« NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。 | Main | 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」 »

2022.05.19

欧州データ保護委員会 (EDPB) 意見募集「課徴金計算に関するガイドライン」

こんにちは、丸山満彦です。

EDPBが「課徴金計算に関するガイドライン」の案を公表し、意見募集をしていますね。。。

金額が大きくなりますからね、、、

 

European Data Protection Board: EDPB

プレス

・2022.05.16 EDPB adopts Guidelines on calculation of fines & Guidelines on the use of facial recognition technology in the area of law enforcement

EDPB adopts Guidelines on calculation of fines & Guidelines on the use of facial recognition technology in the area of law enforcement EDPB、課徴金計算に関するガイドラインと法執行分野における顔認識技術の使用に関するガイドラインを採択
Brussels, 16 May - The EDPB adopted new Guidelines on the calculation of administrative fines, harmonising the methodology data protection authorities (DPAs) use. The guidelines also include harmonised ‘starting points’ for the calculation of a fine. Hereby, three elements are considered: the categorisation of infringements by nature, the seriousness of the infringement and the turnover of a business. ブリュッセル、5月16日 - EDPBは、データ保護当局(DPA)が使用する方法を調和させた、行政罰の計算に関する新しいガイドラインを採択した。同ガイドラインには、罰金計算のための「出発点」の調和も含まれています。このガイドラインでは、侵害の性質による分類、侵害の重大性、企業の売上高の3つの要素が考慮されています。
EDPB Chair, Andrea Jelinek said: “From now on, DPAs across the EEA will follow the same methodology to calculate fines. This will boost further harmonisation and transparency of the fining practice of DPAs. The individual circumstances of a case must always be a determining factor and DPAs have an important role in ensuring that each fine is effective, proportionate and dissuasive.” EDPB議長のAndrea Jelinekは次のように述べています。「今後、EEA全域のDPAは、同じ方法論に従って制裁金を算出することになります。これにより、DPAの制裁金実務の調和と透明性がさらに高まるでしょう。案件の個々の状況は常に決定要因でなければならず、DPAは、各罰金額が効果的、比例的、かつ抑制的であることを保証する重要な役割を担っています」。
The guidelines set out a 5-step calculation methodology. First, DPAs have to establish whether the case at stake concerns one or more instances of sanctionable conduct and if they have led to one or multiple infringements. The purpose is to clarify if all the infringements or only some of them can be fined. ガイドラインは、5段階の計算方法を定めています。第一に、DPAは、問題となっているケースが制裁対象となる1つまたは複数の事例に関するものかどうか、また、それらが1つまたは複数の違反行為につながったものかどうかを確定しなければなりません。その目的は、すべての違反行為に罰金を科すことができるのか、それとも一部の違反行為にのみ罰金を科すことができるのかを明確にすることにあります。
Second, DPAs have to rely on a starting point for the calculation of the fine for which the EDPB provides a harmonised method. 第二に、DPAは、EDPBが調和された方法を提供する罰金の計算の出発点に依存しなければならなりません。
Third, DPAs have to consider aggravating or mitigating factors that can increase or decrease the amount of the fine, for which the EDPB provides a consistent interpretation. 第三に、DPAは、罰金額を増減させうる加重または減軽要素を考慮しなければなりませんが、これについてはEDPBが一貫した解釈を示します。
The fourth step is to determine the legal maximums of fines as set out in Art. 83 (4)-(6) GDPR and to ensure that these amounts are not exceeded. 第四段階は、第83条(4)~(6)に規定されている罰金の法的上限を決定することです。GDPRの第83条(4)~(6) に規定されている罰金の法的上限を決定し、これらの金額を超えないようにします。
In the fifth and last step, DPAs need to analyse whether the calculated final amount meets the requirements of effectiveness, dissuasiveness and proportionality or whether further adjustments to the amount are necessary. 最後の第五段階では、DPAは、算出された最終金額が有効性、抑制性、比例性の要件を満たしているか、あるいは金額に対するさらなる調整が必要かを分析する必要があります。
The guidelines are an important addition to the framework the EDPB is building for more efficient cooperation among DPAs on cross-border cases, a strategic priority for the EDPB. 本ガイドラインは、EDPBの戦略的優先事項であるクロスボーダー案件に関するDPA間のより効率的な協力のために、EDPBが構築中のフレームワークに追加される重要なものです。
The guidelines will be submitted for public consultation for a period of 6 weeks. Following public consultation, a final version of the guidelines will be adopted, taking into account stakeholder feedback, and will include a reference table with a range of starting points for the calculation of a fine, correlating the seriousness of an infringement with the turnover of an undertaking. 本ガイドラインは、6週間のパブリックコンサルテーションに付される予定です。パブリックコンサルテーションの後、利害関係者からのフィードバックを考慮した最終版が採択され、違反行為の重大性と事業者の売上高を関連付ける、罰金計算の出発点の範囲を示す参照表が含まれる予定です。
... ...

 

・2022.05.16 Guidelines 04/2022 on the calculation of administrative fines under the GDPR

・[PDF] Guidelines 04/2022 on the calculation of administrative fines under the GDPR Version 1.0

20220519-83835

 

CHAPTER 1 – INTRODUCTION 第1章 導入
1.1 - Legal framework 1.1 法的枠組み
1.2 - Objective 1.2 目的
1.3 - Scope 1.3 適用範囲
1.4 - Applicability 1.4 適合性
CHAPTER 2 – METHODOLOGY FOR CALCULATING THE AMOUNT OF THE FINE 第2章 課徴金の額の算定方法
2.1 - General considerations 2.1 一般的な考慮事項
2.2 - Overview of the methodology 2.2 方法論の概要
2.3 - Infringements with fixed amounts 2.3 金額が確定している違反行為
CHAPTER 3 – CONCURRENT INFRINGEMENTS AND THE APPLICATION OF ARTICLE 83(3) GDPR 第3章 同時の侵害と GDRP 第 83 条(3)の適用
3.1- One sanctionable conduct 3.1 制裁の対象となる 1 つの行為
3.1.1 - Concurrence of Offences 3.1.1 違反行為の同時発生
Principle of specialty 専門性の原則
Principle of subsidiarity 補完性の原則
Principle of consumption 消費の原則
3.1.2 - Unity of action - Article 83(3) GDPR 3.1.2 行為の統一性 - GDPR第83条(3)
3.2 - Multiple sanctionable conducts 3.2 複数の制裁対象行為
CHAPTER 4 – STARTING POINT FOR CALCULATION 第4章 計算の出発点
4.1 - Categorisation of infringements under Articles 83(4)–(6) GDPR 4.1 GDPR第83条(4)~(6)項に基づく侵害の分類
4.2 - Seriousness of the infringement in each individual case 4.2 個々のケースにおける侵害の深刻度
4.2.1 - Nature, gravity and duration of the infringement 4.2.1 侵害の性質、重大性及び期間
4.2.2 - Intentional or negligent character of the infringement 4.2.2 侵害の故意または過失の性質
4.2.3 - Categories of personal data affected 4.2.3 影響を受ける個人データのカテゴリー
4.2.4 - Classifying the seriousness of the infringement and identifying the appropriate starting amount 4.2.4 侵害の重大性の分類と適切な開始金額の特定
4.3 - Turnover of the undertaking with a view to imposing an effective, dissuasive and proportionate fine 4.3 効果的、抑制的かつ適切な罰金を課すための事業者の売上高
CHAPTER 5 – AGGRAVATING AND MITIGATING CIRCUMSTANCES 第5章 加重および緩和状況
5.1 - Identification of aggravating and mitigating factors 5.1 悪化要因及び緩和要因の特定
5.2 - Actions taken by controller or processor to mitigate damage suffered by data subjects 5.2 データ対象者が被った損害を軽減するために管理者または処理者がとった措置
5.3 - Degree of responsibility of the controller or processor 5.3 管理者または処理者の責任の度合い
5.4 - Previous infringements by the controller or processor 5.4 管理者又は処理者による以前の侵害
5.4.1 - Time frame 5.4.1 時間枠
5.4.2 - Subject matter 5.4.2 対象者
5.4.3 - Other considerations 5.4.3 その他の考慮事項
5.5 - Degree of cooperation with the supervisory authority in order to remedy the infringement and mitigate the possible adverse effects of the infringement 5.5 侵害を是正し、侵害の起こり得る悪影響を軽減するための監督当局との協力の度合い
5.6 - The manner in which the infringement became known to the supervisory authority 5.6 侵害が監督当局に知られるようになった方法
5.7 - Compliance with measures previously ordered with regard to the same subject matter 5.7 同一対象に関して過去に命じられた措置の遵守状況
5.8 - Adherence to approved codes of conduct or approved certification mechanisms 5.8 承認された行動規範又は承認された認証メカニズムへの遵守
5.9 - Other aggravating and mitigating circumstances 5.9 その他の加重および緩和的な状況
CHAPTER 6 – LEGAL MAXIMUM AND CORPORATE LIABILITY 第6章 法的上限と企業責任
6.1 - Determining the Legal Maximum 6.1 法的上限額の決定
6.1.1 - Static maximum amounts 6.1.1 静的な最大量
6.1.2 - Dynamic maximum amounts 6.1.2 動的な最大量
6.2 - Determining the undertaking’s turnover and corporate liability 6.2 事業の売上高および企業責任の決定
6.2.1 - Determining an undertaking and corporate liability 6.2.1 事業と企業責任の決定
6.2.2 - Determining the turnover 6.2.2 売上高の決定
CHAPTER 7 – EFFECTIVENESS, PROPORTIONALITY AND DISSUASIVENESS 第7章 - 有効性、比例性、抑止性
7.1 - Effectiveness 7.1節 有効性
7.2 - Proportionality 7.2節 比例性
7.3 - Dissuasiveness 7.3節 抑止性
CHAPTER 8 – FLEXIBILITY AND REGULAR EVALUATION 第8章 柔軟性と定期的な評価

 

 

 

|

« NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。 | Main | 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。 | Main | 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」 »