JETROのお仕事をしていると、多くの企業の方がJETROの資料を読み込んでらっしゃることを感じます。
ただ、GDPR施行前に作成されたもののためか、JETROの資料は少し難しいですね。結局何をしたらいいのかがわからない、となってしまっている印象があります。

英語が読めるのであれば、海外のGDPR紹介サイト（ICOのGDPRサイト）を読んで理解するほうが早いかもしれません。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。

—
2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
2.1　管理者の「主要な拠点」を特定する(Identify the ‘main establishment’ for controllers)

主要な拠点の場所を決定するためには、まず管理者の欧州内における統括拠点を特定する必要があります。GDPRでは、個人データの処理の目的と手段を決定している場所が統括拠点となります。また、そのような場所には処理の目的と手段を決定し、実装する権限があります。

GDPRで主監督機関を定める主な目的は、越境処理の監督を一つの欧州域内に存在する監督機関だけに行わせることにあります。
しかし、主監督機関は必ずしもひとつだけというわけではありません。

欧州統括拠点で越境処理活動についての決定が行われているのであれば、多国籍企業が行うさまざまなデータ処理活動を監督する主監督機関は一つだけとなります。一方で、欧州統括拠点以外の拠点が独立性を保っており、ある特定の処理活動について処理の目的と手段を決定している場合は、主監督機関が二つ以上となる可能性もあります。
（たとえば多国籍企業が異なる国で異なる処理活動について、意思決定を行う中心的な拠点を個別にもつ場合が該当（例２のケース））

企業はどこが処理の目的と手段を決定しているか、正確に特定する必要があります。
管理者、処理者は、主監督機関に対してDPOの選任の連絡やリスクのある処理活動についての相談を行うこととなりますので、管理者、処理者にとってもどの監督機関と協議を行う必要があるか明確になることは有益なことでしょう。

例１：食品小売会社の例
本社（統括拠点）がオランダのロッテルダムにある食品小売会社の例です。この会社は欧州域内のさまざまな国に拠点を持ち、それぞれの国の消費者と接点を持っています。
この会社ではマーケティング目的で、消費者の個人データを全社共通のソフトで管理しています。消費者の個人データの処理について、目的と手段を決定するのはロッテルダム本社です。この場合、この食品小売会社の越境処理についての主監督機関はオランダの監督機関となります。

例２：銀行の例
フランクフルトに本社がある銀行の例です。銀行業務の処理活動はすべて本社が主導していますが、保険部門はウィーンにあります。
もし、ウィーンの拠点が保険に関するデータ処理活動についての決定権をもち、欧州全体に対して実装を行っているのであれば、保険目的の越境処理についてはオーストリアの監督機関が主監督機関となります。銀行業務についての個人データ処理については、顧客の所在地がどこであろうと、ドイツの監督機関（ヘッセン監督機関）が監督することとなります。

一点注意が必要なことは、主監督機関を決めたら主監督機関としかやり取りをしなくなるというわけではありません。
地元の監督機関が監督に入る場合も依然として残ります。

GDPR前文127が示すように、ローカル事案については地元の監督機関が取り扱うことがあります。
「二つ以上の加盟国に拠点を持つ管理者、処理者について、主監督機関ではない各監督機関が一つの加盟国のみで行われている処理に関するローカル事案について取り扱う権限を保持する。例えば、加盟国の雇用に関連した従業員データ処理についてにの事案の場合等が該当する」

雇用に関連するHRデータについては複数の監督機関の監督下におかれる可能性があるということです。

日本の十分生認定については昨年からずっと議論が行われていました。
6月1日付の日経新聞には「個人データ相互移転 日欧が合意 今秋にも枠組み発効」という記事が出ていましたが、要注意です。

個人情報保護委員会の発表では「お互いの作業の進展について確認するとともに、可能な限り早期に、個人情報保護法第24条に基づく個人情報保護委員会によるEUの指定及びGDPR第45条に基づく欧州委員会による日本の十分性認定に係る手続を完了させるための作業を加速することに合意しました。」としか書かれていません。

7月にガイドラインを策定、秋に十分性認定の発行ということはどこにも書かれていません。
新聞、メディアはニュースになることを報道し、時に事実よりもニュース性を優先することがあるため、注意が必要です。
十分性認定が得られると、移転対策が容易になるといわれています。具体的には域外越境移転を適法化するためのSCC締結を省くことができるようになります。

一方で十分性認定は恒久的に有効であることは保証されていません。
定期的に見直され、場合によっては取り消しということも生じます。（アメリカのセーフ・ハーバーが取り消された例があります）

余裕がある企業はSCCを念のため締結しておくことがよいでしょう。

日経新聞ではベラ・ヨウロバー欧州委員のインタビューも掲載しています。記事の信憑性にやや疑念がついているのが残念ですが、以下のやり取りは参考になりますね。
データ漏洩等のデータ侵害事案がきっかけになることを暗示しています。

また、公的セクターへの取り締まりについても注意が必要です。
日本は公的セクターを取り締まることはないのですが、欧州は公的セクターを取り締まります。

GDPRの実効性がどこまであるかわかりませんが、公的セクターへの働きかけも生じるかもしれません。

=============
――日本企業など域外企業の中には体制整備が完了していないところもあります。

　「現在、日本企業について特定の問題は聞いていない。情報漏洩などの問題が起きれば、扱っているデータの量やそれまでとっていた予防措置などを勘案して処分を決めることになる」
　「民間企業だけでなく、公的セクターによる個人データの扱いも注視している。法的権限として認められている範囲を超えたデータを収集していないか、不要になったデータを削除せず抱え込んでいないかを確認したい」

データ主体は自身の個人データを事業者に対してある目的を達成するために実質上貸し出しています。
個人データを取扱っている事業者は「個人データ」を借り受けているという感覚が重要です。

アナロジーとして、友達に車を貸したときのことを考えてみてください。

いかがでしょう。「個人データ」をどう扱うかの肌感覚がわかればよいと思います。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。

—
1.主監督機関の特定：鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
1.3　主要な拠点(Main establishment)

主要な拠点については、GDPR第４条(16)の定義を参照してください。

as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;

二つ以上の加盟国に拠点がある管理者については、欧州における統括拠点のある場所のことです。ただし、欧州域内の管理者の別の拠点が処理の目的と手段を決め、その実装を決定する権限を持っている場合は、その拠点が主要な拠点とみなされます。

as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;

二つ以上の加盟国に拠点がある処理者については、欧州における統括拠点のある場所のことです。欧州域内に統括拠点がない場合、処理者がGDPRの適用を受け、処理者の拠点活動に関連して行われる主な処理活動が行われている
欧州内の処理者の拠点が主要な拠点となります。（ややこしいですね）

このブログではGDPRのガイドラインを読んでいますが、ガイドラインもわかりやすい英語で書かれていますので、できれば英文で読まれることを推奨いたします。
もちろんワーディングの背後には法律の専門家にしかわからない歴史もあるので、解釈については欧州のデータ・プライバシーに通暁した弁護士さんに相談するのが良いでしょう。

データ・プライバシーについての考え方は、イギリス、フランス、ドイツ、イタリア、スペイン、スウェーデン…と国によって少しずつ温度差があるようです。
したがって、主にビジネスをされている国のデータ・プライバシー専門の弁護士に問い合わせをできると一番良いでしょう。

ちなみに、個人情報保護委員会がガイドラインの仮訳を公表しています。現状以下が翻訳済みですが、今後すべて翻訳をしていく方針だと聞いています。

一般データ保護規則の前文 (PDF：654KB)
一般データ保護規則の条文 (PDF：1230KB)
データポータビリティの権利に関するガイドライン (PDF：1105KB)
データ保護オフィサー（DPO）に関するガイドライン (PDF：906KB)
管理者又は処理者の主監督機関を特定するためのガイドライン (PDF：596KB)
データ保護影響評価（DPIA）及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン (PDF：1152KB)

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。

—
1.主監督機関の特定：鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
1.2　主監督機関(Lead supervisory authority)

ひとことで言うと、「主監督機関」とはある組織の越境データ処理に関して主な対応責任を担う存在のことです。
例えばデータ主体が自身の個人データ処理（越境データ処理）について苦情申し立てをしたとき等に対応を取り纏めるのが主監督機関の役割となります。

主監督機関を決定する際に鍵となるのは、管理者の欧州における「主要な拠点(main establishment)」または「単一の拠点(single establishment)」です。

GDPR第56条を見てみましょう。

-the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the cross-border processing carried out by that controller or processor in accordance with the [cooperation] procedure provided in Article 60.

主要な拠点がある場所の監督機関または管理者、処理者の単一の拠点がある場所の監督機関は、
管理者、処理者が行う越境処理について、GDPR第60条で規定される「（協力）手順」に従いつつ、主監督機関としての役割を果たすものとする。

GDPRの次はePrivacy regulationというのが目下の話題です。
ePrivacy regulationでは行動ターゲティング広告が困難となるため、オンラインでビジネスをしている企業にとっては注意が必要です。

とはいっても、まだGDPR対応が間に合っていない企業も数多くあるため、データ・プライバシーの専門家はあと一年程度はGDPR対応で忙しい日々を過ごすこととなるかもしれません。
あと一年もすれば、Privacy NoticeやPrivacy Policyのフォーマットも固まり始めることでしょう。少しずつGDPR対応が定着していくことと思います。

このブログではずっとお伝えしていますが、GDPRさえ対応したら問題ない、という認識は誤っています。
世界中のデータ・プライバシーの兆候を常にモニターしておく必要があります。

新技術とプライバシーの関係も注意が必要な分野です。

IAPPの東京ナレッジチャプターでは、7月19日にISACAと合同で「AIとプライバシー」というテーマの勉強会を行います。
東京ですが、ご都合がつけば、ぜひいらっしゃってください。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。

—
1.主監督機関の特定：鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
1.1　「個人データの越境処理」(‘Cross-border processing of personal data’)
1.1.1　「大きな影響を与える」(‘Substantially affects’)
昨日の続きです。

さまざまな加盟国に所在する個人のデータを数多く（かなり多く）処理することが、すぐに大きな影響を与える（可能性がある）というわけではありません。
たとえデータ数が多くても大きな影響を与えない処理は、二つ目の定義でいう越境処理の要件を満たしません。

「大きな影響」がどういうものかについては監督機関の時々の判断にゆだねられることでしょう。
どういう文脈で処理されているのか、どのようなデータが処理されているのか、処理の目的は何かといったことの他、以下のことを考慮しておくことが大切です。

「大きな影響を与える(substantial effect)」かどうかの判断は、最終的には監督機関間での調整にゆだねられます。(GDPR前文135)

“snake oil”という言葉をきいたことはありますか？英語の俗語で、 「(万能薬と称して行商人の売る)いんちき薬（がまの膏の類）」のことです。
GDPRに関しては「これで万全」と謳った”snake oil”が数多く出回ったようです。内実は「セキュリティ関連商品」をパッケージ化して販売しようとするものであるそうです。
売るほうも売るほうですが、買うほうも買うほうで、GDPRが狂想曲の様相を呈している所以でしょう。ハウツーものが溢れかえる現代にあって、改めて「自分の頭で考える」力の大切さを感じます。

GDPR対応とは情報セキュリティと異なります。ある本では、データ保護(data protection)というのをやめてデータ・プライバシー(data privacy)と呼ぶのがよいと書いていました。データ・プライバシーという呼称はなかなかよいと思います。

引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。

—
1.主監督機関の特定：鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
1.1　「個人データの越境処理」(‘Cross-border processing of personal data’)
1.1.1　「大きな影響を与える」(‘Substantially affects’)

GDPR４条(23)の定義中に’substantially affects’（大きな影響を与える）とあるのは、「越境処理」の範囲がある程度限定されていることを示すためです。ある単一の拠点の活動に関連して生じる処理が少しでも他の国のデータ主体に影響を与えれば何が何でも越境処理として扱うべきものである、というわけではないということです。

‘substantial’とは「十分な(ample)」、「かなりの量、大きさ(considerable amount or size)」、「相当な大きさ(sizable)」、「かなり大きい(fairly large)」、といった意味です。あるいは「確固たる価値(solid worth or value)のある」、「本当に重要な(real significance)」、「確固たる(solid)」、「重要な(weighty)」、「大切な(important)」といった意味です。

‘affect’とは「影響を与える(to influence)」、「物質的な痕跡を与える(make a material impression on)」といった意味です。’affect’から派生している”effect”という名詞には「結果(results, consequence)」という意味があります。すなわち、「ある人に影響を与える(affect)データ処理」とは、その対象に「影響(impact)」を与えるものでなければならない、ということとなります。

つまり、個人に対して大きな影響を与えることがないようなデータ処理は「越境処理」の二つ目の定義に当てはまらないと判断できます。

しかし、同じデータが、管理者、処理者が複数の加盟国に所在し、欧州加盟国二つ以上に拠点が所在する管理者、処理者の活動の一環として処理される場合は、一つ目の定義に当てはまることとなります。

二つ目の定義については、「大きな影響がある(substantial effect)」可能性を考慮しなければなりません。「実際的な影響(actual effect)」があったかどうかはそれほど重要ではありません。
「恐れがある(likely to)」という言葉は「可能性」を指し示しているため、「可能性」があるのであれば二つ目の定義が当てはまると捕らえるべきでしょう。

（次回に続く）

プライバシーの専門家は5月25日をお祝いして過ごしたようです。
GDPRのカクテルレシピがありましたのでお楽しみください ^ ^

GDPRカクテル

7 fresh Raspberries
2 shot(60 ml) BarSol Supremo Most Verde Italia Pisco
1 shot(30 ml) Freshly squeezed pink grapefruit juice
1/2 shot(15 ml) Demerara sugar syrup (2 sugar to 1 water)

G: Grapefruit juice (preferably pink) 30 ml
D: Demerara sugar syrup (2:1) 15 ml
P: Pisco 45 ml
R: Raspberries 8 fresh

GDPRが施行されました。
IAPPでは「プライバシーの新時代の幕開け」として記念碑的な記事が掲載されています。
プライバシーの専門家たちは、この２年ほどGDPRにかかりっきりになっていました。2018年5月25日という一つの区切りにたどり着き、ちょっとした高揚感も感じます。

IAPPの会員数は2017年25,000名だったのが、先週40,000名を超えたとのことです。Data Privacyという非常に狭い分野の協会でこれだけの会員数の伸びが生じるのはまれな出来事でしょう。GDPRが世界に与えているインパクトの大きさをうかがい知れる数字です。

ところで、IAPPが会員向けに公開していたGDPR関連リソースを２ヶ月限定で公開しています。プライバイー・コンサルタントもしばしば参照しているサイトなので、ぜひこの機会をご活用ください。

JETROの相談では、まだまだGDPRの相談がたくさん来ているようです。遅ればせながら、日本の中小企業も少しずつ準備を始めているのでしょう。
私も国内さまざまなところを訪問させていただいています。

今日からは「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。
欧州で越境処理を行っている場合は「主監督機関」を決定することとなります。

—
今日は次の部分について読んでいきましょう。

1.主監督機関の特定：鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
1.1　「個人データの越境処理」(‘Cross-border processing of personal data’)

主監督機関を特定する必要が生じるのは、管理者、処理者が個人データの「越境処理」(GDPR 第4条(23))と呼ばれることを行っているときです。

「越境処理」の定義は以下の通りです：
– processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or
管理者、処理者の拠点が二つ以上の欧州加盟国にあり、二つ以上の欧州加盟国に所在する拠点の活動に関連して行われる個人データの処理

または、

– processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.
欧州内に所在する管理者、処理者の単一拠点の活動に関連して行われるが、二つ以上の加盟国に所在するデータ主体に大きな影響を及ぼす、またはお呼びし得る個人データの処理

たとえば、ある組織の拠点がフランスとルーマニアにあり、その活動の一環で個人データの処理が行われた場合、越境処理となります。
別の例では、ある組織がフランスにある拠点の活動に関連して個人データの処理を行っており、この処理がフランスおよびルーマニアのデータ主体に対して大きな影響を与える、または与え得る場合も越境処理となります。

本日はGDPRの施行日です。これまで５月25日に間に合わせるべくGDPRの準備を行ってきた方には、心からお疲れ様でしたとお伝えしたいと思います。
もちろん５月25日で準備が完了していない企業も多数あります。（こちらのほうが多数派のはずです）そういった方々は心配なさっているかもしれませんが、高い確率で心配される必要はないと思います。GDPRは継続的な活動であり、なすべきことを特定して粛々と進めていればよいものですから。

今日は、一つのマイルストーンとしての施行日であることから、GDPR後の話をしようと思います。

まず、Brexitについてです。

日本企業はイギリスに欧州本拠地をおいていることがしばしばあります。
2019年3月29日にはイギリスが欧州域外となるため、域外移転の適法化措置や主監督機関を変更するといった措置が必要となります。
同時にイギリス国内法であるData Protection Act(個人データ保護法)への準拠が必要となります。

もう10ヶ月ほどしかないので、対応を今から検討し始める必要があるでしょう。
私もまだ精査できていませんが、Data Protection Act(個人データ保護法)はGDPRよりも要件が高いという話です。
追加の対応が必要となる可能性があります。

次に、世界的なデータ保護の潮流を見逃してはなりません。

以下は、個人データの越境移転規制の拡大としてよく目にするものですが、越境移転規制を導入する国が増加しています。
欧州のみならず、こういった規制への対応も今後は迫られてくるでしょう。特にアジア圏は日本の企業が数多く活動している地域です。
こういった地域への対応も注意しておかなければなりません。個人データ保護の対応が欧州に限らないというのは、世界的にデータ保護の概念が急速に導入されていることにあります。

【個人データの越境移転規制の拡大】
■ 第1期：
EU （データ保護指令）(1995)、香港(1996)、オーストラリア(2000)
■ 第2期：
韓国(2011)、インド(2011)、台湾(2012)、マレーシア(2013)、ベトナム(2013)、シンガポール(2014)、
ブラジル(2014)、インドネシア(2016)、日本(2017)、フィリピン(2017)、EU(GDPR）(2018)

このブログでも何度か指摘しているように、いわゆる「データローカライゼーション」の動きにも注意が必要です。
データローカライゼーションでは「個人データ」を超えて「非個人データ」の移転も規制するため、製品開発等への影響も避けられず問題は更に複雑化してきます。
どういうデータが規制され、国外移転についてどのような要件があるかを専門家と確認してください。

中国のインターネット安全法に関連して、マイクロソフトは中国で取得するデータは中国のデータセンターにしか保存しないという対応をとっていると聞きました。
こういった対応が今後ますます重要になる可能性があります。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

日本の個人情報保護委員会や個人情報保護委員会に関連した団体は「日本」のデータ保護を議論しています。
これは当然のことなのですが、議論が内向きな印象が否めません。

あくまでも「日本」がどう権利を護り、「日本」の存在をどう世界に発信していくか、という議論が主となっている印象です。
なんとなく聞き手の共感を得にくい気がします。お酒の場で自分の立場や自分の考え方にこだわって主張する人の話を聞いても面白くないようなものです。
立場がそうさせているのだと思いますが、データ保護という世界のダイナミックな動きの中でもったいないと思います。

CBPRの構想は世界に自信を持って発信すべき構想だと思いますし、促進させるためにはもっとインセンティブを事業者に与えればよい気もします。

この国にはあるべき姿を発信し、強力に前進させていくという力が必要です。

昨日の続きです。
今日は制裁金が2000万ユーロまたは前会計年度の全世界売上高の４％以下のいずれか高額の方の金額が上限となる場合について解説します。

GDPR第83項(5)が該当箇所です。
制裁金が2000万ユーロまたは前会計年度の全世界売上高の４％以下のいずれか高額の方の金額が上限となる場合は以下の場合です。

(a) GDPRの原則(GDPR第５条、GDPR第６条、GDPR第７条、GDPR第９条)に違反した場合
(b) データ主体の権利（GDPR第12条 – GDPR第22条）に違反した場合
(c) 第三国又は国際機関に個人データを違法に移転した場合（GDPR第44条 – GDPR第49条）
(d) GDPR９章（GDPR第85条 – GDPR第91条）で採択された各国法による義務に違反した場合
(e) 監督機関の命令に従わなかった場合(GDPR第58条(2))または監督機関の調査に協力できなかった場合(GDPR第58条(1))

(a)、(b)の具体的な事項については以下を参照ください。

【第５条】の違反（対象：管理者、処理者）
個人データが、適法に、公正かつ透明性のある方法で処理されなかった場合。
個人データが、明確、かつ適法な目的のために収集されなかった場合。
個人データが、特定された目的と異なる目的で処理された場合。
個人データの処理が、必要最小限に限定されていなかった場合。
個人データが、目的に照らして必要な期間を超えて、データ主体が識別可能な状態で保存されていた場合。
個人データの処理に際し、適切な技術的又は組織的措置が講じられていなかった場合。

【第６条】の違反（対象：管理者、処理者）
適法根拠を満たさずに個人データを処理した場合。

【第７条】の違反（対象：管理者、処理者）
１項：適法根拠として同意を用いているにもかかわらず、管理者が同意を証明できなかった場合。
２項：明瞭で平易な言葉、わかりやすいアクセス性のよいフォームを用い、範囲が明確であるべきという同意の要件を満たさなかった場合。
３項：同意を撤回する権利があることをデータ主体に情報提供していなかった場合。

【第９条】の違反（対象：管理者、処理者）
適用除外事由がないにもかかわらず、特別カテゴリーの個人データ処理を行った場合。

【第12条】の違反（対象：管理者）
１項：データ主体に対する情報提供を行っていなかった場合。
２項：データ主体の権利行使を可能としていない場合。正当な理由なくデータ主体の権利行使を拒んだ場合。
３項：データ主体の権利行使に対して、正当な理由なく１ヶ月以内にデータ主体に情報提供できなかった場合。
４項：データ主体の権利行使に対する拒否理由を１ヶ月以内に通知しなかった場合。
５項：情報通知や権利行使対応、データ侵害通知を、正当な理由なく有償で行った場合。

【第13条、第14条】の違反（対象：管理者）
第13条、第14条で定める、データ主体に対する情報提供を行わなかった場合。

【第15条】の違反（対象：管理者）
データ主体のアクセス権を拒否した場合。処理しているデータの写しの提供を拒否した場合。

【第16条】の違反（対象：管理者）
データ主体の訂正権に応じなかった場合。

【第17条】の違反（対象：管理者）
データ主体の削除権に応じなかった場合。
データの開示先に対して削除権行使があった旨を連絡し、データ削除を行わせなかった場合。

【第18条】の違反（対象：管理者）
データ主体の制限権行使に対して適切な制限方策を施さなかった場合。

【第19条】の違反（対象：管理者）
個人データの訂正、消去、処理の制限について受領者やデータ主体への通知義務を怠った場合。

【第20条】の違反（対象：管理者）
データポータビリティの権利に基づくデータ主体の権利行使を拒否した場合。

【第21条】の違反（対象：管理者）
ダイレクトマーケティングのための個人データ処理についてデータ主体から異議を唱えられたにもかかわらず、それを拒否した場合。

【第22条】の違反（対象：管理者）
自動化された処理のみに基づいてデータ主体に大きな影響を与える決定を行った場合。
データ主体の権利、自由、正当な利益を護るための適切な保護措置を実施しなかった場合。

【第12条 – 第22条】の違反（対象：管理者、処理者）
データ主体の権利行使を尊重しなかった場合。