ii.執行制度枠組み
GDPRでは以下の3つの枠組みによって、EU域内のすべての監督当局で一貫性のあるGDPRの適用がなされていることを保障します。
(a)監督当局に対する調査および是正権限の付与
(b)ワンストップ・ショップ制度
(c)一貫性制度
(a)監督当局の権限
監督当局は、調査権限、是正権限、および承認・勧告権限を有しています。
調査権限の例としては、監督当局が管理者/処理者に対して、任務遂行のために必要とされる情報提供を命じること、データ保護監査の名目での調査の実行することなどが挙げられます。
是正権限の例としては、意図する処理業務がGDPRの条項に違反しそうである場合に管理者/処理者に対し警告を行うこと、データ主体による権利行使の要請を遵守するよう管理者/処理者に命令を行うこと、個別の事案の事情に応じて制裁金を賦課すること、第三国の受領者または国際機関へのデータ移転の停止を命じることなどが挙げられます。
承認・勧告権限の例としては、管理者に対しGDPR第36条の事前相談手続に沿って勧告を行うこと、GDPR第47条に従って拘束的企業準則を承認することなどが挙げられます。
(b)ワンストップ・ショップ制度
ワンストップ・ショップ制度は、複数の加盟国内に拠点を有する管理者/処理者の処理を担当する監督当局を一つに集中させることを狙いとしています。具体的には、管理者/処理者の主たる拠点の監督当局が、国境を越えた処理に関する主要監督当局としての役割を果たし、管理者/処理者にとって、越境での処理に関わる唯一の窓口となります。
主要監督当局は、意見の一致を図り、すべての関連情報を交換するよう、他の関連する監督当局と協力します。主要監督当局は、他の監督当局が相互支援や共同作業を行うよう要請し、特に、他の加盟国内に拠点をもつ管理者/処理者に関わる調査や対策実施の監督を行います。
もっとも、各監督当局は、違反被疑事実がある加盟国内の拠点にのみ関係する場合、または当該加盟国内のデータ主体にのみ実質的な影響を与える場合には、受けつけた苦情申立てに対処する権限を持ちます。
(c)一貫性制度
一貫性制度とは、監督当局間に協力構造を作り、GDPRの一貫した適用を保障する仕組みのことをいいます。各EU加盟国の監督当局の代表者および欧州データ保護監視官局からなる欧州データ保護会議(European Data Protection Board 「EDPB」)が、第29条作業部会が担っていた諮問機関としての機能と新しい上級委員会の機能を持つことになります。
諮問機関としてのEDPBは、GDPR条項の実施に影響を与える判断を監督当局が行う場合、例えば、監督当局が複数の加盟国における処理行為に関連する行動規範の承認を行う場合などに意見を述べます。
上級委員会としてのEDPBは、監督当局の間で決定案に関する意見の相違がある場合や、義務付けられているにも関わらず監督当局がEDPBに意見を求めなかった場合、およびその意見に従わなかった場合に、自ら拘束力のある判断を採択します。
以上の通り、EDPBにはGDPRの執行において重い役割が与えられています。
次号ではGDPRの処理の原則について説明します。
- 第1回:EUで始まる新しい一般データ保護規則「GDPR」とは?
- 第2回:新しい一般データ保護規則概説(2) - GDPRの適用範囲と執行制度
- 第3回:新しい一般データ保護規則概説(3) - 個人データ処理の要件および個人データのセキュリティ
- 第4回:新しい一般データ保護規則概説(4) - データ保護責任者(Data Protection Officer)の要件
- 第5回:新しい一般データ保護規則概説(5)データ保護影響評価およびデータ保護監督当局との事前相談
・IIJプライバシー保護規制対応ソリューション
・IIJ DPOアウトソーシングサービス
杉本 武重
S&K Brussels法律事務所 代表パートナー
弁護士(日本、ニューヨーク州、ブリュッセル(B-List))
2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年ウィルマーヘイル法律事務所ブリュッセルオフィス、2017年ギブソン・ダン・クラッチャー法律事務所ブリュッセルオフィス、2018年バード・アンド・バード法律事務所ブリュッセルオフィス・パートナーを経て、2019年S&K Brussels法律事務所を創業し 代表パートナーに就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。