ビジネス全般 規制

日本語訳!GDPR(一般データ保護規則)

個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則

Table of Contents

第1章 総則

第1条 対象事項と目的

  1. 本規則は、個人データの取扱いに係る自然人の保護に関する規定及び個人データの自由な流通に関する規定を定める。
  2. 本規則は、自然人の基本的権利及び自由、並びに、特に彼らの個人データ保護の権利を保護する。
  3. EU 域内の個人データの自由な移動は、個人データの取扱いに係る自然人の保護に関連する理由によって、制限又は禁止されてはならない。

第2条 実体的範囲

  1.  本規則は、全部又は一部が自動的な手段による個人データの取扱いに適用される。ファイリングシステムの一部である、又はファイリングシステムの一部にすることが意図された個人データの自動的な手段以外の取扱いにも適用される。
  2.  本規則は、次に掲げる個人データの取扱いには適用されない。
    1. EU法の適用を受けない活動における個人データの取扱い。
    2. EU条約、第5 編第2 章の適用を受ける活動を行う際の加盟国による個人データの取扱い。
    3. 全面的に個人的な又は家庭内の活動における自然人による個人データの取扱い。
    4. 公共の安全への脅威に対する保護及び防止を含む、犯罪の防止、捜査、探知、起訴、又
      は刑事罰を科すために所管官庁が行う個人データの取扱い。
  3. EU機関、団体、事業体及び行政機関による個人データの取扱いに関しては、規則 (EC) No 45/2001 が適用される。規則 (EC) No 45/2001 及び個人データの当該取扱いに適用可能な他のEU法令は、第98 条に従って本規則の原則及び規定に適合されなければならない。
  4. 本規則は、指令2000/31/EC の適用を妨げるものではない。特に、当該指令の第12 条から第15条における仲介サービス・プロバイダーの責任に関する規則の適用を妨げるものではない。

第3条 地理的範囲

  1. 本規則は、EU 域内の管理者又は取扱者の事業所の活動に関連してなされる個人データの取扱
    いに適用される。この場合、その取扱いがEU 域内又は域外でなされるか否かについては問わ
    ない。
  2. 本規則は、EU 域内に拠点のない管理者又は取扱者によるEU 在住のデータ主体の個人データの取扱いに適用される。ただし、取扱い活動が次に掲げる項目に関連しているものに限られる。
    1. EU 在住のデータ主体に対する商品又はサービスの提供に関する取扱い。この場合、データ主体に支払が要求されるか否かについては問わない。
    2. EU 域内で行われるデータ主体の行動の監視に関する取扱い。
  3. 本規則は、EU 域内に拠点を持たない管理者による個人データの取扱いにも適用されるが、国際公法により加盟国の国内法が適用される場所にある管理者による取扱いの場合に限られる。

第4条 定義

本規則において、

  1. 「個人データ」とは、識別された又は識別され得る自然人(以下「データ主体」という。)に関するあらゆる情報を意味する。識別され得る自然人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得る者をいう。
  2. 「取扱い」とは、自動的な手段であるか否かにかかわらず、個人データ又は個人データの集合に対して行われるあらゆる作業又は一連の作業をいう。この作業は、取得、記録、編集、構造化、保存、修正又は変更、復旧、参照、利用、移転による開示、周知又はその他周知を可能なものにすること、整列又は結合、制限、消去又は破壊することをいう。
  3. 「取扱いの制限」とは、将来の個人データの取扱いを限定する目的で、保存された個人データに留意することをいう。
  4. 「プロファイリング」とは、自然人に関するある一定の個人的な側面を評価するために、特に、自然人の業務実績、経済状況、健康、個人的嗜好、興味、信頼、行動、所在又は移動に関連する側面の分析又は予測をするためになされる、個人データの利用から成る個人データのあらゆる形態の自動的な処理をいう。
  5. 「仮名化」とは、追加の情報が分離して保管され、識別された又は識別され得る自然人に個人データが帰属しないことを保証する技術的及び組織的措置をとることによって、当該追加の情報を利用せずに個人データがもはや特定のデータ主体に帰属しないような方法で、個人データを処理することをいう。
  6. 「ファイリングシステム」とは、機能的又は地理的にみて、集結、分散、あるいは拡散されているか否かを問わず、特定の基準に従ってアクセスできる、あらゆる構造化された個人データの集合をいう。
  7. 「管理者」とは、単独で又は他と共同して、個人データの取扱いの目的及び手段を決定する自然人、法人、公的機関、行政機関又はその他の団体をいう。当該取扱いの目的及び手段がEU法又は加盟国の国内法によって決定される場合には、管理者又は管理者の指定に関する特定の基準は、EU 法又は加盟国の国内法をもって定めることができる。
  8. 「取扱者」とは、管理者のために個人データの取扱いを行う自然人、法人、公的機関、行政機関又はその他の団体をいう。
  9. 「取得者」とは、第三者であるか否かにかかわらず、データの開示を受ける自然人、法人、公的機関、行政機関又はその他の団体をいう。ただし、EU 法又は加盟国の国内法に従って特定の調査の枠内で個人データを取得する公共機関は、取得者とみなされない。これら公共機関による当該データの取扱いは、取扱いの目的に応じて適用されるデータ保護規定に従わなければならない。
  10. 「第三者」とは、データ主体、管理者、取扱者及び管理者又は取扱者の直接の職権下でデータを取り扱う権限を与えられている者以外の自然人、法人、公的機関、行政機関又はその他の団体をいう。
  11. データ主体の「同意」とは、強制を受けず、、特定的に、情報提供を受けたうえでかつ曖昧でないデータ主体の意思表示であることを意味する。その意思は、当該データ主体が、宣言又は明らかな積極的行為によって、自己に係る個人データの取扱いに合意(agreement)して表すものとする。
  12. 「個人データ侵害」とは、移転、保存又はその他の取扱いがなされた個人データに対する偶発的又は違法な破壊、滅失、変更、許可されていない開示又はアクセスをもたらすセキュリティ侵害をいう。
  13. 「遺伝データ」とは、自然人の生理機能又は健康に関する固有の情報を与え、特に当該自然人からの生物的サンプルの分析から得られる、継承又は獲得した自然人の遺伝的特性に関わる個人データをいう。
  14. 「生体データ」とは、顔画像又は指紋確証データのように、当該自然人に特有の識別性を認められる又は確かめられる、自然人の身体的、生理的又は行動的特性に関する特定の技術的処理から得られる個人データをいう。
  15. 健康に関するデータ」とは、医療サービスへの提供状況を含む健康状態についての情報を明らかにする自然人の身体的又は精神的な健康に関する個人データをいう。
  16. 「主たる事業所」とは
    1. 複数の加盟国において事業所を持つ管理者についていえば、EU 域内において中央本部がある場所をいう。ただし、個人データの取扱いの目的及び手段の決定がEU 域内の管理者の他の事業所で行われておらず、当該他の事業所が当該実施決定に権限を持っていない場合に限る。この場合、当該決定が行われる事業所が主たる事業所と考えられるためである。
    2. 複数の加盟国において事業所を持つ取扱者についていえば、EU 域内の中央本部がある場所をいう。ただし、取扱者がEU 域内に中央本部を持たない場合には、取扱者が本規則に基づく特定の義務に服する範囲で、取扱者の事業所の活動に関連する主な取扱い活動が行われているEU 域内の取扱者の事業所をいう。
  17. 「代理人」とは、第27 条により管理者又は取扱者によって書面で指名され、本規則に基づく管理者又は取扱者の各々の義務に関して彼等の代理をするEU 域内におかれた自然人又は法人をいう。
  18. 「事業者」とは、法律上の形式を問わず、経済活動に従事している共同経営会社又は組織を含む経済活動に従事している自然人又は法人をいう。
  19. 「事業体グループ」とは、統轄事業体及びその統轄下にある事業体をいう。
  20. 「拘束的企業準則」とは、事業体グループ又は共同経済活動に従事する事業者グループ内で、一カ国又は複数の第三国における管理者又は取扱者に対して個人データ移転又は一連の個人データ移転のため、加盟国の領域上にある管理者又は取扱者によって遵守される個人データ保護方針をいう。
  21. 「監督機関」とは、第51 条により加盟国によって設立された独立した公的機関をいう。
  22. 「関係監督機関」とは、次に掲げるいずれかの事由により、個人データの取扱いに関係する監督機関をいう。
    1. 管理者又は取扱者が当該監督機関の加盟国の領域内に存在する。
    2. 当該監督機関の加盟国に居住するデータ主体が、当該取扱いによって実質的に影響を受けているか、又は実質的に影響を受け得る。
    3. 当該監督機関に苦情が申し立てられている。
  23. 「越境的取扱い」とは、次に掲げる事項のいずれかをいう。
    1. 管理者又は取扱者が複数加盟国で存在する場合、EU 域内の管理者又は取扱者の複数加盟国における事業所の活動に関連して行われる個人データの取扱い。
    2. EU 域内の管理者又は取扱者の単一の事業所の個人データの取扱いであるが、複数加盟国のデータ主体に実質的に影響を及ぼすか、又は影響を及ぼし得るような活動に関連して行われる個人データの取扱い。
  24. 「適切かつ合理的異議申立て」とは、本規則違反があるか否か、又は管理者若しくは取扱者による予定された行動が本規則に遵守しているか否かということに関して、データ主体の基本的権利及び自由並びに、適用がある場合、EU 域内の個人データの自由な移転に関する決定案によって提起されるリスクの重大性を明白に証明した不服申立てをいう。
  25. 「情報社会サービス」は欧州議会及び理事会の指令(EU) 2015/1535 の第1 条第1 項(b)で定義されたサービスをいう。
  26. 「国際組織」とは、国際公法によって規律されている組織及びその下部組織又は、二カ国以上の国家間の協定によって組織される若しくは右規定に基づくその他団体をいう。

第2章 諸原則

第5条 個人データの取扱いに関する原則

  1. 個人データは、
    1. データ主体との関係において、適法、公正かつ透明性のある手段で取り扱われなければならない。(適法性、公正性及び透明性の原則
    2. 特定された、明確かつ適法な目的のために収集されなければならず、これら目的と相容れない方法で更なる取り扱いがなされてはならない。ただし、公共の利益における保管目的、科学的若しくは歴史的研究の目的又は統計目的のための更なる取扱いは、第89条第1項により、当初の目的と相容れない方法とはみなされない。(目的の限定の原則
    3. 取り扱われる目的の必要性に照らして、適切であり、関連性があり、最小限に限られていなければならない。(データの最小化の原則
    4. 正確であり、必要な場合には最新に保たなければならない。取り扱われる目的に照らして、不正確な個人データが遅滞なく消去又は訂正されるのを確保するため、あらゆる合理的な手段が講じられなければならない。(正確性の原則
    5. 当該個人データが取り扱われる目的に必要な期間を超えない範囲で、データ主体の識別が可能な状態で保存されなければならない。個人データは長期間保存されてもよいが、個人データが第89条第1項に従った公共の利益における保管目的、科学的若しくは歴史的研究の目的又は統計目的だけに取り扱われることに限るものとし、データ主体の権利と自由を保護するため本規則によって求められる適切な技術的及び組織的対策の実施を条件とする。(保存の制限の原則
    6. 当該個人データの適切なセキュリティを確保する方法で取り扱われなければならない。それは、無権限の又は違法な取扱いに対する保護、及び偶発的な滅失、破壊、又は損壊に対する保護を含むものとし、適切な技術的又は組織的対策を用いるものとする。(完全性及び機密性の原則
  2. 管理者は第1 項の義務を負い、その遵守を証明可能にしなければならない。(アカウンタビリティの原則

第6条 適法な取扱い

第7条 同意の条件

第8条 情報社会サービスに関する子どもの同意に対して適用される条件

第9条 特別な種類の個人データの取扱い

第10条 有罪判決及び犯罪に係る個人データの取扱い

第11条 識別を要求しない取扱い

第3章 データ主体の権利

第1節 透明性及び手続

第12条 データ主体の権利行使のための透明性のある情報、通知及び手続

第2 節 情報及び個人データへのアクセス

第13条 データ主体から個人データを収集する場合に提供される情報

第14条 データ主体から個人データを取得しない場合に提供される情報

第15条 データ主体のアクセス権

第3節 訂正及び消去

第16条 訂正の権利

第17条 消去の権利(忘れられる権利)

第18条 取扱い制限の権利

第19 条 個人データの訂正若しくは消去又は取扱いの制限に関する通知義務

第20条 データポータビリティーの権利

第4節 異議を唱える権利及び個人に対する自動化された意思決定

第21条 異議を唱える権利

第22条 プロファイリングを含む自動化された個人意思決定

第5節 制限

第23 条 制限

第4 章 管理者及び取扱者

第1節 一般的義務

第24条 管理者の責任

第25条 データ保護バイデザイン及びデータ保護バイデフォルト

第26条 共同管理者

第27条 EU 域内に拠点のない管理者又は取扱者の代理人

第28条 取扱者

第29条 管理者又は取扱者の権限下での取扱い

第30条 取扱い活動の記録

第31条 監督機関との協力

第2節 個人データの保護

第32条 取扱いの保護

第33条 個人データ侵害の監督機関への通知

第34条 データ主体への個人データ侵害の通知

第3節 データ保護影響評価及び事前協議

第35条 データ保護影響評価

第36条 事前協議

第4節 データ保護オフィサー

第37条 データ保護オフィサーの指名

第38条 データ保護オフィサーの地位

第39条 データ保護オフィサーの業務

第5節 行動規範及び認証

第40条 行動規範

第41条 承認された行動規範の監視

第42条 認証

第43条 認証機関

第5章 第三国又は国際機関への個人データ移転

第44条 移転に関する一般原則

第45条 十分性決定に基づく移転

第46条 適切な保護措置に従った移転

第47条 拘束的企業準則

第48条 EU 法によって認められていない移転又は開示

第49条 特定の状況における例外

第50条 個人データ保護に関する国際協力

第6章 独立監督機関

第1節 独立的地位

第51条 監督機関

第52条 独立性

第53条 監督機関のメンバーに関する一般的条件

第54条 監督機関の設置規則

第2節 管轄、業務及び権限

第55条 管轄

第56条 主監督機関の管轄

第57条 業務

第58条 権限

第59条 活動報告

第7章 協力及び一貫性

第1節 協力

第60条 主監督機関とその他関係監督機関との協力

第61条 相互支援

第62条 監督機関の共同作業

第2節 一貫性

第63条 一貫性メカニズム

第64条 欧州データ保護会議の意見

第65条 欧州データ保護会議による紛争解決

第66条 緊急手続

第67条 情報の交換

第3節 欧州データ保護会議

第68条 欧州データ保護会議

第69条 独立性

第70条 欧州データ保護会議の業務

第71条 報告

第72条 手続

第73条 議長

第74条 議長の業務

第75条 事務局

第76条 機密性

第8章 救済、法的責任及び制裁

第77条 監督機関への不服申立ての権利

第78条 監督機関に対する効果的な司法救済の権利

第79条 管理者又は取扱者に対する効果的な司法救済

第80条 データ主体の代理人

第81条 訴訟の一時停止

第82条 賠償請求権及び法的責任

第83条 制裁金の一般条件

第84条 罰則

第9章 特別な取扱い状況に関する条項

第85条 取扱いと表現及び情報の自由

第86条 取扱いと公式文書へのパブリックアクセス

第87条 取扱いと国民識別番号

第88条 職場における取扱い

第89条 公共の利益における保管目的、科学的若しくは歴史的研究の目的又は統計目的のための取扱いに関する保護措置及び例外

第90条 守秘義務

第91条 教会及び宗教組織の既存のデータ保護規則

第10章 委任行為及び実施行為

第92条 委任の行使

第93条 委員会の手続

第11章 最終条項

第94条 指令95/46/EC の廃止

第95条 欧州指令2002/58/EC との関係

第96条 事前に締結されていた条約との関係

第97条 欧州委員会報告

第98条 データ保護に関するその他EU 法の見直し

第99条 施行及び適用

-ビジネス全般, 規制

© 2024 RWE