GDPRの是正措置について

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

GDPRの施行日がが迫ってきていますので、今日から3日間はGDPRの是正措置について書いておきます。
GDPR対応のお祭り騒ぎはGDPRの高額な制裁金に由来しているのですが、いきなり制裁金が課せられることはありません。

まず警告があり、その後指導し、それでも遵守されないときに発動されるのが制裁金であることを頭にとどめておいてほしいと思います。
日本企業の一番まずい点は、「こういう対応をしていたら安全だ」と形だけを整えてあとは何もしない、適当にPDCAを回しておくという態度です。
それも大切なのですが、本当に大切なのは現地で監督機関に気軽に尋ねていっていろいろ相談をしながら一緒に問題解決を図ってくれる存在です。

そうやって監督機関と信頼関係を築きながらともにデータ保護体制を整えるようなことができるようになればそれがベストな対策というべきでしょう。

では、GDPRの是正措置について書いていきます。

GDPR第58項(1)によると、監督機関には次の権限があります。

(a) 管理者、処理者(該当する場合は管理者、処理者の代理人)に対して業務を行うために必要な情報提供をするように命じる
(b) データ保護監査という形で調査を実施する
(c) 発行された認証のレビューを実施する
(d) GDPR違反の申し立てがあった場合、管理者または処理者に通知する
(e) 業務を行ううえで必要となるあらゆる個人データへのアクセスと関連情報を管理者、処理者から入手する
(f) EU又は加盟国の手続法に従って、管理者、処理者の持つ、あらゆるデータ処理装置や手段へのアクセスを含め、敷地内にアクセスする

権限行使の結果、是正措置が必要となる場合については、GDPR第58条(2)でその種類が示されています。
ちなみに、制裁金について記載されているGDPR第83条(2)には、GDPR第58条(2)の(a)から(h)および(j)に追加して、またはそれらの代わりとして制裁金を課す、と記載しています。GDPR第58条(2)(i)は「制裁金を課す」というものなのですこし回りくどい書き方です。

以下、是正措置を見ておきましょう。

(a) 意図された処理業務がGDPR違反となる恐れがある場合、警告を発する
(b) 処理業務がGDPR違反となっている場合、管理者、処理者に戒告を発する
(c) GDPRに基づくデータ主体の権利行使要求への対応を管理者、処理者に命ずる
(d) 管理者、処理者に対して、処理業務をGDPRに準拠したものとさせる。該当する場合は指定の方法、かつ指定期間内に命ずる
(e) データ主体に対してデータ侵害が生じたことを通知するよう管理者に命じる
(f) 処理の禁止を含む、一時的または永続的な制限を行う
(g) 個人データ処理の修正、削除、制限に対応するよう命じる。開示先に対して修正、削除、制限に対応するよう通知することを命じる
(h) 認証を取り下げる。認証団体に発行した認証を取り下げるよう命じる。認証の要件が合致しなくなった場合は認証団体が認証をそれ以上出さないよう命じる
(i) 制裁金を課する。各状況に応じて本項目に記載されていることの代わりまたは本項目に記載されていることに追加して制裁金を課する。
(j) 第三国または国際組織内の受領者へのデータ・フローをいったん停止するよう命じる

次回からはは制裁金の金額と違反内容について説明します。