欧州データ保護委員会 (EDPB) 意見募集 第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」
こんにちは、丸山満彦です。
欧州データ保護委員会 (EDPB)が、第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」についての意見募集をしていますね。。。
例示があって参考になりますね。。。
● European Data Protection Board: EDPB
・[PDF]
Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR | GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021 |
Adopted on 18 November 2021 | 2021年11月18日採択 |
Table of contents | 目次 |
1 Introduction | 1 はじめに |
2 Criteria to qualify a processing as a transfer of personal data to a third country or to an international organisation international organisation | 2 処理を第三国または国際機関への個人データの移転と認定する基準 |
2.1 A controller or a processor is subject to the GDPR for the given processing | 2.1 管理者または処理者が、所定の処理についてGDPRの対象となること |
2.2 This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”) | 2.2 管理者または処理者(「越境送信者」)が、この処理の対象となる個人データを、別の管理者、共同管理者または処理者(「越境受信者」)に送信またはその他の方法で開示すること |
2.3 The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3 | 2.3 越境受信者が第三国に所在するか、または国際的な組織であること(当該越境受信者が第3条に基づく所定の処理に関してGDPRの適用を受けるか否かを問わない) |
3 Consequences | 3 結果 |
The European Data Protection Board | 欧州データ保護委員会 |
Having regard to Article 70 (1)(e) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, (hereinafter the “GDPR” or “Regulation”), | 個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則2016/679/EUの第70条(1)(e)を考慮し、指令95/46/ECを廃止する(以下、「GDPR」または「規則」という。) |
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018,[1] | EEA協定、特に2018年7月6日のEEA合同委員会の決定No.154/2018によって改正された附属書XI及びその議定書37を考慮する。 [1] |
Having regard to Article 12 and Article 22 of its Rules of Procedure, | 手続規則の第12条および第22条を考慮する。 |
HAS ADOPTED THE FOLLOWING GUIDELINES: | 以下のガイドラインを採用します。 |
1 INTRODUCTION | 1 イントロダクション |
1. According to Article 44of the GDPR,[2] the conditions laid down in its Chapter V shall apply to any “transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation”.[3] The overarching purpose of Chapter V is to ensure that the level of protection guaranteed by the GDPR is not undermined when personal data are transferred “to third countries or to international organisations”.[4] | 1. GDPR第44条によれば[2] その第V章に定められた条件は、「第三国または国際機関への移転後に処理中または処理が意図されている個人データの移転」に適用されます。[3] 第V章の主な目的は、個人データが「第三国または国際機関」に移転される際に、GDPRが保証する保護レベルが損なわれないようにすることです。 [4] |
2. The provisions of Chapter V aim at ensuring the continued protection of personal data after they have been transferred to a third country or to an international organisation. When personal data is processed on EU territory it is protected not only by the rules in the GDPR but also by other rules, both on EU and Member State level, that must be in line with the GDPR (including possible derogations therein) and ultimately with the EU Charter on fundamental rights and freedoms. When personal data is transferred and made accessible to entities outside the EU territory, the overarching legal framework provided within the Union no longer applies. | 2. 第5章の規定は、個人データが第三国または国際機関に移転された後も継続して保護されることを目的としています。個人データがEU域内で処理される場合は、GDPRの規則だけでなく、EUおよび加盟国レベルの他の規則によっても保護されます。これらの規則は、GDPR(その中で可能な例外規定を含む)、最終的には基本的権利と自由に関するEU憲章に沿ったものでなければなりません。個人データがEU域外の事業体に移転され、アクセスできるようになると、EU内で提供されている包括的な法的枠組みはもはや適用されません。 |
3. Therefore, it must be ensured that the transferred personal data is protected in other ways, such as by being transferred in the context of an adequacy decision from the European Commission or by provision of appropriate safeguards in accordance with Chapter V of the GDPR. When relying on one of the transfer tools listed in Article 46 GDPR, it must be assessed whether supplementary measures need to be implemented in order to bring the level of protection of the transferred data up to the EU standard of essential equivalence.[5] This applies also in situations where the processing falls under Article 3(2) of the GDPR, in order to avoid that the protection provided by the GDPR is undermined by other legislation that the importer falls under. This may for example be the case where the third country has rules on government access to personal data that go beyond what is necessary and proportionate in a democratic society (to safeguard one of the important objectives as also recognised in Union or Member States’ law, such as those listed in Article 23(1) GDPR). The provisions in Chapter V are there to compensate for this risk and to complement the territorial scope of the GDPR as defined by Article 3 when personal data is transferred to countries outside the EU. | 3. したがって、欧州委員会の妥当性決定に基づいて移転されたり、GDPRの第5章に従った適切な保護措置が提供されるなど、移転された個人データが他の方法で保護されていることが保証されなければなりません。GDPR第46条に記載されている移転手段のいずれかに依拠する場合、移転されたデータの保護レベルを本質的同等性のEU基準にまで引き上げるために、補足的な措置を実施する必要があるかどうかを評価しなければなりません。[5] これは、処理がGDPR第3条第2項に該当する場合にも適用され、越境受信者が該当する他の法律によってGDPRによる保護が損なわれることを回避するためです。これは例えば、第三国が個人データへの政府のアクセスについて、民主主義社会において必要かつ妥当な範囲を超えた規則を持っている場合(GDPR第23条1項に記載されているような、EUまたは加盟国の法律でも認識されている重要な目的の1つを保護するため)などに当てはまります。第5章の規定は、このようなリスクを補い、個人データがEU域外の国に移転される場合に、第3条で定義されたGDPRの地域的範囲を補完するためのものです。 |
4. The following sections aim at clarifying this interplay between Article 3 and the provisions of the GDPR on international transfers in Chapter V in order to assist controllers and processors in the EU in identifying whether a processing constitutes a transfer to a third country or to an international organisation and, as a result, whether they have to comply with the provisions of Chapter V of the GDPR. | 4. 以下のセクションでは、第3条とGDPR第5章の国際移転に関する規定との間の相互関係を明確にし、EUの管理者および処理者が、処理が第三国または国際組織への移転に該当するかどうか、その結果、GDPR第5章の規定を遵守しなければならないかどうかを確認するのに役立てることを目的としています。 |
5. It is however important to keep in mind that although a certain data flow may not constitute a transfer under Chapter V, such processing can still be associated with risks for which safeguards must be envisaged. Regardless of whether the processing takes place in the EU or not, controllers and processors always have to comply with all relevant provisions of the GDPR, such as the Article 32 obligation to implement technical and organizational measures taking into account, inter alia, the risks with respect to the processing. | 5. ただし、あるデータの流れが第5章の移転に該当しない場合でも、そのような処理には保護措置を想定しなければならないリスクが伴う可能性があることに留意する必要があります。処理がEU域内で行われるか否かにかかわらず、管理者および処理者は、特に処理に関するリスクを考慮した技術的および組織的措置を実施する第32条の義務など、GDPRのすべての関連規定を常に遵守しなければなりません。 |
2 CRITERIA TO QUALIFY A PROCESSING AS A TRANSFER OF PERSONAL DATA TO A THIRD COUNTRY OR TO AN INTERNATIONAL ORGANISATION | 2 処理を第三国または国際機関への個人データの移転と認定するための基準。 |
6. Since the GDPR does not provide for a legal definition of the notion “transfer of personal data to a third country or to an international organisation”,[6] it is essential to clarify this notion. | 6. GDPRでは、「個人データの第三国または国際機関への移転」という概念の法的定義が規定されていないため[6] この概念を明確にすることが不可欠です。 |
7. The EDPB has identified[7] the three following cumulative criteria that qualify a processing as a transfer: | 7. EDPBは、処理を移転と認定するために、以下の3つの累積基準を特定しました。[7] |
1) A controller or a processor is subject to the GDPR for the given processing. | 1) 管理者または処理者が、所定の処理についてGDPRの対象となること |
2) This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”). | 2) 管理者または処理者(「越境送信者」)が、この処理の対象となる個人データを、別の管理者、共同管理者または処理者(「越境受信者」)に送信またはその他の方法で開示すること |
3) The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3. | 3) 越境受信者が第三国に所在するか、または国際的な組織であること(当該越境受信者が第3条に基づく所定の処理に関してGDPRの適用を受けるか否かを問わない) |
8. It is useful to recall here that pursuant to Article 3, the application of the GDPR must always be assessed in relation to a certain processing rather than with regard to a specific entity (e.g. a company).[8] | 8. ここで思い出していただきたいのは、第3条に基づき、GDPRの適用は常に特定の企業(会社など)ではなく、特定の処理に関連して評価されなければならないということです。 [8] |
2.1 A controller or a processor is subject to the GDPR for the given processing | 2.1 管理者または処理者が、所定の処理についてGDPRの対象となること |
9. The first criterion requires that the processing at stake meets the requirements of Article 3 GDPR, i.e. that a controller or processor is subject to the GDPR for the given processing. This has been further elaborated on in the EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3). | 9. 第1の基準は、問題となっている処理がGDPR第3条の要件を満たしていること、すなわち管理者または処理者が、所定の処理についてGDPRの対象となること。このことは、GDPRの領域的範囲(第3条)に関するEDPBガイドライン3/2018でさらに詳しく説明されています。 |
10. It is worth underlining that controllers and processors, which are not established in the EU, may be subject to the GDPR pursuant to Article 3(2) for a given processing and, thus, will have to comply with Chapter V when transferring personal data to a third country or to an international organisation. | 10. EU域内で設立されていない管理者および処理者は、特定の処理について第3条(2)に基づきGDPRの適用を受ける可能性があり、したがって、個人データを第三国または国際機関に移転する際には、第5章を遵守しなければならないことを強調しておきます。 |
2.2 This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”) | 2.2 管理者または処理者(「越境送信者」)が、この処理の対象となる個人データを、別の管理者、共同管理者または処理者(「越境受信者」)に送信またはその他の方法で開示すること |
11. The second criterion requires that there is a controller or processor disclosing by transmission or otherwise making data available to another controller or processor. These concepts have been further elaborated on in the EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR. It should, inter alia, be kept in mind that the concepts of controller, joint controller and processor are functional concepts in that they aim to allocate responsibilities according to the actual roles of the parties and autonomous concepts in the sense that they should be interpreted mainly according to EU data protection law. A case-by-case analysis of the processing at stake and the roles of the actors involved is necessary.[9] | 11. 2つ目の基準は、データを他の管理者または処理者に送信またはその他の方法で開示する管理者または処理者が存在することを必要とします。これらの概念は、GDPRにおける管理者と処理者の概念に関するEDPBガイドライン07/2020でさらに詳しく説明されています。特に、管理者、共同管理者、処理者の概念は、当事者の実際の役割に応じて責任を割り当てることを目的とした機能的な概念であり、主にEUデータ保護法に従って解釈されるべきであるという意味で、自律的な概念であることを念頭に置く必要があります。問題となっている処理と関係者の役割をケースバイケースで分析することが必要です。 [9] |
12. This second criterion cannot be considered as fulfilled where the data are disclosed directly and on his/her own initiative by the data subject[10] to the recipient. In such case, there is no controller or processor sending or making the data available (“exporter”).[11] | 12. この第2の基準は、データ対象者が自らの意思で直接[10] 受信者にデータを開示する場合には、満たされているとは見なされない。この場合、データを送信または利用可能にする管理者または処理者は存在しません(「越境送信者」)。 [11] |
Example 1: Controller in a third country collects data directly from a data subject in the EU | 例1:第三国の管理者がEU内のデータ対象者から直接データを収集する場合 |
Maria, living in Italy, inserts her personal data by filling a form on an online clothing website in order to complete her order and receive the dress she bought online at her residence in Rome. The online clothing website is operated by a company established in Singapore with no presence in the EU. In this case, the data subject (Maria) passes her personal data to the Singaporean company, but this does not constitute a transfer of personal data since the data are not passed by an exporter (controller or processor), since they are passed directly and on her own initiative by the data subject herself. Thus, Chapter V does not apply to this case. Nevertheless, the Singaporean company will need to check whether its processing operations are subject to the GDPR pursuant to Article 3(2).[12] | イタリア在住のマリアさんは、オンラインで購入したドレスをローマの自宅で受け取るために、オンラインのアパレルサイトのフォームに個人情報を入力して注文を完了させました。この衣料品オンラインサイトは、シンガポールで設立された会社が運営しており、EU域内には存在しません。この場合、データ主体(マリア)は自分の個人データをシンガポールの会社に渡していますが、データ主体自身が直接かつ自発的に渡しているため、データは越境送信者(管理者または処理者)から渡されたものではなく、個人データの移転にはなりません。したがって、このケースにはChapter Vは適用されません。とはいえ、シンガポールの会社は、第3条(2)に従い、その処理業務がGDPRの対象となるかどうかを確認する必要があります。 [12] |
Example 2: Controller in the EU sends data to a processor in a third country | 例2:EUのコントローラが第三国のプロセッサにデータを送信する場合 |
Company X established in Austria, acting as controller, provides personal data of its employees or customers to a company Z established in Chile, which processes these data as processor on behalf of X. In this case, data are provided from a controller which, as regards the processing in question, is subject to the GDPR, to a processor in a third country. Hence, the provision of data will be considered as a transfer of personal data to a third country and therefore Chapter V of the GDPR applies. | オーストリアに設立されたX社は、管理者としてその従業員または顧客の個人データをチリに設立されたZ社に提供し、Z社はX社に代わって処理者としてこれらのデータを処理します。この場合、データは、当該処理に関してGDPRの対象となる管理者から第三国の処理者に提供されます。したがって、データの提供は、個人データの第三国への移転とみなされ、GDPRの第5章が適用されます。 |
13. It is also important to note that Article 44 of the GDPR clearly envisages that a transfer may not only be carried out by a controller but also by a processor. Therefore, there may be a transfer situation where a processor sends data to another processor or even to a controller as instructed by its controller. | 13.また、GDPR第44条では、移転は管理者だけでなく、処理者によっても行われる可能性があることが明確に想定されていることに留意する必要があります。したがって、処理者が他の処理者にデータを送信したり、あるいは制御者の指示に従って制御者にデータを送信したりする転送の状況があり得ます。 |
Example 3: Processor in the EU sends data back to its controller in a third country | 例3:EU内の処理者が第三国の管理者にデータを送り返す場合 |
XYZ Inc., a controller without an EU establishment, sends personal data of its employees/customers, all of them non-EU residents, to the processor ABC Ltd. for processing in the EU, on behalf of XYZ. ABC re-transmits the data to XYZ. The processing performed by ABC, the processor, is covered by the GDPR for processor specific obligations pursuant to Article 3(1), since ABC is established in the EU. Since XYZ is a controller in a third country, the disclosure of data from ABC to XYZ is regarded as a transfer of personal data and therefore Chapter V applies. | EU域内に拠点を持たない管理者であるXYZ Inc.は、XYZに代わってEU域内で処理するために、その従業員/顧客(全員が非EU居住者)の個人データを処理者であるABC Ltd.に送信します。ABCはデータをXYZに再送信する。処理者であるABC社が行う処理は、ABC社がEUで設立されているため、GDPRの第3条(1)に基づく処理者固有の義務の対象となる。XYZは第三国の管理者であるため、ABCからXYZへのデータの開示は、個人データの移転とみなされ、第5章が適用される。 |
Example 4: Processor in the EU sends data to a sub-processor in a third country | 例4:EU内の処理者が第三国の再委託処理者にデータを送信する場合 |
Company A established in Germany, acting as controller, has engaged B, a French company, as a processor on its behalf. B wishes to further delegate a part of the processing activities that it is carrying out on behalf of A to sub-processor C, a company established in India, and hence to send the data for this purpose to C. The processing performed by both A and its processor B is carried out in the context of their establishments in the EU and is therefore subject to the GDPR pursuant to its Article 3(1), while the processing by C is carried out in a third country. Hence, the passing of data from processor B to sub-processor C is a transfer to a third country, and Chapter V of the GDPR applies. | 管理者であるドイツの会社Aは、その代理としてフランスの会社Bに処理者として従事しています。Bは、Aに代わって行っている処理活動の一部を、インドで設立された会社である再委託処理者Cにさらに委任することを希望しており、そのためにデータをCに送信します。Aとその処理者Bの両方が行っている処理は、EU内の事業所に関連して行われているため、GDPRの第3条1項に基づいてGDPRの対象となりますが、Cによる処理は第三国で行われています。したがって、処理者Bから再委託処理者Cへのデータの受け渡しは第三国への移転であり、GDPRの第V章が適用されます。 |
14. The second criterion implies that the concept of “transfer of personal data to a third country or to an international organisation” only applies to disclosures of personal data where two different (separate) parties (each of them a controller, joint controller or processor) are involved. In order to qualify as a transfer, there must be a controller or processor disclosing the data (the exporter) and a different controller or processor receiving or being given access to the data (the importer). | 14. 第2の基準は、「個人データの第三国または国際機関への移転」という概念が、2つの異なる(別の)当事者(それぞれが管理者、共同管理者または処理者)が関与する個人データの開示にのみ適用されることを意味する。移転と認められるためには、データを開示する管理者または処理者(越境送信者)と、データを受け取るまたはデータへのアクセスを与えられる別の管理者または処理者(越境受信者)がいなければなりません。 |
Example 5: Employee of a controller in the EU travels to a third country on a business trip | 例5:EUの管理者の従業員が出張で第三国に行く場合 |
George, employee of A, a company based in Poland, travels to India for a meeting. During his stay in India, George turns on his computer and accesses remotely personal data on his company’s databases to finish a memo. This remote access of personal data from a third country, does not qualify as a transfer of personal data, since George is not another controller, but an employee, and thus an integral part of the controller (company A). Therefore, the disclosure is carried out within the same controller (A). The processing, including the remote access and the processing activities carried out by George after the access, are performed by the Polish company, i.e. a controller established in the Union subject to Article 3(1) of the GDPR. | ポーランドに本社を置くA社の社員であるジョージは、会議のためにインドに出張した。インド滞在中、ジョージはコンピュータを起動し、メモを仕上げるために会社のデータベース上の個人データに遠隔地からアクセスしました。ジョージは他の管理者ではなく従業員であり、管理者(A社)と一体化しているため、このような第三国からの個人データの遠隔アクセスは、個人データの移転とは認められません。したがって、開示は同じ管理者(A社)内で行われます。リモートアクセスおよびアクセス後にジョージが行った処理活動を含む処理は、ポーランドの会社、すなわちGDPR第3条第1項の適用を受ける欧州連合内に設立された管理者によって行われます。 |
15. Hence, if the sender and the recipient are not different controllers/processors, the disclosure of personal data should not be regarded as a transfer under Chapter V of the GDPR – since data is processed within the same controller/processor. In this context, it should be kept in mind that controllers and processors are nevertheless obliged to implement technical and organisational measures, considering the risks with respect to their processing activities, in accordance with Article 32 of the GDPR. | 15. したがって、送信者と受信者が異なる管理者/処理者ではない場合、データは同一の管理者/処理者内で処理されるため、個人データの開示はGDPRの第V章に基づく移転とみなされるべきではありません。なお、管理者および処理者は、GDPR第32条に基づき、その処理活動に関するリスクを考慮した技術的および組織的措置を実施する義務があることに留意する必要があります。 |
16. It should also be recalled that entities which form part of the same corporate group may qualify as separate controllers or processors. Consequently, data disclosures between entities belonging to the same corporate group (intra-group data disclosures) may constitute transfers of personal data. | 16. また、同一企業グループに属する企業が、別個の管理者または処理者としての資格を有する場合があることにも留意する必要があります。したがって、同じ企業グループに属する企業間でのデータ開示(グループ内データ開示)は、個人データの移転を構成する可能性があります。 |
Example 6: A subsidiary (controller) in the EU shares data with its parent company (processor) in a third country | 例6:EU域内の子会社(管理者)が第三国の親会社(処理者)とデータを共有する場合 |
The Irish Company A, which is a subsidiary of the U.S. parent Company B, discloses personal data of its employees to Company B to be stored in a centralized HR database by the parent company in the U.S. In this case the Irish Company A processes (and discloses) the data in its capacity of employer and hence as a controller, while the parent company is a processor. Company A is subject to the GDPR pursuant to Article 3(1) for this processing and Company B is situated in a third country. The disclosure therefore qualifies as a transfer to a third country within the meaning of Chapter V of the GDPR. | 米国の親会社B社の子会社であるアイルランドのA社は、その従業員の個人データをB社に開示し、米国の親会社が一元化した人事データベースに保存しています。この場合、アイルランドのA社は雇用者として、つまり管理者としてデータを処理(および開示)し、親会社は処理者となります。A社はこの処理についてGDPR第3条第1項に準拠しており、B社は第三国に所在しています。したがって、この開示は、GDPRの第5章にいう第三国への移転に該当します。 |
17. Although a certain data flow may not qualify as a “transfer” to a third country in accordance with Chapter V of the GDPR, including example 5, such processing can still be associated with risks, for example due to conflicting national laws or government access in a third country as well as difficulties to enforce and obtain redress against entities outside the EU. The controller is accountable for its processing activities, regardless of where they take place, and must comply with the GDPR, including Article 24 (“Responsibility of the controller”), 32 (“Security of processing”), 33 (“Notification of a personal data breach”), 35 (“Data Protection Impact Assessment”), 48 (“Transfers or disclosures not authorised by Union law”), etc. Following from its obligation to implement technical and organisational measures taking into account, inter alia, the risks with respect to the processing under Article 32 of the GDPR, a controller may very well conclude that extensive security measures are needed – or even that it would not be lawful – to conduct or proceed with a specific processing operation in a third country although there is no “transfer” situation. For example, a controller may conclude that employees cannot bring their laptops, etc. to certain third countries. | 17.例5を含むGDPRの第5章に基づき、あるデータフローが第三国への「移転」として適格ではない場合がありますが、そのような処理は、例えば、第三国の国内法や政府のアクセスが競合することや、EU域外の事業体に対して権利を行使して救済を得ることが困難であることなどのリスクを伴う可能性があります。管理者は、その処理活動がどこで行われているかに関わらず責任を負い、第24条(「管理者の責任」)、第32条(「処理のセキュリティ」)、第33条(「個人データ侵害の通知」)、第35条(「データ保護影響評価」)、第48条(「EU法で認められていない移転または開示」)など、GDPRを遵守しなければなりません。GDPR第32条に基づく処理に関するリスクを特に考慮した技術的および組織的な対策を実施する義務に続いて、管理者は、「移転」の状況ではないにもかかわらず、第三国で特定の処理作業を実施または続行するためには、大規模なセキュリティ対策が必要である、あるいは合法的ではないと結論づけることができます。例えば、管理者は、従業員がノートパソコンなどを特定の第三国に持ち込むことはできないと結論づけることができます。 |
2.3 The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3 | 2.3 越境受信者が第三国に所在するか、または国際的な組織の場合(当該越境受信者が第3条に基づく所定の処理に関してGDPRの適用を受けるか否かを問わない) |
18 The third criterion requires that the importer is geographically in a third country or is an international organisation, but regardless of whether the processing at hand falls under the scope of the GDPR. | 18 3つ目の基準は、越境受信者が地理的に第三国にいるか、国際的な組織であることを要求していますが、目の前の処理がGDPRの範囲に該当するかどうかは関係ありません。 |
Example 7: Processor in the EU sends data back to its controller in a third country | 例7:EU内の処理者が第三国の管理者にデータを送り返す場合 |
Company A, a controller without an EU establishment, offers goods and services to the EU market. The French company B, is processing personal data on behalf of company A. B re-transmits the data to A. The processing performed by the processor B is covered by the GDPR for processor specific obligations pursuant to Article 3(1), since it takes place in the context of the activities of its establishment in the EU. The processing performed by A is also covered by the GDPR, since Article 3(2) applies to A. However, since A is in a third country, the disclosure of data from B to A is regarded as a transfer to a third country and therefore Chapter V applies. | EUに事業所を持たない管理者であるA社は、EU市場に商品やサービスを提供しています。フランスの企業Bは、A社に代わって個人データを処理しており、BはA社にデータを再送信しています。処理者Bが行う処理は、EU内に設立された企業の活動に関連して行われているため、GDPRの第3条第1項に基づく処理者固有の義務の対象となります。しかし、Aは第三国にいるため、BからAへのデータの開示は第三国への移転とみなされ、第V章が適用されます。 |
3 CONSEQUENCES | 3 結果 |
19. If all of the criteria as identified by the EDPB are met, there is a “transfer to a third country or to an international organisation”. Thus, a transfer implies that personal data are sent or made available by a controller or processor (exporter) which, regarding the given processing, is subject to the GDPR pursuant to Article 3, to a different controller or processor (importer) in a third country, regardless of whether or not this importer is subject to the GDPR in respect of the given processing. | 19. EDPBによって特定された基準がすべて満たされた場合、「第三国または国際組織への移転」が行われます。したがって、移転とは、所定の処理に関してGDPRの適用を受ける管理者または処理者(越境送信者)が、当該処理に関して越境受信者がGDPRの適用を受けるか否かにかかわらず、個人データを第三国の異なる管理者または処理者(越境受信者)に送信または利用可能にすることを意味します。 |
20. As a consequence, the controller or processor in a “transfer” situation (according to the criteria described above) needs to comply with the conditions of Chapter V and frame the transfer by using the instruments which aim at protecting personal data after they have been transferred to a third country or an international organisation. | 20. その結果、(上述の基準による)「移転」状況にある管理者または処理者は、第V章の条件を遵守し、第三国または国際機関に移転された後の個人データの保護を目的とした手段を用いて移転を行う必要があります。 |
21. These instruments include the recognition of the existence of an adequate level of protection in the third country or international organisation to which the data is transferred (Article 45) or, in the absence of such adequate level of protection, the implementation by the exporter (controller or processor) of appropriate safeguards as provided for in Article 46.[13] According to Article 49, personal data can be transferred to a third country or an international organisation without the existence of an adequate level of protection or the implementation of appropriate safeguards only in specific situations and under certain conditions. | 21. これらの手段には、データが転送される第三国または国際機関における適切なレベルの保護の存在を認識すること(第45条)、またはそのような適切なレベルの保護がない場合には、第46条に規定されているように、越境送信者(管理者または処理者)が適切な保護措置を実施することが含まれる。[13] 第49条によれば、個人データは、特定の状況および一定の条件の下でのみ、十分な保護水準の存在または適切な保護措置の実施なしに、第三国または国際機関に移転することができる。 |
22. The main types of transfer tools listed in Article 46 are: | 22. 第46条に記載されている主な転送ツールの種類は以下の通りです。 |
• Standard Contractual Clauses (SCCs). | • SCC(Standard Contractual Clauses)。 |
• Binding Corporate Rules (BCRs). | • Binding Corporate Rules(BCR)の略。 |
• Codes of conduct. | • 行動規範。 |
• Certification mechanisms. | • 認証メカニズム。 |
• Ad hoc contractual clauses. | • アドホックな契約条項 |
• International agreements/Administrative arrangements. | • 国際協定/管理上の取り決め |
23. The content of the safeguards needs to be customized depending on the situation. As an illustration, the guarantees to be provided for a transfer of personal data by a processor are not the same as the ones to be provided for a transfer by a controller.[14] Similarly, for a transfer of personal data to a controller in a third country less protection/safeguards are needed if such controller is already subject to the GDPR for the given processing. Therefore, when developing relevant transfer tools (which currently are only available in theory), i.e. standard contractual clauses or ad hoc contractual clauses, the Article 3(2) situation should be taken into account in order not to duplicate the GDPR obligations but rather to address the elements and principles that are “missing” and, thus, needed to fill the gaps relating to conflicting national laws and government access in the third country as well as the difficulty to enforce and obtain redress against an entity outside the EU. To clarify, such tools should, for example, address the measures to be taken in case of conflict of laws between third country legislation and the GDPR and in the event of third country legally binding requests for disclosure of data. The EDPB encourages and stands ready to cooperate in the development of a transfer tool, such as a new set of standard contractual clauses, in cases where the importer is subject to the GDPR for the given processing in accordance with Article 3(2). | 23. 保障措置の内容は、状況に応じてカスタマイズする必要があります。同様に、第三国の管理者への個人データの移転については、当該管理者が所定の処理について既にGDPRの適用を受けている場合には、より少ない保護/セーフガードが必要となります[14]。したがって、(現在は理論的にしか利用できない)関連する移転ツール、すなわち標準的な契約条項やアドホックな契約条項を開発する際には、GDPRの義務を重複させるのではなく、むしろ「欠けている」要素や原則に対処するために、矛盾する国内法や第三国の政府のアクセス、EU域外の事業体に対する強制執行や救済を受けることの難しさに関連するギャップを埋めるために必要な、第3条2項の状況を考慮する必要があります。明確にするために、このようなツールは、例えば、第三国の法律とGDPRが抵触する場合や、第三国の法的拘束力のあるデータ開示要求があった場合に取るべき措置を扱うべきです。EDPBは、輸入業者が第3条(2)に従って所定の処理についてGDPRの適用を受ける場合には、新しい標準契約条項などの移転ツールの開発を奨励し、協力する用意があります。 |
24. To summarize, if the criteria as identified by the EDPB are not met, there is no “transfer” and Chapter V of the GDPR does not apply. As already mentioned, a controller is nonetheless accountable for all processing that it controls, regardless of where it takes place, and data processing in third countries may involve risks which need to be identified and handled (mitigated or eliminated, depending on the circumstances) in order for such processing to be lawful under the GDPR. | 24. 要約すると、EDPBによって特定された基準が満たされていない場合、「移転」はなく、GDPRの第V章は適用されません。すでに述べたように、管理者は、それがどこで行われるかに関わらず、管理するすべての処理に対して責任を負います。また、第三国でのデータ処理にはリスクが伴う場合があり、GDPRの下で当該処理を合法的なものとするためには、リスクを特定し、処理(状況に応じて軽減または排除)する必要があります。 |
25. It is worth underlining that controllers and processors whose processing is subject to the GDPR pursuant to Article 3 always have to comply with Chapter V of the GDPR when they disclose personal data to a controller or processor in a third country or to an international organisation. This also applies to disclosures of personal data carried out by controllers/processors which are not established in the EU but are subject to the GDPR pursuant to Article 3(2) to a controller or processor in the same or another third country. | 25. 第3条に従ってGDPRの対象となる処理を行う管理者および処理者は、個人データを第三国の管理者または処理者、あるいは国際機関に開示する際には、常にGDPRの第5章を遵守しなければならないことを強調しておきます。これは、EU域内で設立されていないが、第3条(2)に基づきGDPRの対象となる管理者・処理者が、同じ国または他の第三国の管理者・処理者に対して行う個人データの開示にも適用されます。 |
[1] References to “EU” and “Member States” made throughout this document should be understood as references to “EEA” and “EEA Member States” respectively. | [1]本書では、「EU」および「加盟国」という表現は、それぞれ「EEA」および「EEA加盟国」を指すものと理解してください。 |
[2] “Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation.” | [2] "第三国または国際機関への移転後に処理中または処理が意図されている個人データの移転は、第三国または国際機関から他の第三国または国際機関への個人データの転送の場合も含め、本規則の他の規定に従い、本章に定める条件が管理者および処理者によって遵守されている場合にのみ行われるものとする。" |
[3] “International organisation” means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries. | [3] 「国際組織」とは、国際公法が適用される組織およびその下部組織、または2国以上の国の間の合意に基づいて設立されたその他の組織をいう。 |
[4] Besides Recital 101, this is particularly emphasized by Article 44, sentence 2 which reads: “All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined.” | [4]このことは、Recital 101の他に、第44条の第2文で特に強調されている。「この章のすべての規定は、この規則が保証する自然人の保護レベルが損なわれないように適用されなければならない」。 |
[5] See EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data and EDPB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures. | [5] EUレベルの個人情報保護への準拠を確保するための移転ツールを補完する措置に関するEDPB勧告01/2020と、監視措置のための欧州必須保証に関するEDPB勧告02/2020を参照。 |
[6] Article 44, sentence 1. | [6] Article 44, sentence 1. |
[7] Having regard to relevant findings in the CJEU Judgment of 6 November 2003, Bodil Lindqvist, C-101/01, EU:C:2003:596. | [7] 2003年11月6日のCJEU判決、Bodil Lindqvist, C-101/01, EU:C:2003:596の関連する所見を考慮しています。 |
[8] See Sections 1–3 of the EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3). | [8]GDPRの領土的範囲(第3条)に関するEDPBガイドライン3/2018のセクション1~3 を参照してください。 |
[9] See page 9 of the EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR. | [9]GDPRにおけるコントローラとプロセッサの概念については、EDPBガイドライン07/2020の9ページを参照してください。 |
[10] The data subject cannot be considered a controller or processor. This follows from Article 4(10) GDPR which differentiates between controller/processor and data subject. Hence, a data subject disclosing his/her own personal data cannot be considered an “exporter”. This is without prejudice to the fact that a natural person/an individual can be a controller/processor in accordance with Article 4(7) and 4(8) GDPR (e.g. as a self-employed person). However, this does not limit the protection that natural persons acting as a controller/processor enjoy where their own personal data are concerned. | [10] データ主体は、管理者または処理者とみなすことはできません。これは、管理者/処理者とデータ主体を区別しているGDPR第4条(10)から導かれるものです。したがって、データ主体が自身の個人データを開示しても「越境送信者」とはみなされません。これは、自然人/個人がGDPR第4条(7)および第4条(8)に従って管理者/処理者になることができるという事実を損なうものではありません(例えば、自営業者として)。しかし、このことは、管理者/処理者として行動する自然人が、自身の個人データが関係する場合に享受する保護を制限するものではありません。 |
[11] In addition, it is important to recall that where the processing of personal data is carried out “by a natural person in the course of a purely personal or household activity”, such processing will, in accordance with Article 2(2)(c), fall outside the material scope of the GDPR. | [11]さらに、個人データ の処理が「純粋に個人的または家庭的な活動の過程で自然人によって」行われる場合、そのような処理は、第2条2項(c)に従い、GDPRの重要な範囲外となることを覚えておくことが重要です。 |
[12] In this regard, see Recital 23, which includes elements to be assessed when determining whether the targeting criterion in Article 3(2)(a) GDPR is met. | [12]この点については、GDPR第3条(2)(a)のターゲティング基準が満たされているかどうかを判断する際に評価すべき要素が含まれている Recital 23を参照してください。 |
[13] In this context, see also the EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. | [13]これに関連して、個人データの保護に関するEUレベルへの準拠を確保するために転送ツールを補完する措置に関するEDPB勧告01/2020も参照してください。 |
[14] Cf. Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council. | [14] Cf.欧州議会および理事会の規則(EU)2016/679に基づく個人データの第三国への移転のための標準契約条項に関する2021年6月4日の欧州委員会実施決定(EU)2021/914。 |
Comments