先日、ある会議で隣り合った人と名刺交換をしました。その方はアメリカのネット・セキュリティー会社にお勤めの方で、「GDPRの対応で忙しいですか?」と聞くと「もうひと段落着いたかな」との回答でした。「日本は遅れているみたいですね」というのがどうも外資系の方の印象のようです。
日本企業は「横並び」という評価をたまに耳にします。国民性なのかもしれませんが、それでずいぶんもったいないことをしているのも事実です。緻密な議論は得意でも、大きく動くという点ではなかなか腰が重いのでしょう。
欧州については大企業で70%くらい完了した状態のようです。中小企業になるとnothingという答えが返ってくることも多いようで、その点については日本と状況がそれほど変わらないようです。
今日は制裁金の金額と根拠条項をひとつずつつき合わせておきましょう。
今日は制裁金が1000万ユーロまたは前会計年度の全世界売上高の2%以下のいずれか高額の方の金額が上限となる場合について解説します。
GDPR第83項(4)が該当箇所です。
【第8条】の違反(対象:管理者、処理者)
1項:子供の保護責任者による同意または許可を得ることなく子供に情報社会サービスを直接提供した場合。(子供の年齢は13歳 – 16歳未満)
2項:子供の保護責任者による同意または許可を得たという状況を証明できるよう合理的なを怠った場合。(子供の年齢は13歳 – 16歳未満)
【第11条】の違反(対象:管理者)
2項:データ主体を識別する立場にないことを証明でき、その旨をデータ主体に通知できるときにデータ主体に通知しなかった場合。
【第26条(1)(2)】の違反(対象:管理者)
1項:共同管理者であるとき、その責任分掌を合意によって取り決めていない場合。
2項(1):共同管理者間の責任分掌が合意の通りとなっていない場合。
2項(2):共同管理者間の合意のエッセンスをデータ主体が入手できない場合。
【第27条】の違反(対象:管理者、処理者)
義務があるのに代理人を書面によって選任していない場合。
【第28条(1)】の違反(対象:管理者)
GDPRの要件を満たす技術的、組織的措置の実施をを十分保証できない処理者を利用した場合。
【第28条(2)(3)(4)(9)】の違反(対象:処理者)
2項:管理者から書面による許可を得ず他の処理者を使用した場合。管理者への通知を怠ったり、管理者が異議を唱える機会を提供しなかった場合。
3項、9項:処理者契約またはその他の法的行為によらず処理者が処理を行った場合。契約等が書面(電子的方法を含む)で行われなかった場合。
4項:処理者の使用する処理者に対して、管理者-処理者間で定められた契約条項と同一のデータ保護義務を課すことを行った場合。
【第29条】の違反(対象:処理者)
管理者の指示に基づかずに個人データを処理した場合。
【第30条】の違反(対象:管理者、処理者)
1項 – 3項:処理記録を行わなかった場合。(書面(電子方式を含む)がない場合を含む)
4項:監督機関からの要求に対し、処理記録を提供しなかった場合。
【第31条】の違反(対象:管理者、処理者)
監督機関の要求に対して協力しなかった場合。
【第32条】の違反(対象:管理者、処理者)
1項:リスクに見合った適切な技術的および組織的な措置を講じなかった場合
4項:個人データを処理可能な人物が、管理者からの指示以外で個人データを処理することがないような手立てを講じなかった場合。
【第33条(1)-(3)、(5)】の違反(対象:管理者、処理者)
1項 – 3項:監督機関への通知義務を怠った場合。
5項:個人データ侵害について文書による記録義務を怠った場合。
【第34条(1)(2)】の違反(対象:管理者、処理者)
個人データ侵害をデータ主体に連絡する義務を怠った場合
【第35条(1)(2)(3)(7)(9)】の違反(対象:管理者)
1項、3項、7項:DPIA実施を怠った場合。
2項:DPIAを行うに当たって、DPOのサポートを求めなかった場合
9項:DPIAを行い、データ主体またはその代理人の意見を求める義務があるときに求めなかった場合
【第36条(3)】の違反(対象:管理者)
DPIAについて監督機関に相談する際、必要な情報を提供しなかった場合
【第37条(1)(4)(7)】の違反(対象:管理者、処理者)
1項、4項:DPOを選任義務違反があった場合。
7項:データ保護責任者の連絡先を公開しなかった場合、または監督機関に通知しなかった場合。
【第38条(1)-(3)、(6)】の違反(対象:管理者、処理者)
DPOの関与を確保しなかった場合。
DPOに必要なサポートを提供しなかった場合。
DPOの独立性を確保しなかった場合。
利益相反を招かない状況を確保しなかった場合。