EU 一般データ保護規則 – 制度の厳格化 / The European General Data Protection Regulation – a Harsher Regime

EU 一般データ保護規則 – 制度の厳格化 / The European General Data Protection Regulation – a Harsher Regime's Tags

Tags related to this article

EU 一般データ保護規則 – 制度の厳格化 / The European General Data Protection Regulation – a Harsher Regime

Published 4 julio 2017

EU 一般データ保護規則 制度の厳格化

EU 一般データ保護規則 (General Data Protection Regulation: GDPR) が 2018 年 5 月 25 日に施行されます。これに伴い、EU 以外にある企業であっても、GDPR 規制の対象になる可能性が出てきます。現在の制度に準拠している企業は GDPR によって大幅な変更を迫られるでしょう。また、EU に事業所を全く持たない海外で事業展開している企業であっても影響を受けることが考えられます。イギリスが EU から脱退するまでの時間を考慮しても、脱退発効後しばらくの間はイギリスも GDPR の適用対象となるでしょう。

日本企業においては、EU 内で取引があるかどうかに関わらず次の点に注意が必要です。

幅広い適用範囲

  • 適用対象となる企業が次のように拡大されます。(a) EU 在住者を対象とした商品やサービスを提供する企業、及び (b) EU在住者の行動を監視する (Cookie の使用など) 企業。
  • 新規適用対象となるが EU 内に事業所を持たない企業の場合は、EU 内に代表者を指名する必要があります。

データ主体の権利

EU データ保護法は、データ主体 (処理されるデータから特定される個人) に対し複数の権利を規定しています。これらの権利が GDPR によって強化されます。

  • データ主体によるアクセス権
  • データ移転の権利
  • データの消去権
  • データのプロファイリング (嗜好分析) およびダイレクト マーケティングに異議を唱える権利

施行

  • 深刻な違反には、全世界での売上高の 4% または 2,000 万ユーロのどちらか高いほうが罰金として課せられます。
  • EU での監督機関は (1) 監査権および (2) 個人データ (広範に見て存命中の個人を特定できるすべてのデータ) 処理の停止要求権を持ちます。

公正な処理の通知

  • データ主体には、本人のデータがどのように処理されるのかを事前に通知する必要があります。GDPR によってより詳細で包括的な通知の様式や内容の要件が導入されます。

同意

  • 個人データの処理に同意は必須ではありませんが、GDPR の施行後は同意を得る手続きに非常に厳しい規定が加わります。つまり、同意したと見なされる状況が限定的になります。

説明責任

  • 企業は、随時検査可能な方針や手続きを通じて、GDPR に準拠していることを実証する必要があります。データ処理の記録も残す必要があります。

セキュリティ

  • 個人データを保護するための適切なセキュリティを実装する必要があります。個人データの処理者は個人の代表として強固な契約を結ぶ必要があります。
  • 個人の権利と自由を侵す可能性が高いセキュリティ違反があった場合は、72 時間以内に関連する監督機関に通知する必要があります。
  • データ主体の権利と自由を侵す可能性が高いセキュリティ違反があった場は、データ主体にも通知する必要があります。

データ保護担当者

  • 大規模で組織的な個人の監視を実施する場合は、データ保護官 (Data Protection Officer: DPO) を任命する必要があります。
  • DPO は独立した立場を貫き、作業の実施方法について指示を受けることがあってはなりません。また、報告は最高権威を持つ経営者に直接します。

データ保護委員会

  • 独立機関である欧州データ保護委員会が現在の作業部会を引き継ぎます。委員会は、各国の監督機関の代表で構成されます。委員会の任務は、意見および助言の提出、一貫性のある GDPR の適用、および欧州委員会への報告などとなります。

現代は、保存・処理される電子データがますます膨大化する時代にあります。DAC Beachcroft の情報法部門ではより厳格になる GDPR への抵触を確実に避けたい日系企業の皆様のコンプライアンスを支援いたします。

 

The European General Data Protection Regulation – a Harsher Regime

When the European General Data Protection Regulation ("GDPR") becomes effective on 25 May 2018, many organisations located outside of the EU will suddenly find themselves within the scope of the GDPR. The GDPR will require substantial changes for businesses that are already complying with the current regime and the regulation may even impact companies operating overseas who have no physical presence within the EU. Given the length of time it is likely to take for the UK to leave the EU, the GDPR will most probably continue to apply in respect of the UK too for a reasonable period of time after its effective date.

Japanese businesses, whether or not trading within the EU should note the following:

Wider Scope

  • Expanded territorial scope to govern companies (a) targeting goods and services at European residents; and (b) monitoring the behaviour of European residents (for example, by using cookies)
  • For those caught by this new scope, but without an establishment in Europe, they must appoint a representative in Europe

Data Subject Rights

European data protection law provides "data subjects" (i.e. the person whose data is being processed) with a number of rights, many of which have been enhanced under the GDPR, including:

  • Right of subject access
  • Right of data portability
  • Right of erasure
  • Right to object to profiling and direct marketing

Enforcement

  • Fines for the most serious breaches of up to 4% of worldwide turnover or 20 million euros, whichever is higher
  • Supervisory authorities in Europe will have the power to (i) audit and (ii) require organisations to cease processing "personal data" (broadly, anything which identifies a living individual)

Fair Processing Notices

  • Data subjects need to be provided with notices telling them how their data will be processed. The GDPR introduces more specific and comprehensive requirements for content and format of these notices

Consent

  • Consent is not always required to process personal data but, when it is required, the GDPR introduces a much higher threshold, meaning there will only be limited circumstances when it may be relied upon

Accountability

  • Organisations will need to demonstrate their compliance with the GDPR through policies and procedures which can be inspected on request. Records of data processing also need to be maintained

Security

  • Appropriate security needs to be in place to protect personal data. Processors of personal data on your behalf need to be subject to robust contracts
  • The relevant supervisory authority needs to be notified within 72 hours where a security breach is likely to result in a risk to the rights and freedoms of individuals
  • Data subjects must be notified of data breaches where there is a high risk to their rights and freedoms

Data Protection Officers

  • A data protection officer ("DPO") must be appointed if you carry out large scale systematic monitoring of individuals
  • The DPO must be independent, and must not be instructed on how to carry out his/her role and must report directly to the highest level of management

Data Protection Board

  • An independent European Data Protection Board is to replace the current Working Party and will be made up of senior representatives of the national supervisory authorities. Its obligations include issuing opinions and guidance, ensuring consistent application of the GDPR and reporting to the European Commission

We are in an era where increasingly vast quantities of data are stored and processed electronically. DAC Beachcroft's Information Law Practice is able to assist Japanese companies with their compliance programs to ensure you do not fall foul of the harsher compliance regime being introduced by the GDPR.

Authors

Jade Kowalski

Jade Kowalski

London - Walbrook

+44(0)20 7894 6744

< Back to articles