欧州 EDPB 個人データの越境に関するガイド２つ...

こんにちは、丸山満彦です。

EDPBが、個人データの越境に関するガイドを２つと、ソーシャルメディアのユーザーインターフェース等の設計上の留意点？についてのガイドを公表していますが、今回は個人データの越境に関するガイドの方。。。

(27日には、EDPB 認証のための国家基準および欧州データ保護シールに関するEDPB意見の採択手続きに関する文書も公表しています...多分後ほど...)

また、中国も個人データの越境に関する標準約款に関する発表をしていますが、こちらも後ほど...

 

● EDPB

・2023.02.24 EDPB publishes three guidelines following public consultation

EDPB publishes three guidelines following public consultation	EDPB、パブリックコンサルテーションの結果、3つのガイドラインを発表
Following public consultation, the EDPB has adopted three sets of guidelines in their final version:	EDPBは、パブリック・コンサルテーションを経て、3つのガイドラインを最終版として採択した。
Guidelines on the Interplay between the application of Art. 3 and the provisions on international transfers as per Chapter V GDPR: The Guidelines clarify the interplay between the territorial scope of the GDPR (Art. 3) and the provisions on international transfers in Chapter V. They aim to assist controllers and processors when identifying whether a processing operation constitutes an international transfer, and to provide a common understanding of the concept of international transfers. Following public consultation, the guidelines were updated and further clarifications were added. Most notably, a clarification was added regarding the responsibilities of the controller when the data exporter is a processor. In addition, further examples were added to clarify aspects of direct collection, as well as the meaning of “the data importer is in a third country”. Moreover, an annex was added with further illustrations of the examples included in the guidelines to facilitate understanding.	第3条の適用とGDPR第5章の国際的な移転に関する規定の相互作用に関するガイドライン。3とGDPR第5章の国際移転に関する規定との相互作用に関するガイドライン」である。 本ガイドラインは、GDPRの適用範囲（第3条）と第5章の国際移転に関する規定の相互関係を明確にするもので、管理者と処理者が処理業務が国際移転に該当するかどうかを特定する際に支援し、国際移転の概念に関する共通理解を提供することを目的としている。パブリックコンサルテーションの後、ガイドラインは更新され、さらなる明確化が加えられた。最も注目すべきは、データ越境送信者が処理者である場合の管理者の責任に関する明確化が追加されたことである。さらに、直接収集の側面や、「データの越境受信者が第三国にいる」ことの意味を明確にするために、さらなる例が追加された。さらに、ガイドラインに含まれる例をさらに図解した附属書を追加し、理解を容易にした。
Guidelines on certification as a tool for transfers: The main purpose of these guidelines is to provide further clarification on the practical use of this transfer tool. The guidelines are composed of four parts, each focusing on specific aspects regarding certification as a tool for transfers. The guidelines complement guidelines 1/2018 on certification, which provide more general guidance on certification. Following public consultation, the Guidelines were updated to reflect comments received.	移転のためのツールとしての認証に関するガイドライン。 本ガイドラインの主な目的は、この移転ツールの実用的な使用方法をさらに明確にすることである。本ガイドラインは4つのパートで構成され、それぞれが譲渡のためのツールとしての認証に関する特定の側面に焦点を当てている。本ガイドラインは、認証に関するより一般的なガイダンスを提供する、認証に関するガイドライン1/2018を補完するものである。パブリックコンサルテーションの後、寄せられたコメントを反映して、ガイドラインは更新された。
Guidelines on deceptive design patterns in social media platform interfaces: The guidelines offer practical recommendations to designers and users of social media platforms on how to assess and avoid deceptive design patterns in social media interfaces that infringe on GDPR requirements. The guidelines give concrete examples of deceptive design pattern types, present best practices for different use cases and contain specific recommendations for designers of user interfaces that facilitate the effective implementation of the GDPR. Following public consultation, the final version integrates updated wording and further clarifications in order to address comments and feedback received. In particular, the title of the Guidelines has been modified and the term “dark pattern” has been replaced by the term “deceptive design patterns”. In addition, some clarifications were added, for example on how to integrate the present Guidelines in the design thinking process and a second Annex  was added, providing a quick overview of all the best practices.	ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザイン・パターンに関するガイドライン。 本ガイドラインは、ソーシャルメディアプラットフォームの設計者や利用者に対し、GDPRの要件を侵害するソーシャルメディアインターフェースの欺瞞的なデザインパターンをどのように評価し回避するかについて、実践的な推奨を行うものである。ガイドラインは、欺瞞的デザインパターンのタイプの具体例を示し、異なるユースケースに対するベストプラクティスを提示し、GDPRの効果的な実施を促進するユーザーインターフェースの設計者に対する特定の推奨事項を含んでいる。パブリックコンサルテーションを経て、最終版では、寄せられたコメントやフィードバックに対応するため、文言の更新とさらなる明確化が行われている。特に、ガイドラインのタイトルが変更され、「ダークパターン」という用語が「ディセプティブデザインパターン」という用語に置き換えられている。さらに、デザイン思考プロセスにおける本ガイドラインの統合方法など、いくつかの説明が追加され、すべてのベストプラクティスの概要を提供する第二の附属書が追加された。

 

・2023.02.24 Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

・[PDF] 

 

・[DOCX] 仮訳

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
The GDPR does not provide for a legal definition of the notion “transfer of personal data to a third country or to an international organisation”. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer:	GDPRは、「個人データの第三国または国際機関への移転」という概念の法的な定義を定めていない。そこで、EDPBは、第5章の要件が適用されるべきと考えるシナリオを明確にするために本ガイドラインを提供し、そのために、処理操作を移転と認定するための3つの累積的基準を特定した。
1)     A controller or a processor (“exporter”) is subject to the GDPR for the given processing.	1)     管理者または処理者（「越境送信者」）は、所定の処理についてGDPRの適用を受ける。
2)     The exporter discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).	2)     越境送信者は、この処理の対象となる個人データを、他の管理者、共同管理者または処理者（「越境受信者」）に伝送することにより開示し、またはその他の方法で利用可能にする。
3)     The importer is in a third country, irrespective of whether or not this importer is subject to the GDPR for the given processing in accordance with Article 3, or is an international organisation.	3)     越境受信者が第三国にいる場合。この越境受信者が第3条に従って所定の処理についてGDPRの適用を受けるかどうか、または国際組織であるかどうかは関係ない。
If the three criteria as identified by the EDPB are met, there is a transfer and Chapter V of the GDPR is applicable. This means that the transfer can only take place under certain conditions, such as in the context of an adequacy decision from the European Commission (Article 45) or by providing appropriate safeguards (Article 46). The provisions of Chapter V aim at ensuring the continued protection of personal data after they have been transferred to a third country or to an international organisation.	EDPBによって特定された3つの基準を満たす場合、移転が行われ、GDPRの第5章が適用される。つまり、欧州委員会の妥当性決定（第45条）や適切な保護措置の提供（第46条）など、一定の条件下でのみ移転が可能になる。第5章の規定は、第三国または国際機関に移転された後の個人データの継続的な保護を確保することを目的としている。
Conversely, if the three criteria are not met, there is no transfer and Chapter V of the GDPR does not apply. In this context, it is however important to recall that the controller must nevertheless comply with the other provisions of the GDPR and remains fully accountable for its processing activities, regardless of where they take place. Indeed, although a certain data transmission may not qualify as a transfer according to Chapter V, such processing can still be associated with increased risks since it takes place outside the EU, for example due to conflicting national laws or disproportionate government access in the third country. These risks need to be considered when taking measures under, inter alia, Article 5 (“Principles relating to processing of personal data”), Article 24 (“Responsibility of the controller”) and Article 32 (“Security of processing”) – in order for such processing operation to be lawful under the GDPR.	逆に、3つの基準が満たされない場合は、移転は行われず、GDPRの第5章は適用されない。しかし、この文脈では、管理者はGDPRの他の条項を遵守しなければならず、処理活動がどこで行われるかにかかわらず、その処理活動に対する全責任を負い続けることを想起することが重要である。実際、特定のデータ転送が第５章に基づく移転として適格でないとしても、そのような処理は、例えば、矛盾する国内法や第三国における不当な政府アクセスなどにより、EU域外で行われるため、リスクが増大する可能性がある。こうしたリスクは、特に第5条（「個人データの処理に関する原則」）、第24条（「管理者の責任」）および第32条（「処理の安全性」）に基づく措置を講じる際に考慮する必要があり、こうした処理作業がGDPRの下で合法であるようにするためである。
These guidelines include various examples of data flows to third countries, which are also illustrated in an Annex in order to provide further practical guidance.	このガイドラインには、第三国へのデータフローに関する様々な事例が含まれており、さらに実践的なガイダンスを提供するために、附属書として図解も行っている。

 

目次...

Executive summary	エグゼクティブサマリー
1  Introduction	1 はじめに
2  Criteria to qualify a processing operation as a transfer of personal data to a third country or to an international organisation	2 第三国または 国際機関への個人データの移転として処理操作を認定するための基準
2.1  A controller or a processor (“exporter”) is subject to the GDPR for the given processing	2.1 管理者または処理者（「越境送信者」）は、所定の処理についてGDPRの適用を受ける。
2.2  The exporter discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”)	2.2 越境送信者が、この処理の対象となる個人データを、他の管理者、共同管理者または処理者（「越境受信者」）に伝送またはその他の方法で開示する場合。
2.3  The importer is in a third country, irrespective of whether or not this importer is subject to the GDPR for the given processing in accordance with Article 3, or is an international organisation	2.3 越境受信者が第三国にいる場合。この越境受信者が第3条に従って所定の処理についてGDPRの適用を受けるかどうか、または国際組織であるかどうかは関係ない。
3  Consequences in case a transfer of personal data takes place	3 個人情報の移転が行われた場合の影響
4  Safeguards to be provided if personal data are processed outside the EEA but no transfer takes place	4 個人データがEEA域外で処理され、移転が行われない場合に提供されるべき保護措置
Annex: Illustrations of Examples 1–12	附属書：例題1～12の図解

 

 

 

 

・2023.02.24 Guidelines 07/2022 on certification as a tool for transfers

・[PDF]

 

・[DOCX] 仮訳

 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR).	GDPRは、その第46条において、データ越境送信者が第三国または国際機関への個人データの移転について適切な保護措置を講じることを求めている。そのため、GDPRは、新たな移転メカニズムとして認証を導入するなどして、データ越境送信者が第三国への移転の際に第46条に基づいて行うことができる適切な保護措置を多様化している（GDPR42条（2）、46条（2）（f））。
These guidelines provide guidance as to the application of Article 46 (2) (f) of the GDPR on transfers of personal data to third countries or to international organisations on the basis of certification. The document is structured in four sections with an Annex.	このガイドラインは、認証に基づく第三国または国際機関への個人データの移転に関するGDPR第46条（2）項（f）の適用に関するガイダンスを提供するものである。本書は、4つのセクションと附属書で構成されている。
Part one of this document ("GENERAL") clarifies that the guidelines supplement the already existing general Guidelines 1/2018 on certification and addresses specific requirements from Chapter V of the GDPR when certification is used as a transfer tool. According to Article 44 of the GDPR, any transfer of personal data to third countries or international organisations, must meet the conditions of the other provisions of the GDPR in addition to complying with Chapter V of the GDPR. Therefore, as a first step, compliance with the general provisions of the GDPR must be ensured and, as a second step, the provisions of Chapter V of the GDPR must be complied with. The actors who are involved and their core roles in this context are described, with a special focus on the role of the data importer who will be granted a certification and of the data exporter who will use it as a tool to frame its transfers (considering that the responsibility for data processing compliance remains with the data exporter). In this context the certification can also include measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Part one of the guidelines also contains information on the process for obtaining a certification to be used as tool for transfers.	本書の第1部（「一般」）では、本ガイドラインが認証に関する既に存在する一般的なガイドライン1/2018を補足し、認証が移転ツールとして使用される場合のGDPR第5章からの特定の要件に対処することを明確にしている。GDPR第44条によると、個人データを第三国または国際機関に移転する場合、GDPR第5章を遵守することに加え、GDPRの他の規定の条件も満たさなければならない。したがって、第一段階として、GDPRの一般条項の遵守を確保し、第二段階として、GDPRの第5章の規定を遵守する必要があるのである。この文脈で関係するアクターとその中心的な役割について説明する。特に、認証を受けるデータ越境受信者と、データ移転の枠組みを作るツールとして認証を利用するデータ越境送信者の役割に焦点を当てる（データ処理遵守の責任はデータ越境送信者にあることを考慮する）。この文脈では、認証には、個人データの保護に関するEUの水準への準拠を確保するための移転ツールを補完する措置も含めることができる。ガイドラインのパート1には、移転のためのツールとして使用する認証の取得プロセスに関する情報も含まれている。
The second part of these guidelines (“IMPLEMENTING GUIDANCE ON THE ACCREDITATION REQUIREMENTS”) recalls that the requirements for accreditation of a certification body are to be found in ISO 17065 and by interpreting the Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the GDPR and its Annex against the background of Chapter V. However, in the context of a transfer, these guidelines further explain some of the accreditation requirements applicable to the certification body.	本ガイドラインの第2部（「認定要件に関するガイドラインの実施」）では、認証機関の認定要件がISO 17065にあることを想起し、第5章を背景にGDPR第43条及びその附属書に基づく認証機関の認定に関するガイドライン4/2018の解釈により、認証機関に適用される認定要件の一部をさらに解説している。
The third part of these guidelines ("SPECIFIC CERTIFICATION CRITERIA") provides for guidance on the certification criteria already listed in Guidelines 1/2018 and establishes additional specific criteria that should be included in a certification mechanism to be used as a tool for transfers to third countries. These criteria cover the assessment of the third country legislation, the general obligations of exporters and importers, rules on onward transfers, redress and enforcement, process and actions for situations in which national legislation and practices prevents compliance with commitments taken as part of certification and requests for data access by third country authorities.	本ガイドラインの第3部（「SPECIFIC CERTIFICATION CRITERIA」）は、ガイドライン1/2018に既に記載されている認証基準に関する指針を提供し、第三国への移転のツールとして使用する認証メカニズムに含まれるべき追加の特定の基準を確立するものである。これらの基準は、第三国の法律の評価、越境送信者および越境受信者の一般的な義務、前方移転に関する規則、救済および執行、国内の法律および慣行が認証の一部としてとられたコミットメントの遵守を妨げる状況に対するプロセスおよび措置、第三国当局によるデータアクセス要求などを対象としている。
Part four of these guidelines (“BINDING AND ENFORCEABLE COMMITMENTS TO BE IMPLEMENTED“) provides elements that should be addressed in the binding and enforceable commitments that controllers or processors not subject to the GDPR should take for the purpose of providing appropriate safeguards to data transferred to third countries. These commitments, which may be set out in different instruments including contracts, shall in particular include a warranty that the importer has no reason to believe that the laws and practices in the third country applicable to the processing at stake, including any requirements to disclose personal data or measures authorising access by public authorities, prevent it from fulfilling its commitments under the certification.	本ガイドラインの第4章（「実施すべき拘束力及び強制力のあるコミットメント」）では、第三国に移転するデータに適切なセーフガードを提供する目的で、GDPRの適用を受けない管理者または処理者が取るべき拘束力及び強制力のあるコミットメントにおいて対処すべき要素を提示している。これらの約束は、契約を含むさまざまな文書で定めることができるが、特に、個人データの開示要件または公的機関によるアクセスを許可する措置を含め、問題となっている処理に適用される第三国の法律および慣行が、越境受信者が認証に基づく約束の履行を妨げると考える理由がないことを保証することが含まれる。
The ANNEX of these guidelines contains some examples of supplementary measures in line with those listed in Annex II Recommendations 01/2020 (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) in the context of the use of a certification as a tool for transfers. Examples are constructed with a view to raise attention to critical situations.	本ガイドラインの 附属書 には、附属書 II 勧告 01/2020（個人情報の保護に関する EU レベルの遵守を確保するために移転ツールを補完する措置に関する勧告 01/2020）に記載されたものに沿って、移転のためのツールとして認証を使用する場合の補完措置の例をいくつか挙げている。事例は、危機的状況への注意を喚起する観点から構成されている。

 

目次...

EXECUTIVE SUMMARY	エグゼクティブサマリー
1 GENERAL	1 一般
1.1 Purpose and scope	1.1 目的と範囲
1.2 General rules applicable to international transfers	1.2 国際送金に適用される一般的な規則
1.3 Who are the actors involved and what is their role for certification as a tool for transfers?	1.3 移転のためのツールとしての認証に関わるアクターは誰か、またその役割は？
1.4 What are the scope and the object of certification as a tool for transfers?	1.4 移転のためのツールとしての認証の範囲と対象は何であるか？
1.5 What should be the role of the exporter in the use of certification as tool for transfers?	1.5 移転のためのツールとしての認証の利用における越境送信者の役割はどうあるべきか？
1.6 What is the process for certification as a tool for transfers?	1.6 乗り換えのためのツールとしての認証はどのようなプロセスで行われるのであるか？
2 IMPLEMENTING GUIDANCE ON THE ACCREDITATION REQUIREMENTS	2 認定要件に関するガイダンスの実施
3 SPECIFIC CERTIFICATION CRITERIA	3 特定認証基準
3.1 IMPLEMENTING GUIDANCE ON THE CERTIFICATION CRITERIA	3.1 認証基準に関するガイダンスの実施
3.2 ADDITIONAL SPECIFIC CERTIFICATION CRITERIA	3.2 追加の特定認証基準
1. Assessment of the third country legislation	1. 第三国の法規制の評価
2. General obligations of exporters and importers	2. 輸出入者の一般的な義務
3. Rules on onward transfers	3. 乗り換えに関するルール
4. Redress and Enforcement	4. 救済と執行
5. Process and actions for situations in which national legislation prevents compliance with commitments taken as part of certification	5. 国内法令により、認証の一部として行われる約束の遵守が妨げられる場合のプロセスおよび対応策
6. Dealing with requests for data access by third country authorities	6. 第三国当局からのデータアクセス要求への対応
7. Additional safeguards concerning the exporter	7. 越境送信者に関する追加セーフガード
4 BINDING AND ENFORCEABLE COMMITMENTS TO BE IMPLEMENTED	4 実行すべき拘束力のあるコミットメント
ANNEX	附属書
A. EXAMPLES OF SUPPLEMENTARY MEASURES TO BE IMPLEMENTED BY THE IMPORTER IN CASE THE TRANSIT IS INCLUDED IN THE SCOPE OF CERTIFICATION	A.移送が認証範囲に含まれる場合に、越境受信者が実施すべき補完措置の例
B. EXAMPLES OF SUPPLEMENTARY MEASURES IN CASE THE TRANSIT IS NOT COVERED BY THE CERTIFICATION AND THE EXPORTER HAS TO ENSURE THEM	B.移送が認証の対象外で、越境送信者がそれを確保しなければならない場合の補足措置の例