GDPR

2000万ユーロまたは全世界売上高の4%の制裁金となるケース

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

日本の個人情報保護委員会や個人情報保護委員会に関連した団体は「日本」のデータ保護を議論しています。
これは当然のことなのですが、議論が内向きな印象が否めません。

あくまでも「日本」がどう権利を護り、「日本」の存在をどう世界に発信していくか、という議論が主となっている印象です。
なんとなく聞き手の共感を得にくい気がします。お酒の場で自分の立場や自分の考え方にこだわって主張する人の話を聞いても面白くないようなものです。
立場がそうさせているのだと思いますが、データ保護という世界のダイナミックな動きの中でもったいないと思います。

CBPRの構想は世界に自信を持って発信すべき構想だと思いますし、促進させるためにはもっとインセンティブを事業者に与えればよい気もします。

この国にはあるべき姿を発信し、強力に前進させていくという力が必要です。

昨日の続きです。
今日は制裁金が2000万ユーロまたは前会計年度の全世界売上高の4%以下のいずれか高額の方の金額が上限となる場合について解説します。

GDPR第83項(5)が該当箇所です。
制裁金が2000万ユーロまたは前会計年度の全世界売上高の4%以下のいずれか高額の方の金額が上限となる場合は以下の場合です。

(a) GDPRの原則(GDPR第5条GDPR第6条GDPR第7条GDPR第9条)に違反した場合
(b) データ主体の権利(GDPR第12条 – GDPR第22条)に違反した場合
(c) 第三国又は国際機関に個人データを違法に移転した場合(GDPR第44条 – GDPR第49条)
(d) GDPR9章(GDPR第85条 – GDPR第91条)で採択された各国法による義務に違反した場合
(e) 監督機関の命令に従わなかった場合(GDPR第58条(2))または監督機関の調査に協力できなかった場合(GDPR第58条(1))

(a)、(b)の具体的な事項については以下を参照ください。

第5条】の違反(対象:管理者、処理者)
個人データが、適法に、公正かつ透明性のある方法で処理されなかった場合。
個人データが、明確、かつ適法な目的のために収集されなかった場合。
個人データが、特定された目的と異なる目的で処理された場合。
個人データの処理が、必要最小限に限定されていなかった場合。
個人データが、目的に照らして必要な期間を超えて、データ主体が識別可能な状態で保存されていた場合。
個人データの処理に際し、適切な技術的又は組織的措置が講じられていなかった場合。

第6条】の違反(対象:管理者、処理者)
適法根拠を満たさずに個人データを処理した場合。

第7条】の違反(対象:管理者、処理者)
1項:適法根拠として同意を用いているにもかかわらず、管理者が同意を証明できなかった場合。
2項:明瞭で平易な言葉、わかりやすいアクセス性のよいフォームを用い、範囲が明確であるべきという同意の要件を満たさなかった場合。
3項:同意を撤回する権利があることをデータ主体に情報提供していなかった場合。

第9条】の違反(対象:管理者、処理者)
適用除外事由がないにもかかわらず、特別カテゴリーの個人データ処理を行った場合。

第12条】の違反(対象:管理者)
1項:データ主体に対する情報提供を行っていなかった場合。
2項:データ主体の権利行使を可能としていない場合。正当な理由なくデータ主体の権利行使を拒んだ場合。
3項:データ主体の権利行使に対して、正当な理由なく1ヶ月以内にデータ主体に情報提供できなかった場合。
4項:データ主体の権利行使に対する拒否理由を1ヶ月以内に通知しなかった場合。
5項:情報通知や権利行使対応、データ侵害通知を、正当な理由なく有償で行った場合。

第13条第14条】の違反(対象:管理者)
第13条、第14条で定める、データ主体に対する情報提供を行わなかった場合。

第15条】の違反(対象:管理者)
データ主体のアクセス権を拒否した場合。処理しているデータの写しの提供を拒否した場合。

第16条】の違反(対象:管理者)
データ主体の訂正権に応じなかった場合。

第17条】の違反(対象:管理者)
データ主体の削除権に応じなかった場合。
データの開示先に対して削除権行使があった旨を連絡し、データ削除を行わせなかった場合。

第18条】の違反(対象:管理者)
データ主体の制限権行使に対して適切な制限方策を施さなかった場合。

第19条】の違反(対象:管理者)
個人データの訂正、消去、処理の制限について受領者やデータ主体への通知義務を怠った場合。

第20条】の違反(対象:管理者)
データポータビリティの権利に基づくデータ主体の権利行使を拒否した場合。

第21条】の違反(対象:管理者)
ダイレクトマーケティングのための個人データ処理についてデータ主体から異議を唱えられたにもかかわらず、それを拒否した場合。

第22条】の違反(対象:管理者)
自動化された処理のみに基づいてデータ主体に大きな影響を与える決定を行った場合。
データ主体の権利、自由、正当な利益を護るための適切な保護措置を実施しなかった場合。

【第12条 – 第22条】の違反(対象:管理者、処理者)
データ主体の権利行使を尊重しなかった場合。