« 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06 | Main | 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」 »

2021.10.21

欧州データ保護委員会 (EDPB) GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインを採択

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB)が、GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインを採択していますね。。。

日本でも参考になるかもですね。。。

 

European Data Protection Board: EDPB

・2021.10.19 EDPB adopts Guidelines on restrictions of data subject rights under Article 23 GDPR following public consultation

EDPB adopts Guidelines on restrictions of data subject rights under Article 23 GDPR following public consultation EDPB、GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインを公開協議を経て採択
During its October plenary, the EDPB adopted a final version of the Guidelines on restrictions of data subject rights under Art. 23 GDPR following public consultation. The guidelines aim to recall the conditions surrounding the use of such restrictions by Member States or the EU legislator in light of the Charter of Fundamental Rights and the GDPR. They provide a thorough analysis of the criteria to apply restrictions, the assessments that need to be observed, how data subjects can exercise their rights after the restrictions are lifted, and the consequences of infringements of Art. 23 GDPR. Additionally, the guidelines analyse how the legislative measures setting out the restrictions need to meet the foreseeability requirement and examine the grounds for the restrictions listed by Art. 23(1) GDPR, and the obligations and rights which may be restricted. EDPBは、10月の本会議において、GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインの最終版を、公開協議の後に採択しました。このガイドラインは、基本権憲章およびGDPRに照らして、加盟国またはEUの立法者がこのような制限を使用する際の条件を想起することを目的としています。このガイドラインは、制限を適用するための基準、遵守すべき評価、制限解除後にデータ主体が権利を行使する方法、GDPR第23条を侵害した場合の結果などを徹底的に分析しています。GDPR第23条 さらに、このガイドラインでは、制限を定めた立法措置がどのように予見可能性の要件を満たす必要があるかを分析し、GDPR第23条(1)で挙げられている制限の理由を検討しています。また、GDPR第23条(1)で挙げられている制限の根拠や、制限される可能性のある義務や権利についても検討しています。

 

・[PDF

20211020-174933

 

目次です。。。。

1 Introduction  1 序論
2 The meaning of restrictions  2 制限の意味
3  Requirements of Article 23(1) GDPR 3 GDPR第23条(1)の要件
3.1  Respect of the essence of the fundamental rights and freedoms 3.1 基本的権利及び自由の本質の尊重
3.2  Legislative measures laying down restrictions and the need to be foreseeable (Recital 41 and CJEU case law)  3.2 制限を定めた立法措置と予見可能であることの必要性(説明文41及びCJEU判例)
3.3  Grounds for the restrictions 3.3 制限の根拠
3.3.1  National security, defence and public security 3.3.1 国家安全保障、防衛、公共の安全
3.3.2  Prevention, investigation, detection and prosecution of criminal offences or the execution of criminal penalties including the safeguarding against and the prevention of threats to public security 3.3.2 公共の安全への脅威に対する保護と予防を含む、刑事犯罪の予防、捜査、発見、起訴または刑事罰の執行
3.3.3  Other important objectives of general public interest 3.3.3 一般的な公共の利益のためのその他の重要な目的
3.3.4  Protection of judicial independence and judicial proceedings 3.3.4 司法の独立性および司法手続きの保護 
3.3.5  Prevention, investigation, detection and prosecution of breaches of ethics for regulated professions 3.3.5 規制対象となる職業の倫理違反の予防、調査、検知、起訴
3.3.6  Monitoring, inspection or regulatory function connected to the exercise of official authority in the cases referred to in points (a) to (e) and (g) of Article 23 GDPR 3.3.6 GDPR第23条の(a)~(e)及び(g)に言及されている場合の公権力の行使に関連する監視、検査又は規制機能
3.3.7  Protection of the data subject or the rights and freedoms of others 3.3.7 データ対象者または他者の権利および自由の保護
3.3.8  Enforcement of civil law claims 3.3.8 市民法上の請求権の行使
3.4  Data subjects’ rights and controller’s obligations which may be restricted 3.4 制限される可能性のあるデータ対象者の権利及び管理者の義務
3.5  Necessity and proportionality test 3.5 必要性及び比例性テスト
4  Requirements of Article 23(2) GDPR 4 GDPR第23条(2)項の要件
4.1  Categories of personal data 4.1 個人データのカテゴリー
4.2  Scope of the restrictions 4.2 制限の範囲
4.3  Safeguards to prevent abuse or unlawful access or transfer 4.3 濫用または違法なアクセスもしくは移転を防止するためのセーフガード
4.4  Specification of the controller 4.4 管理者の指定
4.5  Storage periods 4.5 保存期間
4.6  Risks to data subjects’ rights and freedoms 4.6 データ対象者の権利及び自由に対するリスク
4.7  Right to be informed about the restriction, unless prejudicial to the purpose of the  restriction 4.7 制限の目的に不利益を与えない限り、制限について知らされる権利
5 Consultation with the SAS (Articles 36(4) and 57(1)(c) GDPR)  5 SASとの協議(GDPR第36条(4)および第57条(1)(c))
6 Non - observation of article 23 GDPR requirements by a Member State 6 加盟国によるGDPR第23条の要求の非遵守
7  Specific elements for controllers and processors 7 管理者および処理者のための具体的な要素
7.1 Accountability Principle 7.1 説明責任の原則
7.2 Exercise of data subject’s rights after the lifting of the restriction 7.2 制限解除後のデータ対象者の権利の行使
7.3 Non-observation of a legislative measure imposing such restrictions by a controller 7.3 管理者による当該制限を課す立法措置の不遵守
8  Conclusions 8 結論
9  Annex: Check-lists - Article 23 GDPR in a nutshell 9 附属書:チェックリスト-GDPR第23条の概要
9.1  Requirements under Article 23(1) GDPR 9.1 GDPR第23条(1)に基づく要求事項
9.2  Requirements under Article 23(2) GDPR 9.2 GDPR第23条(2)に基づく要件

 

全文の仮対訳...

↓↓↓

 

 

 

Guidelines 10/2020 on restrictions under Article 23 GDPR   Version 2.0  GDPR第23条に基づく制限に関するガイドライン10/2020  第2.0版
Table of contents  目次 
1 Introduction  1 序論
2 The meaning of restrictions  2 制限の意味
3  Requirements of Article 23(1) GDPR 3 GDPR第23条(1)の要件
3.1  Respect of the essence of the fundamental rights and freedoms 3.1 基本的権利及び自由の本質の尊重
3.2  Legislative measures laying down restrictions and the need to be foreseeable (Recital 41 and CJEU case law)  3.2 制限を定めた立法措置と予見可能であることの必要性(説明文41及びCJEU判例)
3.3  Grounds for the restrictions 3.3 制限の根拠
3.3.1  National security, defence and public security 3.3.1 国家安全保障、防衛、公共の安全
3.3.2  Prevention, investigation, detection and prosecution of criminal offences or the execution of criminal penalties including the safeguarding against and the prevention of threats to public security 3.3.2 公共の安全への脅威に対する保護と予防を含む、刑事犯罪の予防、捜査、発見、起訴または刑事罰の執行
3.3.3  Other important objectives of general public interest 3.3.3 一般的な公共の利益のためのその他の重要な目的
3.3.4  Protection of judicial independence and judicial proceedings 3.3.4 司法の独立性および司法手続きの保護 
3.3.5  Prevention, investigation, detection and prosecution of breaches of ethics for regulated professions 3.3.5 規制対象となる職業の倫理違反の予防、調査、検知、起訴
3.3.6  Monitoring, inspection or regulatory function connected to the exercise of official authority in the cases referred to in points (a) to (e) and (g) of Article 23 GDPR 3.3.6 GDPR第23条の(a)~(e)及び(g)に言及されている場合の公権力の行使に関連する監視、検査又は規制機能
3.3.7  Protection of the data subject or the rights and freedoms of others 3.3.7 データ対象者または他者の権利および自由の保護
3.3.8  Enforcement of civil law claims 3.3.8 市民法上の請求権の行使
3.4  Data subjects’ rights and controller’s obligations which may be restricted 3.4 制限される可能性のあるデータ対象者の権利及び管理者の義務
3.5  Necessity and proportionality test 3.5 必要性及び比例性テスト
4  Requirements of Article 23(2) GDPR 4 GDPR第23条(2)項の要件
4.1  Categories of personal data 4.1 個人データのカテゴリー
4.2  Scope of the restrictions 4.2 制限の範囲
4.3  Safeguards to prevent abuse or unlawful access or transfer 4.3 濫用または違法なアクセスもしくは移転を防止するためのセーフガード
4.4  Specification of the controller 4.4 管理者の指定
4.5  Storage periods 4.5 保存期間
4.6  Risks to data subjects’ rights and freedoms 4.6 データ対象者の権利及び自由に対するリスク
4.7  Right to be informed about the restriction, unless prejudicial to the purpose of the  restriction 4.7 制限の目的に不利益を与えない限り、制限について知らされる権利
5 Consultation with the SAS (Articles 36(4) and 57(1)(c) GDPR)  5 SASとの協議(GDPR第36条(4)および第57条(1)(c))
6 Non - observation of article 23 GDPR requirements by a Member State 6 加盟国によるGDPR第23条の要求の非遵守
7  Specific elements for controllers and processors 7 管理者および処理者のための具体的な要素
7.1 Accountability Principle 7.1 説明責任の原則
7.2 Exercise of data subject’s rights after the lifting of the restriction 7.2 制限解除後のデータ対象者の権利の行使
7.3 Non-observation of a legislative measure imposing such restrictions by a controller 7.3 管理者による当該制限を課す立法措置の不遵守
8  Conclusions 8 結論
9  Annex: Check-lists - Article 23 GDPR in a nutshell 9 附属書:チェックリスト-GDPR第23条の概要
9.1  Requirements under Article 23(1) GDPR 9.1 GDPR第23条(1)に基づく要求事項
9.2  Requirements under Article 23(2) GDPR 9.2 GDPR第23条(2)に基づく要件
The European Data Protection Board  欧州データ保護委員会 
Having regard to Article 70 (1)(e) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, (hereinafter ‘GDPR’),  個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日の欧州議会及び理事会の規則2016/679/EUの第70条(1)(e)を考慮し、指令95/46/ECを廃止し、(以下「GDPR」という)、
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018 ,  EEA協定、特に2018年7月6日のEEA合同委員会の決定No.154/2018によって改正された附属書XI及びその第37議定書を考慮し、
Having regard to Article 12 and Article 22 of its Rules of Procedure,  その手続規則の第12条および第22条を考慮し、 
 HAS ADOPTED THE FOLLOWING GUIDELINES     以下のガイドラインを採択した。  
1 INTRODUCTION  1 序論 
1. This document seeks to provide guidance as to the application of Article 23 GDPR. These Guidelines provide a thorough analysis of the criteria to apply restrictions, the assessments that need to be observed, how data subjects can exercise their rights once the restriction is lifted and the consequences for infringements of Article 23 GDPR.  1. 本書は、GDPR 第 23 条の適用に関するガイダンスを提供することを目的としています。このガイドラインは、制限を適用するための基準、遵守すべき評価、制限が解除された後にデータ主体が権利を行使する方法、GDPR第23条を侵害した場合の結果を徹底的に分析しています。
2. The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 16(2) of the Treaty on the Functioning of the European Union mandates the European Parliament and the Council to lay down the rules in relation to the protection of personal data and the rules relating to the free movement of personal data. The GDPR protects the rights and freedoms of natural persons and in particular their right to data protection. Data protection cannot be ensured without adhering to the rights and principles set out in the GDPR (Articles 12 to 22 and Article 34, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided in Articles 12 to 22 GDPR). All these rights and obligations are at the core of the fundamental right to data protection and their application should be the general rule. In particular, any limitation to the fundamental right to data protection needs to observe Article 52 of the Charter of fundamental rights of the European Union (‘the Charter’).  2. 個人データの処理に関する自然人の保護は、基本的な権利です。欧州連合の機能に関する条約第16条2項は、欧州議会および理事会に、個人データの保護に関する規則および個人データの自由な移動に関する規則を定めることを義務付けています。GDPRは、自然人の権利と自由、特にデータ保護の権利を保護するものです。データ保護は、GDPRに規定されている権利と原則(第12条から第22条、第34条、および第5条の規定がGDPR第12条から第22条に規定されている権利と義務に対応する限りにおいて、第5条)を遵守しなければ確保できません。これらの権利と義務はすべて、データ保護に対する基本的な権利の中核をなすものであり、その適用は一般的なルールであるべきです。特に、データ保護に対する基本的権利を制限する場合は、欧州連合基本権憲章(以下、「憲章」)の第52条を遵守する必要があります。
3. It is against this background that Article 23 GDPR should be read and interpreted. This provision is entitled ‘restrictions’. It provides that, under Union or Member State law, the application of certain provisions of the Regulation, relating to the rights of the data subjects and controllers’ obligations, may be restricted in the situations therein listed. Restrictions should be seen as exceptions to the general rule allowing the exercise of rights and imposing the obligations enshrined in the GDPR . As such, restrictions should be interpreted narrowly, only be applied in specifically provided circumstances and only when certain conditions are met.   3. このような背景から、GDPR第23条を読み、解釈すべきであると考えています。この規定は「制限」と題されています。この規定は、EUまたは加盟国の法律に基づき、データ主体の権利および管理者の義務に関連する本規則の特定の条項の適用を、そこに記載されている状況において制限することができると定めています。制限は、GDPRで規定されている権利の行使と義務の履行を可能にする一般的なルールの例外と見なされます。そのため、制限は狭義に解釈され、具体的に定められた状況でのみ適用され、一定の条件が満たされた場合にのみ適用されます。 
4. Even in exceptional situations, the protection of personal data cannot be restricted in its entirety. It must be upheld in all emergency measures, as per Article 23 GDPR thus contributing to the respect of the overarching values of democracy, rule of law and fundamental rights on which the Union is founded: any measure taken by Member States shall respect the general principles of law, the essence of the fundamental rights and freedoms and shall not be irreversible and data controllers and processors shall continue to comply with data protection rules.   4. 例外的な状況であっても、個人データの保護を全面的に制限することはできません。GDPR第23条にあるように、すべての緊急措置において個人情報保護を維持しなければならず、その結果、EUが設立された民主主義、法の支配、基本的権利という包括的な価値観の尊重に貢献することができます。加盟国が取る措置は、法の一般原則、基本的権利および自由の本質を尊重し、不可逆的なものであってはならず、データ管理者および処理者は、引き続きデータ保護規則を遵守しなければなりません。 
5. In all cases, where Union or Member State law allows restrictions to data subjects’ rights or to the obligations of the controllers (including joint controllers ) and processors , it should be noted that the accountability principle, as laid down in Article 5(2) GDPR, is still applicable. This means that the controller is responsible for, and shall be able to demonstrate to the data subjects his or her compliance with the EU data protection framework, including the principles relating to the processing of their data.   5. EUまたは加盟国の法律がデータ主体の権利または管理者(共同管理者を含む)および処理者の義務に制限を加えることを認めているすべての場合において、GDPR第5条(2)で規定されている説明責任の原則が引き続き適用されることに留意する必要があります。これは、管理者がデータ対象者のデータ処理に関連する原則を含むEUデータ保護フレームワークの遵守に責任を負い、データ対象者にそれを証明できなければならないことを意味します。 
6. When the EU or national legislator lays down restrictions based on Article 23 GDPR, it shall ensure that it meets the requirements set out in Article 52(1) of the Charter, and in particular conduct a proportionality assessment so that restrictions are limited to what is strictly necessary.   6. EUまたは国内の立法者がGDPR第23条に基づく制限を定める際には、憲章第52条1項に定める要件を満たしていることを確認し、特に制限が厳密に必要なものに限定されるように比例性評価を行わなければなりません。 
2 THE MEANING OF RESTRICTIONS  2 制限の意味 
7. The term restrictions is not defined in the GDPR. Article 23 and Recital 73 GDPR only list the conditions under which restrictions can be applied.  7. GDPRでは、制限という言葉は定義されていません。GDPR第23条および第73条は、制限が適用される条件を列挙しているに過ぎません。
8. In these guidelines, the term restrictions will be defined as any limitation of scope of the obligations and rights provided for in Articles 12 to 22 and 34 GDPR as well as corresponding provisions of Article 5 in accordance with Article 23 GDPR. A restriction to an individual right has to safeguard important objectives, for instance, the protection of rights and freedoms of others or important objectives of general public interest of the Union or of a Member State which are listed in Article 23(1) GDPR. Therefore, restrictions of data subjects’ rights can only occur when the listed interests are at stake  and these restrictions aim at safeguarding such interests.  8. このガイドラインでは、制限という用語は、GDPR第12条から第22条および第34条に規定されている義務および権利、ならびにGDPR第23条に従って第5条の対応する規定の範囲を制限することと定義されます。個々の権利の制限は、重要な目的、例えば、他者の権利および自由の保護や、GDPR第23条(1)に記載されている連合または加盟国の一般的な公益の重要な目的を保護しなければなりません。したがって、データ対象者の権利の制限は、列挙された利益が危機に瀕しており、これらの制限がそのような利益を保護することを目的としている場合にのみ行うことができます。
9. Consequently, the grounds for the restriction need to be clear. To be lawful, restrictions shall be provided for in a legislative measure, concern a limited number of rights of data subjects and/or controller’s obligations which are listed in Article 23 GDPR , respect the essence of the fundamental rights and freedoms at issue, be a necessary and proportionate measure in a democratic society and safeguard one of the grounds set out in Article 23(1) GDPR as described below.  9. したがって、制限の理由は明確でなければなりません。合法的な制限であるためには、立法措置に規定されていること、GDPR第23条に記載されているデータ対象者の限られた権利及び/又は管理者の義務に関係していること、問題となっている基本的権利及び自由の本質を尊重していること、民主主義社会において必要かつ比例的な措置であること、及び以下に記載されているGDPR第23条(1)に記載されている理由の一つを保護していることが必要です。
10. Furthermore, as mentioned in Recital 73 GDPR, restrictions should be in accordance with the requirements set out in the Charter and the European Convention for the Protection of Human Rights and Fundamental Freedoms.  10. さらに、GDPR第73条に記載されているように、制限は憲章および欧州人権および基本的自由の保護に関する条約に定められている要件に準拠していなければなりません。
11. In addition to restrictions referred to in Article 23, the GDPR also lays down provision relating to specific processing situations as per Chapter IX, where Member States may provide by law specific measures impacting data subjects’ rights, such as exemptions or derogations (for instance, Articles 85 or 89 GDPR). However these guidelines do not address those cases.   11. GDPRでは、第23条の制限に加えて、第IX章のように特定の処理状況に関する規定も定められており、加盟国はデータ主体の権利に影響を与える特定の措置、例えば免除や除外を法律で定めることができます(例えば、GDPR第85条または第89条)。しかし、本ガイドラインではそのようなケースは扱っていません。 
12. Restricting the scope of the obligations and rights provided for in Article 12 to 22 and Article 34 may take different forms but may never reach the point of a general suspension of all rights. Legislative measures laying down restrictions under Article 23 GDPR may also foresee that the exercise of a right is delayed in time, that a right is exercised partially or circumscribed to certain categories of data or that a right can be exercised indirectly through an independent supervisory authority.  12. 第12条から第22条及び第34条に規定されている義務及び権利の範囲を制限することは、様々な形をとることができるが、全ての権利の一般的な停止に至ることはない。GDPR第23条に基づく制限を定める立法措置は、権利の行使が時間的に遅れること、権利が部分的に行使されること、又は特定のカテゴリーのデータに限定されること、又は権利が独立した監督機関を通じて間接的に行使されることも予見することができます。
3 REQUIREMENTS OF ARTICLE 23(1) GDPR  3 第23条(1)GDPRの要件 
13. Article 23(1) GDPR lists a number of requirements, which are detailed below. All those requirements need to be met in order for a measure to be lawfully relied upon.  13. GDPR第23条(1)にはいくつかの要件が挙げられており、以下に詳述します。措置が合法的に依拠されるためには、これらの要件がすべて満たされる必要があります。
3.1 Respect of the essence of the fundamental rights and freedoms  3.1 基本的な権利と自由の尊重 
14. One of the main objectives of data protection law is to enhance data subjects’ control over personal data concerning them. Any restriction shall respect the essence of the right that is being restricted. This means that restrictions that are extensive and intrusive to the extent that they void a fundamental right of its basic content, cannot be justified. In any case, a general exclusion of data subjects' rights with regard to all or specific data processing operations or with regard to specific controllers would not respect the essence of the fundamental right to the protection of personal data, as enshrined in the Charter. If the essence of the right is compromised, the restriction shall be considered unlawful, without the need to further assess whether it serves an objective of general interest or satisfies the necessity and proportionality criteria.   14. データ保護法の主な目的の 1 つは、データ対象者が自分に関する個人データの管理を強化することです。いかなる制限も、制限されている権利の本質を尊重しなければなりません。つまり、基本的な権利の基本的な内容を無効にする程度に広範で押しつけがましい制限は、正当化できません。いずれにしても、すべてのまたは特定のデータ処理作業に関して、あるいは特定の管理者に関して、データ主体の権利を一般的に除外することは、本憲章に謳われている個人データの保護に関する基本的な権利の本質を尊重するものではない。権利の本質が損なわれた場合、制限は違法とみなされ、一般的な利益の目的を果たすかどうか、または必要性および比例の基準を満たすかどうかをさらに評価する必要はありません。 
15. In order to guarantee this control, data subjects have a number of rights within the right to data protection and the controller has a number of obligations vis a vis the data subject, set out under Articles 12 to 22 and Article 34 GDPR, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22 GDPR. It is against this background that Article 23 GDPR should be read and interpreted.   15. このコントロールを保証するために、データ主体はデータ保護の権利の中でいくつかの権利を有し、管理者はデータ主体に対して、GDPR第12条から第22条および第34条、ならびにGDPR第12条から第22条に規定された権利および義務に対応する限りにおいて第5条に定められたいくつかの義務を有します。GDPR第23条は、このような背景から読み解かれるべきものです。 
3.2 Legislative measures laying down restrictions and the need to be foreseeable (Recital 41 and CJEU case law)  3.2 制限を定めた立法措置と予見可能性の必要性(説明文41とCJEU判例法) 
16. The requirement of a legislative measure entails that controllers can only rely on a restriction provided for by Article 23 GDPR to the extent that this restriction has been specified in Union or Member state law. Without the corresponding legislative measure, controllers cannot rely directly on the grounds listed in Article 23(1) GDPR. Recital 41 GDPR states that ‘[w]here this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union [...] and the European Court of Human Rights’ .   16. 立法措置の要件は、管理者がGDPR第23条で規定された制限に頼ることができるのは、この制限がEUまたは加盟国の法律で規定されている場合に限られることを意味します。対応する立法措置がなければ、管理者はGDPR第23条(1)に記載されている理由に直接頼ることはできません。GDPR第41条では、「この規則が法的根拠または立法措置に言及している場合、これは必ずしも議会で採択された立法措置を必要とするものではなく、当該加盟国の憲法上の規則に基づく要件を害するものではない。ただし、このような法的根拠または立法措置は、欧州連合司法裁判所および欧州人権裁判所の判例法に従い、明確かつ正確であるべきであり、その適用は対象となる人にとって予見可能であるべきである」としています。 
17. According to Article 52(1) of the Charter, any limitation on the exercise of the rights and freedoms recognised by the Charter shall be ‘provided for by law’. This echoes the expression ‘in accordance with the law’ in Article 8(2) of the European Convention of Human Rights , which means not only compliance with domestic law, but also relates to the quality of that law without prejudice to the nature of the act, requiring it to be compatible with the rule of law. In particular, the domestic law must be sufficiently clear in its terms to give individuals an adequate indication of the circumstances in and conditions under which controllers are empowered to resort to any such restrictions. The same strict standard should be applied for any restrictions that could be imposed by Member States. In line with the GDPR and the case law of the Court of Justice of the European Union (CJEU) and of the European Court of Human Rights (ECtHR), it is indeed essential that legislative measures, which seek to restrict the scope of data subject rights or of controller’s obligations, are foreseeable for the data subjects.   17. 憲章の第52条1項によると、この憲章で認められている権利および自由の行使に対するいかなる制限も、「法律で定められた」ものでなければなりません。これは欧州人権条約第8条2項の「法に従い」という表現と呼応しており、国内法の遵守だけでなく、行為の性質を損なうことなく法の質に関係し、法の支配に適合することを要求しています。特に、国内法は、その条項が十分に明確でなければならず、管理者がそのような制限に頼る権限を与えられている状況や条件を個人に適切に示すことができなければなりません。また、加盟国によって課される可能性のある制限についても、同様に厳格な基準が適用されなければなりません。GDPRならびに欧州連合司法裁判所(CJEU)および欧州人権裁判所(ECtHR)の判例法に基づき、データ対象者の権利または管理者の義務の範囲を制限しようとする立法措置は、データ対象者にとって予見可能であることが実に重要です。 
18. While any legislative measure must in any case be adapted to the objective pursued and meet the foreseeability criterion, a legislative measure laying down the provisions for the application of restrictions under Article 23 GDPR does not always have to be limited in time or linked to a specific period.   18. いかなる立法措置も、いかなる場合も追求する目的に適合し、予見可能性の基準を満たさなければなりませんが、GDPR第23条に基づく制限の適用に関する規定を定めた立法措置は、必ずしも時間的に制限されていたり、特定の期間に関連していたりする必要はありません。 
a. In some cases, the restriction is not specifically linked to a timeframe because the ground for the restriction to be safeguarded by the legislative measure is not in itself limited in time. In light of the principle of necessity and proportionality, it is necessary to ensure that such legislative measures relate to a ground for restriction to be safeguarded on an ongoing basis, or permanently, in a democratic society. For instance, a legislative measure restricting the scope of the obligations and rights provided for in Article 12 to 22 and Article 34, for safeguarding the protection of judicial independence and judicial proceedings may for example be considered as fulfilling a continuing objective in a democratic society and therefore may not be limited in time.   a. 場合によっては、立法措置によって保護されるべき制限の根拠自体が時間的に限定されていないため、制限が時間枠に特に関連されていないこともあります。必要性と比例の原則に照らして、このような立法措置は、民主主義社会において継続的に、または恒久的に保護されるべき制限の根拠に関連するものであることを保証する必要があります。例えば、司法の独立と司法手続の保護を守るために、第12条から第22条および第34条に規定されている義務と権利の範囲を制限する立法措置は、例えば、民主主義社会における継続的な目的を果たすものと考えられ、したがって、時間的に制限することはできません。 
b. In other cases, the ground for the restriction to be safeguarded is in itself limited in time and therefore the legislative measure should provide a limitation in time in order to meet the foreseeability criterion. For example, where restrictions are adopted in the context of a state of emergency to safeguard public health, the EDPB considers that restrictions, imposed for a duration not precisely limited in time, do not meet the foreseeability criterion, including when such restriction apply retroactively or are subject to undefined conditions .   b. 他のケースでは、保護されるべき制限の根拠は、それ自体、時間的に制限されており、したがって、立法措置は、予見可能性の基準を満たすために、時間的な制限を提供する必要があります。例えば、公衆衛生を保護するために緊急事態の文脈で制限が採用される場合、EDPBは、時間的に正確に制限されていない期間に課される制限は、そのような制限が遡及的に適用される場合や、未定義の条件に従う場合も含めて、予見可能性の基準を満たさないと考えます。
19. This link between the foreseen restrictions and the objective pursued should be clearly established and demonstrated in the concerned legislative measure or additional supplementary documents. For instance, the mere existence of a pandemic alone is not a sufficient reason to provide for any kind of restriction on the rights of data subjects; rather, any restriction shall clearly contribute to the safeguard of an important objective of general public interest of the Union or of a Member State.  19. 予見される制限と追求される目的との間の関連性は、当該の立法措置または追加の補足文書に おいて明確に確立され、実証されるべきです。例えば、単なるパンデミックの存在だけでは、データ対象者の権利に何らかの制限を設ける十分な理由にはなりません。むしろ、いかなる制限も、EUまたは加盟国の一般的な公益の重要な目的の保護に明らかに寄与するものでなければなりません。
3.3 Grounds for the restrictions  3.3 制限の根拠 
20. In order to adopt a legislative measure for restrictions and to apply a restriction in a concrete case, one or several of the following conditions stated in Article 23(1) GDPR need to be met. This list is exhaustive, meaning restrictions cannot be carried out under any other conditions than the ones listed below.   20. 制限のための立法措置を採用し、具体的なケースで制限を適用するためには、GDPR第23条(1)に記載されている以下の条件の1つまたは複数が満たされる必要があります。このリストは網羅的なものであり、以下に記載された条件以外の条件で制限を行うことはできないことを意味します。 
21. The link between the foreseen restrictions and the objective pursued should be clearly stated in the legislative measure.  21. 予見される制限と追求される目的との間の関連性は、立法措置の中で明確に述べられなければなりません。
3.3.1 National security, defence and public security  3.3.1 国家安全保障、防衛および公共の安全保障 
22. A restriction to data subject rights can have national or public security and/or defence of the Member States as an objective to be safeguarded, as stated in Article 23(1)(a), (b) and (c) GDPR.   22. データ対象者の権利の制限は、GDPR第23条(1)(a)、(b)及び(c)に記載されているように、国家又は公共の安全保障及び/又は加盟国の防衛を保護すべき目的とすることができます。 
23. Moreover, public security includes protection of human life, especially in response to natural or manmade disasters.   23. さらに、公共の安全には、特に自然または人為的な災害への対応における人命の保護が含まれます。
3.3.2 Prevention, investigation, detection and prosecution of criminal offences or the execution of criminal penalties including the safeguarding against and the prevention of threats to public security   3.3.2 公共の安全への脅威の防止を含む、刑事犯罪の防止、捜査、検出、訴追または刑事罰の執行  
24. In certain cases, providing information to the data subjects who are under investigation might jeopardise the success of that investigation. Therefore, the restriction of the right to information or other data subject’s rights may be necessary, under Article 23(1)(d) GDPR. This is relevant for instance in the framework of anti-money laundering or the activities of forensic laboratories. 24. 特定のケースでは、調査中のデータ対象者に情報を提供すると、その調査の成功が危ぶまれる可能性があります。そのため、GDPR第23条(1)(d)に基づき、情報を得る権利またはその他のデータ対象者の権利の制限が必要となる場合があります。これは、例えば、アンチマネーロンダリングの枠組みやフォレンジックラボの活動に関連しています。 
25. Nonetheless, the omitted information shall, in accordance with the case law of the CJEU, be provided once and if it is no longer possible for it to jeopardise the investigation being carried out. This means that a specific (tailor-made) data protection notice should be given to the data subject as soon as possible, stating the different rights such as access, rectification etc.   25. しかし、CJEUの判例法に従い、省略された情報は、一度提供された後、実施されている調査を危険にさらす可能性がなくなった場合に提供されなければなりません。これは、アクセス、修正などの様々な権利を記載した特定の(オーダーメイドの)データ保護通知をデータ対象者にできるだけ早く提供すべきであることを意味します。 
26. Also, the objective of safeguarding public security includes the protection of human life especially in response to natural or manmade disasters12.  26. また、公共の安全を守るという目的には、特に自然または人為的な災害に対応して人命を保護することが含まれます12。
3.3.3 Other important objectives of general public interest  3.3.3 一般公衆の利益のためのその他の重要な目的 
27. Article 23(1)(e) GDPR mentions as other important objectives of general public interest of the Union or of a Member State important economic or financial interest, including monetary, budgetary and taxation matters, public health and social security. It may concern for instance the keeping of public registers kept for reasons of general public interest or the further processing of archived personal data to provide specific information related to the political behaviour under former totalitarian state regimes . However, the costs incurred as a consequence of providing information and thus the financial burden on public budgets are not sufficient to justify a public interest in restricting the rights of the data subjects. As an example a Direct Tax Administration may impose restrictions to the rights of access by the data subject where he or she is under an investigation led by the Tax Administration in the framework of its legal duty, in so far as this access would jeopardise the ongoing investigation. However such restriction should be limited to the time necessary for the specific investigation and should be lifted as soon as the Tax Administration closes the investigation. The data subject should be informed without delay and be notified with the justifications contained in the decision of the controller and with the date from which he or she may again exercise his or her right of access. Also appropriate safeguards should be ensured such as for instance an indirect access  - when it is foreseen in national law - so as to ensure that an independent Authority may check the lawfulness of the processing.   27. GDPR第23条(1)(e)では、EUまたは加盟国の一般的な公益のその他の重要な目的として、金融、予算、税制、公衆衛生、社会保障を含む経済的または財政的な重要な利益を挙げています。例えば、一般的な公共の利益のために保管されている公的な登録を維持することや、かつての全体主義的な国家体制の下での政治的行動に関連する特定の情報を提供するためにアーカイブされた個人データをさらに処理することなどが挙げられます。しかし、情報提供の結果として発生するコストや公共予算への財政的負担は、データ対象者の権利を制限する公共の利益を正当化するのに十分ではありません。例えば、直接税務局は、データ対象者が法的義務の枠組みの中で税務局による調査を受けている場合、アクセスすることで進行中の調査が危険にさらされる場合、データ対象者のアクセス権に制限を加えることができます。ただし、このような制限は、特定の調査に必要な期間に限定されるべきであり、税務署が調査を終了すると同時に解除されなければなりません。データ対象者は、管理者の決定に含まれる正当な理由と、アクセス権を再び行使できる日を遅滞なく通知されなければなりません。また、独立した機関が処理の合法性を確認できるように、国内法で規定されている場合には、間接的なアクセスなど、適切な保護措置が確保されなければなりません。 
28. In order to ensure the general public interest objective of accessibility of the law, a public administration may impose restrictions to the right to object the processing of pseudonymised personal data for the development of a benchmark document and information identifying, by type of damage, the amounts claimed and offered by the parties to a dispute as well as the amounts allocated to victims as compensation for their physical injury in court decisions delivered on appeal by administrative courts and civil courts. Such restrictions may take place provided that the conditions under Article 23(2) GDPR are met, and in particular through the implementation of safeguards such as the approximation of compensation amounts, the deletion of the first and last names of the parties to the dispute and the pseudonymisation of the personal data processed.  28. 法の利用可能性という一般的な公益目的を確保するために、行政機関は、行政裁判所および民事裁判所の控訴審判決において、損害の種類別に、紛争当事者が請求した金額および提示した金額、ならびに身体的傷害の補償として被害者に割り当てられた金額を特定するベンチマーク文書および情報を作成するための仮名化された個人データの処理について、異議申し立ての権利に制限を加えることができます。このような制限は、GDPR第23条(2)の条件を満たし、特に補償額の近似化、紛争当事者の姓名の削除、処理された個人データの仮名化などの保護措置を実施することにより行うことができます。
3.3.4 Protection of judicial independence and judicial proceedings  3.3.4 司法の独立性および司法手続きの保護 
29. Article 23(1)(f) GDPR also foresees the need to restrict certain data subjects’ rights or controller’s obligations, in order to protect judicial independence and judicial proceedings.   29. GDPR第23条(1)(f)は、司法の独立及び司法手続きを保護するために、特定のデータ対象者の権利又は管理者の義務を制限する必要性も予見しています。 
30. The scope of these restrictions should be aligned with national legislation regulating these matters.  30. これらの制限の範囲は、これらの問題を規制する国内法と一致させる必要があります。
3.3.5 Prevention, investigation, detection and prosecution of breaches of ethics for regulated professions  3.3.5 規制対象職業の倫理違反の予防、調査、検知及び訴追 
31. Article 23(1)(g) GDPR mentions breaches of ethics for regulated professions, such as medical doctors and lawyers.   31. GDPR第23条(1)(g)は、医師や弁護士などの規制対象となる職業の倫理違反について言及しています。 
32. These are cases in which an investigation does not relate in principle with criminal offences as, where the investigation concerns a criminal offence, the ground set out under point 3.3.2 would be applicable.   32. これらは、調査が原則として刑事犯罪に関係しない場合であり、調査が刑事犯罪に関係する場合には、3.3.2項に定める根拠が適用される。 
3.3.6 Monitoring, inspection or regulatory function connected to the exercise of official authority in the cases referred to in points (a) to (e) and (g) of Article 23 GDPR  3.3.6 GDPR第23条の(a)~(e)及び(g)に記載されている場合における公的権限の行使に関連する監視、検査又は規制機能 
The ground for restriction mentioned in Article 23(2)(h) GDPR refers to a potential limitation when there is an inspection or a monitoring exercise or a regulatory function connected, even if only occasionally, to the exercise of official authority in the cases referred to in points 3.3.1 to 3.3.3 and 3.3.5.  GDPR第23条(2)(h)に記載されている制限の根拠は、3.3.1から3.3.3及び3.3.5に言及されている場合において、公的権限の行使に関連した検査又はモニタリングの実施又は規制機能が、たとえ時折であっても存在する場合に、潜在的な制限を意味します。
3.3.7 Protection of the data subject or the rights and freedoms of others  3.3.7 データ対象者または他者の権利および自由の保護 
33. Article 23(1)(i) GDPR refers to a ground for restriction that aims to protect the data subject or the rights and freedoms of other persons.  33. GDPR第23条(1)(i)は、データ主体または他の者の権利および自由を保護することを目的とした制限の根拠に言及しています。
34. One can illustrate a restriction to protect the rights and freedoms of others with an example of an administrative inquiry and/or disciplinary proceedings or investigation on allegations of harassment in the workplace. In this case, a legislative measure may provide that the person subject to an inquiry or disciplinary proceedings may experience a limitation to his or her right of access, where the identity of an alleged victim or witness whistle-blower cannot be disclosed in order to protect him or her from retaliation. The victim or witness may also see his or her right of access restricted to respect the rights to privacy and data protection of the person subject to an inquiry or disciplinary proceedings.  34. 他者の権利及び自由を保護するための制限は、職場でのハラスメント疑惑に関する行政調査及び/又は懲戒手続、調査を例に説明することができます。この場合、立法措置は、照会または懲戒手続の対象となる者が、報復から保護するために、被害者とされる者や証人の内部告発者の身元を開示できないというアクセス権の制限を経験することを規定することができます。また、被害者または目撃者は、調査または懲戒手続きの対象となる人物のプライバシーおよびデータ保護の権利を尊重するために、アクセス権が制限されることがあります。
3.3.8 Enforcement of civil law claims  3.3.8 市民法上の請求権の行使 
35. Article 23(1)(j) GDPR also includes the enforcement of civil law claims as a ground for restrictions. While Article 23(1)(j) GDPR allows limitations to protect the individual interests of a (potential) litigant, Article 23(1)(f) GDPR allows limitations to protect the court proceedings themselves as well as the applicable procedural rules.  35. GDPR第23条(1)(j)には、制限の根拠として民法上の請求の執行も含まれています。GDPR第23条(1)(j)では、(潜在的な)訴訟当事者の個別の利益を保護するための制限が認められていますが、GDPR第23条(1)(f)では、適用される手続規則と同様に、裁判所の手続自体を保護するための制限が認められています。
3.4 Data subjects’ rights and controller’s obligations which may be restricted   3.4 制限される可能性のあるデータ主体の権利及び管理者の義務  
36. In accordance with Article 23 GDPR, only Articles 12 to 22, Article 34 GDPR and Article 5 as far as its provisions correspond to the rights and obligations provided for in Article 12 to 22 can be restricted.   36. GDPR第23条に基づき、第12条から第22条、GDPR第34条及び第5条の規定が第12条から第22条に規定された権利及び義務に対応する限りにおいて、制限することができます。 
37. The restrictions to obligations concern restrictions to the principles relating to the processing of personal data as far as the provisions of Article 5 correspond to the obligations provided in Article 12 to 22 GDPR and to the communication of a personal data breach to the data subjects (Article 34 GDPR). Article 5 GDPR, which establishes the principles relating to the processing of personal data, is one of the most important articles in the GDPR. Restrictions to the data protection principles need to be duly justified by an exceptional situation, respecting the essence of the fundamental rights and freedoms at issue and following a necessity and proportionality test  (see section 3.5 below). It should be noted that Article 5 GDPR can be only restricted in so far as its provisions correspond to the rights and obligations provided in Articles 12 to 22 GDPR.  37. 義務の制限は、第5条の規定がGDPR第12条から第22条に規定されている義務に対応する限りにおいて、個人データの処理に関する原則の制限、およびデータ主体への個人データ侵害の連絡(GDPR第34条)に関するものです。個人データの処理に関する原則を定めたGDPR第5条は、GDPRの中でも最も重要な条文の一つです。データ保護原則への制限は、例外的な状況によって正当化される必要があり、問題となっている基本的な権利と自由の本質を尊重し、必要性と比例性のテストに従う必要があります(下記3.5項参照)。GDPR第5条は、その規定がGDPR第12条から第22条に規定されている権利及び義務に対応する限りにおいてのみ制限することができることに留意する必要があります。
38. The restrictions to rights concern the right to transparent information (Article 12 GDPR), right to information (Articles 13 and 14 GDPR), right of access (Article 15 GDPR), right to rectification (Article 16 GDPR), right to erasure (Article 17 GDPR), right to restriction of processing (Article 18 GDPR), notification obligation regarding rectification or erasure of personal data or restriction of processing (Article 19 GDPR), right to data portability (Article 20 GDPR), right to object (Article 21 GDPR), right not to be subject to an automated individual decision making (Article 22 GDPR).   38. 権利の制限は、透明な情報を得る権利(GDPR第12条)、情報を得る権利(GDPR第13条及び第14条)、アクセスの権利(GDPR第15条)、修正の権利(GDPR第16条)、消去の権利(GDPR第17条)、処理の制限の権利(GDPR第18条)に関するものです。個人データの修正・消去または処理制限に関する通知義務(GDPR第19条)、データポータビリティーの権利(GDPR第20条)、異議申し立ての権利(GDPR第21条)、自動化された個別意思決定の対象とならない権利(GDPR第22条  
39. This means that any other data subjects’ rights - such as the right to lodge a complaint to the supervisory authority (Article 77 GDPR) - or other controllers’ obligations cannot be restricted.  39. これは、その他のデータ対象者の権利(監督官庁に苦情を申し立てる権利(GDPR第77条)など)や、その他の管理者の義務を制限することはできないことを意味します。
3.5 Necessity and proportionality test  3.5 必要性と比例性のテスト 
40. Restrictions are only lawful when they are a necessary and proportionate measure in a democratic society, as stated in Article 23(1) GDPR. This means that restrictions need to pass a necessity and proportionality test in order to be compliant with the GDPR . The necessity and proportionality test should be carried out before the legislator decides to provide for a restriction.  40. 制限は、GDPR第23条(1)に記載されているように、民主主義社会において必要かつ比例的な措置である場合にのみ合法的です。これは、制限がGDPRに準拠するためには、必要性と比例性のテストに合格する必要があることを意味します。必要性と比例性のテストは、立法者が制限の規定を決定する前に実施されるべきです。
41. The objective to be safeguarded provides the background against which the necessity of the measure may be assessed. It is therefore important to identify the objective in sufficient detail so as to allow the assessment on whether the measure is necessary. For example, if in administrative proceedings it is necessary to restrict part of the investigation, but some information can already be disclosed to the data subjects concerned, then that information should be provided to the person. The case law of the CJEU applies a strict necessity test for any limitations on the exercise of the rights to personal data protection and respect for private life with regard to the processing of personal data: ‛derogations and limitations in relation to the protection of personal data (...) must apply only insofar as is strictly necessary’ . The ECtHR applies a test of strict necessity depending on the context and all circumstances at hand, such as with regard to secret surveillance measures .   41. 保護されるべき目的は、措置の必要性を評価するための背景を提供するものです。したがって、措置が必要かどうかの評価を可能にするために、目的を十分に詳細に特定することが重要です。例えば、行政訴訟において、調査の一部を制限する必要があるが、一部の情報が既に関係するデータ対象者に開示されている場合、その情報は本人に提供されるべきであるということです。CJEUの判例法では、個人データの処理に関して、個人データ保護および私生活の尊重に関する権利の行使を制限する場合、厳格な必要性テストを適用しています。個人データの保護に関する命令と制限は、厳密に必要な範囲でのみ適用されなければならない」。ECtHRは、秘密の監視手段に関するように、文脈と目下のすべての状況に応じて、厳密な必要性のテストを適用しています。 
42. If this test is satisfied, the proportionality of the envisaged measure will be assessed. Should the draft measure not pass the necessity test, there is no need to examine its proportionality. A measure which is not proved to be necessary should not be proposed unless and until it has been modified to meet the requirement of necessity.   42. このテストが満たされた場合、想定される措置の比例性が評価される。措置案が必要性テストに合格しない場合は、その比例性を検討する必要はない。必要性が証明されていない措置は、それが必要性の要件を満たすように修正されるまで、提案されるべきではない。 
43. The necessity and proportionality test typically implies assessing the risks to the rights and freedoms of the data subjects. The risks to the rights and freedoms of data subjects are detailed in point 4.7 of these guidelines.  43. 必要性と比例性のテストは、通常、データ対象者の権利と自由に対するリスクを評価することを意味します。データ対象者の権利および自由に対するリスクは、本ガイドラインのポイント4.7に詳述されています。
44. According to the proportionality principle, the content of the legislative measure cannot exceed what is strictly necessary to safeguard the objectives listed in Article 23(1)(a) to (j) GDPR. The restriction must therefore be appropriate for attaining the legitimate objectives pursued by the legislation at issue and not exceed the limits of what is appropriate and necessary in order to achieve those objectives. According to the CJEU case law, Article 23 GDPR cannot be interpreted as being capable of conferring on Member States the power to undermine respect for private life, disregarding Article 7 of the Charter, or any of the other guarantees enshrined therein. In particular, the power conferred on Member States by Article 23(1) GDPR may be exercised only in accordance with the requirement of proportionality, according to which derogations and limitations in relation to the protection of personal data must apply only in so far as is strictly necessary .   44. 比例原則によれば、立法措置の内容は、GDPR第23条(1)(a)から(j)に記載されている目的を守るために厳密に必要なものを超えることはできません。したがって、制限は、問題となっている立法措置が追求する正当な目的を達成するために適切でなければならず、これらの目的を達成するために適切かつ必要なものの限界を超えてはなりません。CJEUの判例によると、GDPR第23条は、加盟国に私生活の尊重を損なう権限を付与し、憲章の第7条やそこに謳われているその他の保証を無視することができると解釈することはできません。特に、GDPR第23条1項によって加盟国に与えられた権限は、比例性の要件に従ってのみ行使することができ、それによれば、個人データの保護に関する除外や制限は、厳密に必要な範囲でのみ適用されなければなりません。 
45. A proposed restriction measure should be supported by evidence describing the problem to be addressed by that measure, how it will be addressed by it, and why existing or less intrusive measures cannot sufficiently address it. There is also a requirement to demonstrate how any proposed interference or restriction genuinely meet objectives of general interest of the State and EU or the need to protect the rights and freedoms of others. The restriction of data protection rights will need to focus on specific risks.   45. 提案された制限措置は、その措置によって対処される問題、その措置によってどのように対処されるか、既存の措置またはより侵入性の低い措置では十分に対処できない理由を説明する証拠によって裏付けられる必要があります。また、提案された干渉や制限が、国やEUの一般的な利益、または他者の権利や自由を保護する必要性という目的を純粋に満たすものであることを証明する必要があります。データ保護権の制限は、特定のリスクに焦点を当てる必要があります。 
46. For example, if restrictions contribute to safeguarding public health in a state of emergency, the EDPB considers that the restrictions must be strictly limited in scope (e.g. as to the purpose, data subject rights concerned or the categories of controllers concerned) and in time. In particular, it must be limited to the emergency state period. Data subject rights can be restricted but not denied.   46. 例えば、緊急事態において公衆衛生を守るために制限が寄与する場合、EDPBは、制限は範囲(目的、関係するデータ対象者の権利、関係する管理者のカテゴリーなど)と時間が厳密に制限されなければならないと考えます。特に、緊急事態の期間中に限定されなければなりません。データ対象者の権利を制限することはできますが、否定することはできません。 
4 REQUIREMENTS OF ARTICLE 23(2) GDPR  4 GDPR第23条2項の要件 
47. According to the CJEU case law, any legislative measure adopted on the basis of Article 23(1) GDPR must, in particular, comply with the specific requirements set out in Article 23(2) of the GDPR . Article 23(2) GDPR states that the legislative measures imposing restrictions to the rights of data subjects and the controllers’ obligations shall contain, where relevant, specific provisions about several criteria outlined below. As a rule, all the requirements detailed below should be included in the legislative measure imposing restrictions under Article 23 GDPR.  47. CJEUの判例法によると、GDPR第23条1項に基づいて採択された立法措置は、特にGDPR第23条2項に定められた特定の要件に準拠しなければなりません。GDPR第23条(2)では、データ主体の権利および管理者の義務に制限を課す立法措置は、関連する場合、以下に示すいくつかの基準に関する具体的な規定を含まなければならないとしています。原則として、GDPR第23条に基づいて制限を課す立法措置には、以下に詳述するすべての要件が含まれるべきです。
48. Exceptions to this rule, based on the fact that one or more provisions in Article 23(2) GDPR are not relevant regarding the legislative measure foreseeing the restriction of data subjects’ rights, need to be duly justified by the legislator. The EDPB’s interpretation of the expression “where relevant” in Article 23(2) GDPR is linked to the circumstances.   48. GDPR第23条(2)の1つまたは複数の規定がデータ主体の権利の制限を予見する立法措置に関連しないという事実に基づくこの規則の例外は、立法者によって正当化される必要があります。GDPR第23条(2)項の「関連する場合」という表現に対するEDPBの解釈は、状況に関連しています。 
49. Article 23(2)(a) GDPR mentions the purposes of the processing or categories of processing as one of the specific provisions that shall be mentioned in any legislative measures restricting the rights of data subjects or controllers’ obligations. As per Recital 8 GDPR, the reason for the restriction should be comprehensible to persons to whom it applies. This also involves a clear understanding of how and when the restriction may apply.  49. GDPR第23条(2)(a)では、データ主体の権利や管理者の義務を制限するあらゆる立法措置で言及しなければならない具体的な規定の一つとして、処理の目的または処理のカテゴリについて言及しています。GDPRのRecital 8にあるように、制限の理由は、それが適用される人に理解できるものでなければなりません。これには、制限がいつ、どのように適用されるかを明確に理解することも含まれます。
50. For example, national legislation on prevention and investigation of breaches of ethics for regulated professions might state that if the disclosure of the fact that a person is under investigation for a serious breach may be prejudicial to the purpose of the investigation, the information may not be disclosed to the data subject for a limited time.  50. 例えば、規制されている職業の倫理違反の防止と調査に関する国内法では、ある人物が重大な違反の調査を受けているという事実を開示することが調査の目的を損ねる可能性がある場合、その情報をデータ対象者に一定期間開示しないことができると規定されているかもしれません。
51. The possible purposes of the processing need to be linked to the grounds for the restrictions mentioned in point 3.3 of these guidelines.  51. 処理の可能な目的は、本ガイドラインのポイント3.3に記載されている制限の根拠と関連付ける必要があります。
52. It should be said that sometimes the exercise of data subjects’ rights helps the controllers performing their function. For example, the right to rectification can contribute to the quality of the data.  52. データ対象者の権利を行使することで、管理者がその機能を果たすことができる場合があることを述べておきます。例えば、修正の権利はデータの質の向上に寄与します。
4.1 Categories of personal data  4.1 個人データのカテゴリー 
53. Article 23(2)(b) GDPR states that the categories of personal data subject to restrictions are to be indicated in the legislative measure foreseeing those restrictions.   53. GDPR第23条(2)(b)では、制限の対象となる個人データのカテゴリーは、それらの制限を予見する立法措置の中で示されなければなりません。 
54. In the same vein, restrictions concerning special categories of personal data may have a bigger impact on the data subjects and, therefore, the legislative measure setting such a restriction should mention the concerned special categories of data therein.  54. 同様に、個人データの特別なカテゴリーに関する制限は、データ対象者に大きな影響を与える可能性があるため、そのような制限を設定する立法措置では、そこに関係するデータの特別なカテゴリーを記載する必要があります。
4.2 Scope of the restrictions  4.2 制限の範囲 
55. Article 23(2)(c) GDPR prescribes that the scope of the restrictions shall also be specified, i.e. which rights are concerned and how far they are going to be limited, for instance, that a restriction only concerns the right to restriction of processing (Article 18 GDPR), or that it may concern access, rectification and erasure.  55. GDPR第23条(2)(c)は、制限の範囲も特定しなければならないことを規定しています。すなわち、どの権利が関係しているのか、どの程度まで制限されるのか、例えば、制限は処理を制限する権利(GDPR第18条)のみに関係しているのか、アクセス、修正及び消去に関係しているのか、などです。
4.3 Safeguards to prevent abuse or unlawful access or transfer  4.3 濫用または違法なアクセスもしくは移転を防止するためのセーフガード 
56. Article 23(2)(d) GDPR states that the legislative measure shall include safeguards to prevent abuse or unlawful access or transfer. This refers in particular to organisational and/or technical measures  which are necessary in order to avoid breaches or unlawful transfers such as the storage in a safe way of physical documents. For example, in some Member States the exercise of rights in respect of processing carried out in specific sectors can be exercised through the mediation of the national data protection supervisory authority (‘SA’).  56. GDPR第23条(2)(d)は、立法措置には、濫用または違法なアクセスもしくは移転を防止するための保護措置を含まなければならないとしています。これは特に、物理的な文書を安全な方法で保管するなど、違反や違法な転送を避けるために必要な組織的および/または技術的な措置を指します。例えば、一部の加盟国では、特定の部門で行われる処理に関する権利の行使は、国のデータ保護監督機関(以下、「SA」)の仲介により行使することができます。
57. The legislative measure may also concern periodic measures to review a given decision on restrictions. The legislator may propose that each restriction implemented by the controller should be reviewed periodically to ensure that the justification for it is still valid.  57. 立法措置は、制限に関する所定の決定を見直すための定期的な措置に関するものでもある。立法者は、管理者が実施した各制限を定期的に見直して、その正当性がまだ有効であることを確認することを提案することができます。
4.4 Specification of the controller  4.4 管理者の指定 
58. Article 23(2)(e) GDPR requires that the legislative measure specifies who the controller is or who the categories of controllers are. This appointment of the controllers in the legislative measure not only favours legal certainty regarding the responsibility for the processing operations in relation to the restrictions, but also allows data subjects to know whom to address when exercising their rights, once the restriction is lifted.  58. GDPR第23条(2)(e)は,立法措置が,管理者が誰であるか,又は管理者のカテゴリが誰であるかを指定することを要求しています。立法措置における管理者の指定は、制限に関連する処理操作の責任に関する法的確実性に有利なだけでなく、制限が解除された後、データ主体が自分の権利を行使する際に誰に連絡すべきかを知ることができます。
4.5 Storage periods  4.5 保存期間 
59. Article 23(2)(f) GDPR establishes that the legislative measure must include a specific provision regarding the storage periods and applicable safeguards taking into account the nature, scope and purposes of the processing or categories of processing. For instance, the retention period could be calculated as the duration of the processing operation plus additional time for potential litigation.  59. GDPR第23条(2)(f)は、立法措置は、処理または処理のカテゴリの性質、範囲及び目的を考慮して、保存期間及び適用されるセーフガードに関する特定の規定を含まなければならないことを定めています。例えば、保存期間は、処理操作の期間に加えて、潜在的な訴訟のための追加時間として計算することができます。
4.6 Risks to data subjects’ rights and freedoms  4.6 データ対象者の権利および自由に対するリスク 
60. Article 23(2)(g) GDPR requires that the legislative measure include the risks to data subject’s rights and freedoms entailed by the restrictions. This is a very important step, which helps in the necessity and proportionality test of the restrictions.   60. GDPR第23条(2)(g)では、立法措置に、制限によって伴うデータ主体の権利と自由へのリスクを含めることを求めています。これは非常に重要なステップであり、制限の必要性と比例性のテストに役立ちます。 
61. The goal of this assessment of the risks to data subjects’ rights and freedoms is twofold. On the one hand, it provides an overview of the potential impact of restrictions on data subjects. On the other hand, it provides elements for the necessity and proportionality test of the restrictions. In this regard and if applicable, a data protection impact assessment (‘DPIA’) should be considered .  61. データ対象者の権利及び自由に対するリスクの評価の目的は2つあります。一方では、データ対象者に対する制限の潜在的な影響の概要を提供します。他方では、制限の必要性と比例性のテストのための要素を提供します。この点において、もし適用可能であれば、データ保護影響評価(「DPIA」)を検討すべきです。
62. The legislator should assess the risks to data subject’s rights and freedoms from the perspective of the data subjects. It is not always mandatory to perform a DPIA, but concrete risks to data subjects - such as erroneous profiling leading to discrimination, reduced human dignity , freedom of speech, the right to privacy and data protection , a bigger impact on vulnerable groups (such as children or persons with disability), to mention a few - may be stated in the legislative measure, if applicable.  62. 立法者はデータ対象者の視点からデータ対象者の権利及び自由に対するリスクを評価すべきです。DPIAの実施は必ずしも必須ではありませんが、データ主体に対する具体的なリスク(差別につながる誤ったプロファイリング、人間の尊厳の低下、言論の自由、プライバシーおよびデータ保護の権利、脆弱なグループ(子供や障害者など)への大きな影響など)については、該当する場合、立法措置に記載することができます。
63. When such assessment is provided, the EDPB considers necessary to include it in the recitals or explanatory memorandum of the legislation or in the impact assessment.  63. このような評価が提供された場合、EDPBはそれを立法案の説明文または影響評価に含める必要があると考えます。
4.7 Right to be informed about the restriction, unless prejudicial to the purpose of the restriction 4.7 制限の目的を損なうものでない限り、制限について知らされる権利
64. Article 23(2)(h) GDPR states that, unless it may be prejudicial to the purpose of the restriction, data subjects shall be informed of the restriction. This means that data subjects should be informed about the restriction to their right to information as a rule. To that purpose, a general data protection notice may be sufficient.  64. GDPR第23条(2)(h)では、制限の目的に不利益を与えない限り、データ対象者は制限について知らされるものとしています。これは、データ対象者は、原則として情報を得る権利の制限について知らされるべきであることを意味します。その目的のためには、一般的なデータ保護通知で十分な場合があります。
65. For example, where a data subject specifically asks to exercise a particular right at a very delicate moment of a given administrative investigation, the data subject should, if possible, be informed of the reasons for the restriction. However, if informing the data subject of the reasons for the restriction would result in cancelling the effect of the restriction (i.e. would hamper the preliminary effects of the investigation), that information may not be disclosed. Restrictions may be adopted to protect investigations. In this case, restrictions must remain necessary and proportionate and to do so an assessment should be performed by the controller to check whether informing the data subject of the restriction is prejudicial to the purpose of the restriction.  65. 例えば、データ対象者が特定の行政調査の非常に微妙なタイミングで特定の権利の行使を特に求めた場合、データ対象者には可能であれば制限の理由が通知されるべきであるとしています。ただし、データ対象者に制限の理由を通知することで制限の効果が失われる場合(すなわち、調査の予備的効果が妨げられる場合)は、その情報を開示しないことができます。調査を保護するために制限を採用することができます。この場合、制限は必要かつ妥当なものでなければならず、そのためには管理者が評価を行い、データ対象者に制限を通知することが制限の目的を損なうかどうかを確認する必要があります。
66. In other words, in extraordinary circumstances, for instance in the very preliminary stages of an investigation, if the data subject requests information if he or she is being investigated, the controller could decide not to grant that information at that moment - if this restriction is lawful and strictly necessary in the specific case to what would be prejudicial to the purpose of the restriction.  66. 言い換えれば、特別な状況、例えば調査のごく初期の段階で、データ対象者が自分が調査されているかどうかの情報を要求した場合、管理者はその時点でその情報を提供しないことを決定することができます。ただし、この制限が合法的であり、制限の目的を害することに対して特定のケースで厳密に必要である場合はこの限りではありません。
67. At a later stage, such as after the preliminary phase of the investigation or inquiry is completed, data subjects should receive a (specific) data protection notice. It is still possible at this stage that certain rights continue to be restricted, such as the right of access to the information about the opening of an investigation, or to the allegations of potential victims of harassment . This fact should be indicated in the data protection notice along with an indication of a period in which the rights will be fully restored, if possible.   67. 調査または問い合わせの予備段階が完了した後などの後の段階で、データ対象者は(特定の)データ保護通知を受け取るべきです。この段階でも、調査開始に関する情報へのアクセス権、またはハラスメントの潜在的被害者の申し立てへのアクセス権など、特定の権利が引き続き制限される可能性があります。この事実は、可能であれば、権利が完全に回復するまでの期間を示すとともに、データ保護通知に示されるべきです。 
5 CONSULTATION WITH THE SAS (ARTICLES 36(4) AND 57(1)(C) GDPR)  5 SAS との協議(GDPR 第 36 条(4)および第 57 条(1)(c) 
68. In accordance with Article 36(4) GDPR, where restrictions are adopted at the level of the Member States, SAs shall be consulted before the adoption of the legislative measure to be adopted by a national parliament, or of a regulatory measure based on such a legislative measure envisaging the restriction of data subjects’ rights under Article 23 GDPR.   68. GDPR第36条(4)に従い、加盟国のレベルで制限が採用される場合、国内議会で採択される立法措置、またはGDPR第23条に基づくデータ主体の権利の制限を想定した当該立法措置に基づく規制措置の採択前に、SAと協議しなければなりません。 
69. Also, it is within the tasks of the SAs to provide advice on legislative measures relating to the protection of individuals’ rights and freedoms regarding their personal data processing, in accordance with Article 57(1)(c) GDPR.   69. また、GDPR第57条(1)(c)に基づき、個人データの処理に関する個人の権利及び自由の保護に関連する立法措置について助言を提供することは、SAの任務の範囲内です。 
70. If SAs are not duly consulted, they can issue under Article 58(3)(b) GDPR on their own initiative opinions to the national parliament, the Member State government or, in accordance with Member State law, to other institutions or bodies as well as to the public on any issue related to the protection of personal data.  70. SAが正当に相談を受けていない場合、SAはGDPR第58条(3)(b)に基づき、個人データの保護に関するあらゆる問題について、自発的に国会、加盟国政府、または加盟国の法律に基づき、他の機関や団体、一般市民に対して意見を出すことができます。
71. In addition, data protection legislation at national level may set out specific procedures regarding the adoption of legislative measures that aim at restricting the rights afforded by Articles 12 to 22 and Article 34 GDPR, in line with Article 23 GDPR. This could be the case only if in line with the GDPR.   71. さらに、国レベルのデータ保護法では、GDPR第23条に沿って、GDPR第12条から第22条および第34条で与えられる権利を制限することを目的とした立法措置の採択に関する特定の手続きを定めることができます。これは、GDPRに沿っている場合にのみ該当する可能性があります。 
6 NON - OBSERVATION OF ARTICLE 23 GDPR REQUIREMENTS BY A MEMBER STATE  6 加盟国によるGDPR第23条の要件の非遵守 
72. The European Commission, as Guardian of the Treaties, has the duty to monitor the application of EU primary and secondary law and to ensure its uniform application throughout the EU, including by taking actions where national measures would fail to comply with EU law.   72. 欧州委員会は、条約の守護者として、EUの一次法および二次法の適用を監視し、国内の措置がEU法に準拠しない場合には措置を講じることを含め、EU全体での均一な適用を確保する義務を負っています。 
73. Furthermore, according to the principle of supremacy of EU law, the ‘duty to disapply national legislation that is contrary to EU law is owed not only by national courts, but also by all organs of the State — including administrative authorities — called upon, within the exercise of their respective powers, to apply EU law’.   73. さらに、EU法の優位性の原則によれば、「EU法に反する国内法を無効にする義務は、国内の裁判所だけでなく、行政当局を含む国家のすべての機関が、それぞれの権限の行使の中でEU法を適用することを求められた場合にも負っている」ことになります。 
7 SPECIFIC ELEMENTS FOR CONTROLLERS AND PROCESSORS  7 管理者と処理者の具体的な要素 
7.1 Accountability Principle  7.1 説明責任の原則 
74. In light of the accountability principle (Article 5(2) GDPR) and although it is not part of the records required under Article 30 GDPR, it is good practice that the controller documents the application of restrictions on concrete cases by keeping a record of their application. This record should include the applicable reasons for the restrictions, which ground(s) among those listed in Article 23(1) GDPR apply(ies) (where the legislative measure allows for restrictions on different grounds), its timing and the outcome of the necessity and proportionality test. The records should be made available on request to the data protection supervisory authority.   74. 説明責任の原則(GDPR第5条(2))に照らして、またGDPR第30条で要求される記録の一部ではありませんが、管理者が具体的なケースに対する制限の適用を記録することは良い習慣です。この記録には、制限の理由、GDPR第23条(1)に記載されている理由のうちどの理由が適用されるか(法的措置により異なる理由での制限が可能な場合)、そのタイミング、必要性と比例性のテストの結果が含まれるべきです。この記録は、データ保護監督機関の要求に応じて利用できるようにしなければなりません。 
75. In case the controller has a data protection officer (DPO), the DPO should be informed - at least in a general manner - without undue delay whenever data subject rights are restricted in accordance with  75. 管理者にデータ保護責任者(DPO)がいる場合、データ対象者の権利が立法措置に基づいて制限された場合、DPOは少なくとも一般的な方法で、不当に遅延することなく通知されなければなりません。
the legislative measure. The DPO should be given access to the associated records and any documents concerning the factual or legal context in which the restriction takes place. The involvement of the DPO in the application of restrictions should also be documented.  立法措置に基づいてデータ対象者の権利が制限された場合、DPOは遅滞なく、少なくとも一般的な方法で通知されなければなりません。DPOは、関連する記録及び制限が行われた事実上又は法律上の背景に関する文書へのアクセスを与えられなければなりません。制限の適用に対する DPO の関与も文書化しなければなりません。
7.2 Exercise of data subject’s rights after the lifting of the restriction   7.2 制限解除後のデータ対象者の権利の行使  
76. The controller should lift the restrictions as soon as the circumstances that justify them no longer apply. If the data subjects have not yet been informed of the restrictions before that moment, they should be at the latest when the restriction is lifted.  76. 管理者は、制限を正当化する状況が適用されなくなった時点で、直ちに制限を解除すべきです。データ対象者がその時点までに制限についてまだ知らされていない場合は、遅くとも制限が解除された時点で知らされるべきです。
77. During the application of a restriction, data subjects may be allowed to exercise all their rights, that are not restricted. In order to assess when the restriction can be partially or integrally lifted, a necessity and proportionality test may be performed several times during the application of a restriction.  77. 制限が適用されている間、データ対象者は制限されていないすべての権利を行使することができます。制限が部分的または一体的に解除される時期を評価するために、制限の適用中に必要性および比例性のテストを数回行うことができます。
78. When the restriction is lifted - which should be documented in the record mentioned in section 5 - data subjects can exercise all their rights.  78. 制限が解除された場合(第5項に記載された記録に記録されるべき)、データ対象者はそのすべての権利を行使することができます。
79. If the controller does not allow data subjects to exercise their rights after the restriction has been lifted, the data subject can submit a complaint to the SA against the controller, in accordance with Article 57(1)(f) GDPR.  79. 制限が解除された後、管理者がデータ対象者に権利を行使させない場合、データ対象者はGDPR第57条(1)(f)に従い、管理者に対してSAに苦情を提出することができます。
7.3 Non-observation of a legislative measure imposing such restrictions by a controller  7.3 管理者による当該制限を課す立法措置の不遵守 
80. Where the legislative measures imposing restrictions under Article 23 GDPR comply with the GDPR but are infringed by a controller, SAs can make use of their advisory, investigative and corrective powers against it, as in any other case of non-observation of GDPR rules.   80. GDPR第23条に基づく制限を課す立法措置がGDPRに準拠しているが、管理者によって侵害されている場合、SAはGDPR規則を遵守していない他のケースと同様に、管理者に対して助言、調査及び是正の権限を利用することができます。 
81. In accordance with the powers foreseen in Article 58(1) GDPR, the SAs have the following investigative powers:  81. GDPR第58条(1)で予見される権限に基づき、SAは以下の調査権限を有します。
• order the controller and the processor, and, where applicable, the controller’s or processor's representative to provide any information it requires for the performance of its tasks;   • 管理者および処理者、および該当する場合は管理者または処理者の代理人に、任務遂行のために必要な情報の提供を命じること
• carry out investigations in the form of data protection audits;   • データ保護監査の形で調査を実施すること
• notify the controller or the processor of an alleged infringement of the GDPR;   • GDPRの違反の疑いについて、管理者または処理者に通知すること
• obtain, from the controller and the processor, access to all personal data and to all information necessary for the performance of its tasks;   • 管理者および処理者から、すべての個人データおよび業務遂行に必要なすべての情報へのアクセスを取得すること
• obtain access to any premises of the controller and the processor, including to any data processing equipment and means, in accordance with Union or Member State procedural law.  • 連合または加盟国の手続法に基づき、データ処理機器および手段を含む、管理者および処理者の施設へのアクセスを取得すること
82. If corrective measures need to be applied, the SAs can in accordance with Article 58(2) GDPR:  82. 是正措置を適用する必要がある場合、SAはGDPR第58条(2)に従い、以下のことができます。
• issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of the GDPR;   • 意図された処理操作がGDPRの規定を侵害する可能性があることを管理者又は処理者に警告すること 
• issue reprimands to a controller or a processor where processing operations have infringed provisions of the GDPR;   • 処理操作がGDPRの規定に違反している場合に、管理者または処理者に譴責を与えること
• order the controller or the processor to comply with the data subject's requests to exercise his or her rights pursuant to the GDPR;   • 管理者または処理者に対し、GDPRに基づくデータ対象者の権利行使の要求に応じるよう命じること
• order the controller or processor to bring processing operations into compliance with the provisions of the GDPR, where appropriate, in a specified manner and within a specified period;   • 管理者または処理者に対し、必要に応じて、指定された方法および指定された期間内に処理業務をGDPRの規定に準拠させるよう命じること
• order the controller to communicate a personal data breach to the data subject;   • 管理者に対し、個人データの侵害をデータ対象者に伝えるよう命じること 
• impose a temporary or definitive limitation including a ban on processing;   • 処理の禁止を含む一時的または最終的な制限を課すこと 
• order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 GDPR and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19 GDPR;   • GDPR第16条、第17条および第18条に基づく個人データの修正もしくは消去、または処理の制限、ならびにGDPR第17条(2)および第19条に基づく個人データが開示された受取人への当該措置の通知を命じること 
• impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in Article 58(2) GDPR, depending on the circumstances of each individual case;   • 個々のケースの状況に応じて、GDPR第58条(2)に言及された措置に加えて、またはそれに代えて、第83条に基づく行政上の罰金を課すこと
• order the suspension of data flows to a recipient in a third country or to an international organisation.  • 第三国の受領者又は国際機関へのデータフローの停止を命じること
83. Regarding the SAs advisory powers foreseen in Article 58(3) GDPR, they can:  83. GDPR第58条(3)で規定されているSAの助言権限については、以下のことが可能です。
• advice the controllers in accordance with the prior consultation procedure referred to in Article 36(1) and (5) GDPR;  • GDPR第36条(1)及び(5)で言及されている事前協議手続きに従って、管理者に助言します。
• authorise processing referred to in Article 36(5) GDPR, if the law of the Member State requires such prior authorisation.  • GDPR第36条(5)項で言及されている処理について、加盟国の法律がそのような事前承認を必要とする場合には、その承認を行う。
8 CONCLUSIONS  8 おわりに 
84. Article 23 GDPR allows under specific conditions, a national or Union legislator to restrict, by way of a legislative measure, the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 GDPR in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard, inter alia, important objectives of general public interest of the Union or of a Member State.  84. GDPR第23条は、特定の条件の下で、国内またはEUの立法者が、立法措置により、第12条から第22条まで及び第34条に規定された義務及び権利の範囲、並びにGDPR第5条の規定が第12条から第22条までに規定された権利及び義務に対応する限りにおいて、当該制限が基本的権利及び自由の本質を尊重し、特にEU又は加盟国の一般的公益の重要な目的を保護するために民主主義社会において必要かつ比例的な措置である場合に、制限することを認めています。
85. Restrictions of data subjects’ rights need to observe the requirements stated in Article 23 GDPR. The Member States or the Union issuing the legislative measures setting those restrictions and the controllers applying them should be aware of the exceptional nature of these restrictions.  85. データ主体の権利の制限は、GDPR第23条に記載されている要件を遵守する必要があります。これらの制限を設定する立法措置を発行する加盟国または連合、およびそれらを適用する管理者は、これらの制限の例外的な性質を認識する必要があります。
86. The proportionality test should be carried out before introducing in Union or Member State law restrictions on the rights of data subjects.  86. データ主体の権利に関する制限を組合または加盟国の法律に導入する前に、比例性テストを実施する必要があります。
87. SAs should be consulted before the adoption of the legislative measures setting the restrictions and have the powers to enforce its compliance with the GDPR.  87. SAは、制限を設定する立法措置を採用する前に協議し、GDPRへの準拠を強制する権限を持つべきです。
88. Once restrictions are lifted, data subjects must be allowed to exercise their rights by the controller.  88. 制限が解除されたら、データ主体は管理者による権利の行使を認められなければなりません。
9 ANNEX: CHECK-LISTS - ARTICLE 23 GDPR IN A NUTSHELL  9 附属書:チェックリスト-GDPR第23条の概要 
9.1 Requirements under Article 23(1) GDPR   9.1 GDPR第23条(1)に基づく要件  
i. Respect of the essence of the fundamental rights and freedoms  i. 基本的な権利及び自由の尊重 
ii. Proportionality and necessity test  ii. 比例性及び必要性のテスト 
iii. Legislative measures laying down restrictions and the need to be foreseeable (Recital 41 and CJEU case law)  iii. 制限を定めた立法措置とその予見可能性の必要性(Recital 41とCJEUの判例法 
iv. Data subjects’ rights and controller’s obligations which may be restricted   iv. 制限される可能性のあるデータ対象者の権利と管理者の義務  
a) the right to transparent information (Article 12 GDPR),   a) 透明な情報を得る権利(GDPR第12条)
b) right to information (Articles 13 and 14 GDPR),   b) 情報を得る権利(GDPR第13条および第14条)
c) right of access (Article 15 GDPR),   c) アクセスの権利(GDPR第15条)
d) right to rectification (Article 16 GDPR),   d) 修正する権利(GDPR第16条)
e) right to erasure (Article 17 GDPR),   e) 消去する権利(GDPR第17条)
f) right to restriction of processing (Article 18 GDPR),   f) 処理を制限する権利(GDPR第18条)
g) notification obligation regarding rectification or erasure of personal data or restriction of processing (Article 19 GDPR),   g) 個人データの修正もしくは消去、または処理の制限に関する通知義務(GDPR第19条)
h) right to data portability (Article 20 GDPR),   h) データポータビリティーの権利(GDPR第20条)
i) right to object (Article 21 GDPR),   i) 異議申し立ての権利(GDPR第21条)
j) right not to be subject to an automated individual decision making (Article 22 GDPR) j) 自動化された個人の意思決定の対象とならない権利(GDPR第22条 )
k) obligations provided in Article 12 to 22 GDPR (Article 5 GDPR) and  k) GDPR第12条から第22条に定める義務(GDPR第5条)、および 
l) the communication of a personal data breach to the data subjects (Article 34 GDPR) l) データ対象者への個人データ侵害の連絡(GDPR第34条 
v. Grounds for the restrictions  v. 制限の根拠 
a) national security;   a) 国家安全保障  
b) defence;   b) 防衛  
c) public security;   c) 公共の安全  
d) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security;   d) 公共の安全への脅威に対する保護と予防を含む、刑事犯罪の予防、調査、発見、起訴、または刑事罰の執行。 
e) other important objectives of general public interest of the Union or of a  e) EUまたは加盟国の一般的な公共の利益のためのその他の重要な目的。
Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation a matters, public health and social security;   e) 連合または加盟国の一般的な公益のためのその他の重要な目的、特に連合または加盟国の重要な経済的または財政的な利益(金融、予算、課税問題、公衆衛生、社会保障を含む)。 
f) the protection of judicial independence and judicial proceedings;   f) 司法の独立および司法手続きの保護。 
g) the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions;   g) 規制対象となる職業の倫理違反の防止、調査、発見、起訴。 
h) a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to (e) and  h) (a)から(e)および(g)で言及された場合の公権力の行使に時折でも関連する監視、検査、規制の機能。
(g);   (g);  
i) the protection of the data subject or the rights and freedoms of others;   i) データ対象者または他者の権利および自由を保護するため。 
j) the enforcement of civil law claims.  j) 市民法上の請求権の行使。
9.2 Requirements under Article 23(2) GDPR  9.2 GDPR第23条(2)に基づく要件 
i. The purposes of the processing or categories of processing;   i. 処理の目的または処理のカテゴリー。 
ii. The categories of personal data;   ii. 個人データのカテゴリー。 
iii. The scope of the restrictions introduced;   iii. 導入する制限の範囲 
iv. The safeguards to prevent abuse or unlawful access or transfer; iv. 濫用または違法なアクセスもしくは移転を防止するための保護措置。
v. The specification of the controller or categories of controllers;   v. 管理者または管理者のカテゴリーの指定。 
vi. The storage periods and the applicable safeguards taking into account the nature, scope and purposes of the processing or categories of processing;   vi. 処理の性質、範囲及び目的、又は処理のカテゴリーを考慮した保存期間及び適用される保護措置  
vii. The risks to the rights and freedoms of data subjects; and   vii. データ対象者の権利及び自由に対するリスク、及び  
viii. The right of data subjects to be informed about the restriction, unless that may be prejudicial to the purpose of the restriction. viii. 制限の目的を損なう場合を除き、データ対象者が制限について通知を受ける権利。

|

« 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06 | Main | 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06 | Main | 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」 »