けた。  

(5) 職場における個人情報保護に関するガイドブック 

 データ保護局の検査官は、ビデオ監視を含むあらゆる形態の従業員監視を定期的に調査している。これは最終的に労働法で規制されている。このトピックは、トレーニングセッション中にも議論された。 このトレーニングイベントは、「職場における個人情報保護・雇用者のための手引き(Ochrona danych osobowych w miejscu pracy)」というガイドブックの発行にあわせ開催された。なお、同ガイドブックは事務所のウェブサイトで入手可能である。 

 このガイドブックは、企業グループ内での個人データの非常に物議を醸すデータ移転、臨時労働仲介機関等を通じて臨時労働者を雇用する場合の役割の確立など、国境を越えた業務を行う企業にとって非常に重要な実務上の多くの問題に対処したものでる。雇用者による新技術の使用に関し、ガイドブックは(ⅰ)就職活動、(ⅱ)採用プロセス、(ⅲ)雇用期間、および(ⅳ)労働法によって規制されているもの以外の雇用形態の4つのトピック分野をカバーしている。 

 これらトレーニングとガイドブックに大きな関心があるにもかかわらず、人事関係のデータ保護に関連するすべての問題を網羅しているわけではない。さらに、ガイドブックやトレーニング中に提示された意見のいくつかは、教義上の懸念を引き起こしている。 

(6) 更なる課題

 複雑で時々不明確な法令対応のために、UODOの見解は誤解され、その結果、誤って実行され、それは企業の解釈に害をもたらすかもしれない。その例としては、法律で厳格に規定されている場合にのみ求職者から同意を得る義務の欠如が広く議論されているが、これには労働法典に記載されていない非標準個人データの転送は含まれない。

(7) まとめ

 現時点では、データ保護法に違反したことによる制裁の可能性を回避できる実用的な人事ソリューションを指摘することは困難であるし、現実に3月26日に保護局長は22万ユーロの罰金を科した。その違反事実の詳細はうかがい知れないが、同国内への海外企業の悪影響は間違いなかろう。

 さらに、注目すべきことに、GDPR第83条に規定されEU全域に適用される行政上の罰金の他に、ポーランド議会の議員は新しいポーランドのデータ保護法(GDPRの下で許可されている)に「刑事罰」を導入した。 これは、UODOの局長のガイドブックにコメントすることをいっそう困難にする。 一方で、このガイドブックは、データ処理検査中のアプローチに影響を与える可能性がある監督当局の好みを反映している。またデータ処理に関わるすべての関係者が最初にGDPRを、次にGDPRと矛盾しない限り国内法を遵守しなければならないのに対し、場合によってはまったく珍しいと思われるその解釈は法律の根拠がない場合があり、実務上の混乱は避けられないであろう。

【付録(2)】

TechCrunch記事の要修正・追加が必要と思われる箇所

① 罰金金額800万ユーロの円換算の約99億8500万円は計算ミス→約9億9600万円が正しい。

② 「第14条の補足説明にある」・・具体的に何をさすのかが不明→EU指令第29条専門家会議の透明性に関するガイドラインP.26以下を引用すべき。

③「 欧州の最高裁判所」は誤り→「欧州司法裁判所」も誤り→「欧州連合司法裁判所」の訳語が正しい。

④ 苦情を訴える→異議申立てが正しい訳語。

⑤データ主体への通知期間の根拠条文として第14条第3項(a), (b)を追記すべき。

⑥ 2017年11月29日に採択されたWP29のガイドラインは「Article 29 Working Party Guidelines on transparency under Regulation 2016/679」P.26である旨明記すべき。WP29のガイドラインは多数ある。なお、わが国では”WP29”の訳語を個人情報保護委員会や国立国会図書館をはじめ99.9%が「作業部会」と訳している。その問題性は筆者のブログの(筆者注1)を参照されたい。

⑦ GDPR第14条には免責条項→「適用除外」条項とすべき。なお、第14条第5項(a),(b)を補記すべきであろう。

⑧ 第14条(5)→第14条第5項と記すべき。また「過大な努力」→「過大な負担」と訳すべき。

***********************************************************

(注9) GDPR第6条第1項後段参照。

(注10) GDPR第4条第17号において「代理人とは、EU域内に拠点のある自然人又は法人であって、第27条に従い、管理者又は処理者から書面によって指名され、本規則に基づく管理者又は処理者のそれぞれの義務に関して管理者又は処理者を代理する者のことを意味する」と定める。この定義に関し、実際はEU域内に設置する域外の海外法人の駐在員事務所、現地法人等を指すと考えるべきであろう。

**************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...