「データ保護指令」カテゴリーアーカイブ

【報告】ドイツ:DPAが定めた制裁金額の査定方法

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2019年10月1日から新たな会員料金のルールが適用されています。2019年9月までの有料会員の方は次回の自動更新を解除しましたので、継続を希望される方は大変お手数ですが再登録をお願いします。

2019年10月8日の報告です。 ドイツのDPAが売上に比例した制裁金額の査定方法を発表しました。「全世界の売上高」にグループ会社がはいるのか、それともドイツ国内の拠点のみで計算されるのか、といった従来から不明確だった点が明確化されたほか、全体的に金額が上がる傾向となっています。

それにしても、ドイツとは面白い国です。合理性が徹底しています。合理性は、フォルクスワーゲンのケースのように出発点を間違えてしまうと大問題となる反面、適切に活用すれば、このガイダンスのように私たちの理解を助けてくれるものとなります。合理性もツールでしかなく、だれがどう扱うか次第ということでしょう。

 

【報告】ドイツ:DPAが定めた制裁金額の査定方法

【報告】忘れられる権利:オンライン・ホストの提供業者は世界中のデータを削除(CJEU)

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2019年10月1日から新たな会員料金のルールが適用されています。2019年9月までの有料会員の方は次回の自動更新を解除しましたので、継続を希望される方は大変お手数ですが再登録をお願いします。

2019年10月4日の報告です。 CJEUのもう一つの興味深い判断です。あくまで国際法に準拠しつつとなりますが、欧州の忘れられる権利は全世界に対して適用されるという判断がCJEUによって出されています。

【報告】忘れられる権利:オンライン・ホストの提供業者は世界中のデータを削除(CJEU)

 

【報告】CJEU:Cookie についての判断(詳細報告)

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2019年10月1日から新たな会員料金のルールが適用されています。2019年9月までの有料会員の方は次回の自動更新を解除しましたので、継続を希望される方は大変お手数ですが再登録をお願いします。

2019年10月3日の報告です。 Cookieの設置には有効な同意が必要との判断をCJEUが出しました。保管期間の明記も要求しているため、大きな影響を与える判断として注目を集めています。

【報告】Cookieについて:Cookieの保管にはユーザの能動的な同意が必要(CJEU)

このケースはデータ保護指令に基づいて判断されていますが、それでもなお、opt-out形式のCookie設置への同意は違法だという判断がされた点が注目されます。

Cookieの同意の在り方が大きく変わるでしょう。

Cookie同意ツールは月額1000円程度から利用可能です。ご関心のある方はお問い合わせください。

今回の判断のポイントは以下です:

  1. データ保護指令、ePrivacy 指令、GDPRのもとではopt-out形式のcookieへの同意は違法となる
  2. Cookieが取得するデータが個人データでなくても同意に対する要件は個人データに対する要件と同等のものが適用される
  3. ユーザはcookieの保存期間、サード・パーティーがアクセス可能かについて情報を提供されていなければならない。

CJEUのCookie Case(英語)

 

【報告】CJEU:Cookie についての判断

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

もうご存じの方も多いと思いますが、CJEUがCookieの同意についての判断を示しました。このケースはデータ保護指令に基づいて判断されていますが、それでもなお、opt-out形式のCookie設置への同意は違法だという判断がされた点が注目されます。

Cookieの同意の在り方が大きく変わるでしょう。

Cookie同意ツールは月額1000円程度から利用可能です。ご関心のある方はお問い合わせください。

今回の判断のポイントは以下です:

  1. データ保護指令、ePrivacy 指令、GDPRのもとではopt-out形式のcookieへの同意は違法となる
  2. Cookieが取得するデータが個人データでなくても同意に対する要件は個人データに対する要件と同等のものが適用される
  3. ユーザはcookieの保存期間、サード・パーティーがアクセス可能かについて情報を提供されていなければならない。

CJEUのCookie Case(英語)

 

 

データ保護指令(Data Protection Directive: 95/46/EC)と欧州一般データ保護規則(General Data Protection Regulation)

欧州の歴史を振り返ると一つのキーワードが浮かび上がってくる。
“Harmonization”(調和)である。

私が初めて海外法規や規格に関わるようになった時、”Harmonization”という言葉がしばらくピンとこなかった。
ほぼ同質化した文化を前提とし、半ば同質化することを当然視している日本人にとって、”Harmonize”(調和する)という行為自体が非日常的なものかもしれない。

しかし、欧州は事情が違う。力が相克し、大きな痛みを経てきた欧州では、その反省を踏まえて「欧州の統合」という試みを行ってきた。
近年のギリシャ債権問題やBREXIT問題で「失敗」を揶揄されているが、平和と安定への切実な願いから、欧州は「共同体」として協調する術を模索し続けてきた。

データ保護指令(Data Protection Directive: 95/46/EC)は、欧州で現在施行されているdata protection(データ保護)に係る指令だ。
「指令」とは「法律」ではなく、「法律」を作るうえでの「青写真」である。

産業界で使用されている「低電圧指令」や「機械指令」といったものも、同じ位置づけで、「法律」ではなくその「土台」を規定する。
実際の法令は、各国が制定する。「調和」するためには、大きな概念を定め、「中身」は加盟国が決めて良いというバランス感覚がその背後にある。

データ保護指令(Data Protection Directive: 95/46/EC)に置き換わる欧州一般データ保護規則(General Data Protection Regulation: 以下GDPR)は、他方「規則」=「義務」である。
各国が「法律」を定めずとも、「義務」として欧州連合加盟国は遵守しなければならない。車関係の型式認証で知られている「Regulation(規則)」も同じ位置づけである。

「Directive (指令)」と「Regulation (規則)」を使い分ける理由はただ一つだ。
欧州連合加盟国で「単一のルール」を設定したいときには「Regulation (規則)」を作成し、ある程度ばらつきを許容する時には「Directive (指令)」で対応する、というイメージでほぼ間違いはないだろう。
「協調」を模索する社会では、加盟国の自由を尊重するために「Directive (指令)」が好まれる。「Regulation (規則)」が用いられるのは、もしくは「国と国との間の相違」が共同体の経済運営上効率性を阻害する場合となる。

data protection(データ保護)は、当初「Directive (指令)」で運用された。しかし、加盟国間の相違点が、特にデータの越境移動時に問題となることが多くなり、経済運営上効率性を阻害するようになった。
GDPRが制定された背景はそこにある。

ちなみに、GDPRは自由度も残している。GDPRの条項のうち約50の条項については加盟国ごとに明確化、除外規定を設定してもよいこととなっている。
GDPRの解釈についての助言を行うのがWP 29 (The Aerticle 29 Working Party)である。WP29はデータ保護指令(Data Protection Directive: 95/46/EC)に対して設置された専門部会で、”Opinion”を公表しその正式な解釈を示してきた。
“Opinion”には法的拘束力はないが、欧州の監督機関はWP29の助言に基づいて判断を行うため、実質的に拘束力を持っている。

なお、GDPRが施行されるまでは、GDPRについての”Opinion”も公表する。GDPR施行後はWP29は廃止され、European Data Protection Board (EDPB)がその地位継承する。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。