« EDPB 2022年活動報告書 | Main | EDPB 管理者または処理者の主管監督官庁の特定に関するガイドライン 8/2022 »

2023.04.19

EDPB データ主体の権利(アクセス権)に関するガイドライン(最終版)を採択 

こんにちは、丸山満彦です。

EDPBがデータ主体によるデータへのアクセス権についての最終版を公表していますね。。。

 

⚫︎European Data Protection Board: EDPB 

・2023.04.17 EDPB adopts final version of Guidelines on data subject rights - right of access

EDPB adopts final version of Guidelines on data subject rights - right of access EDPB データ主体の権利(アクセス権)に関するガイドライン(最終版)を採択 
Following public consultation, the EDPB has adopted a final version of the Guidelines on data subject rights - Right of access. The Guidelines analyse the various aspects of the right of access and provide more precise guidance on how the right of access has to be implemented in different situations. Among others, the Guidelines provide clarifications on the scope of the right of access, the information the controller has to provide to the data subject, the format of the access request, the main modalities for providing access, and the notion of manifestly unfounded or excessive requests. Following public consultation, the guidelines were updated and further clarifications were added on different aspects that were brought up in the consultation. Furthermore, some minor editorial adjustments were made to ensure consistency of different concepts. EDPBは、パブリックコンサルテーションを経て、データ主体の権利(アクセス権)に関するガイドラインの最終版を採択した。 本ガイドラインは、アクセス権の様々な側面を分析し、アクセス権が様々な状況下でどのように実施されなければならないかについて、より正確なガイダンスを提供する。特に、アクセス権の範囲、管理者がデータ主体に提供しなければならない情報、アクセス要求の形式、アクセスを提供するための主な方法、および明白に根拠のないまたは過剰な要求の概念について明確化されている。パブリックコンサルテーションの後、ガイドラインは更新され、コンサルテーションで提起されたさまざまな側面についてさらなる明確化が加えられた。さらに、異なる概念の一貫性を確保するために、編集上の微調整が行われた。
In addition, the EDPB also adopted final versions of the targeted updates of Guidelines for identifying  a  controller  or  processor’s  lead supervisory  authority and the Guidelines on data breach notification. Both guidelines concern an update of the Art. 29 Working Party Guidelines on the same subjects. The public consultation only concerned the paragraphs of the guidelines that were updated. さらに、EDPBは、管理者または処理者の監督当局を特定するためのガイドラインおよびデータ侵害通知に関するガイドラインの最終版も採択した。両ガイドラインは、第29条作業部会ガイドラインの更新に関わるものである。第29条作業部会ガイドラインの更新に関わるものである。パブリックコンサルテーションは、更新されたガイドラインのパラグラフにのみ関係するものであった。
Following public consultation, some feedback was included in the updated Guidelines on data breach notification. Most notably, the new version clarifies that the notification shall be the responsibility of the controller. In addition, some stakeholders raised concerns about operational issues when a personal data breach needs to be notified to multiple data protection authorities (DPAs). The EDPB recalls that the targeted update simply aligns the text of the Guidelines with the text of the GDPR, which does not provide for one-stop-shop for controllers not established within EEA. The EDPB however considered the stakeholders’ feedback, and decided to publish a contact list for data breach notification with relevant links and accepted languages for all EEA DPAs on its website in the near future. This will make it easier for controllers to identify the contact points and requirements per DPA. パブリックコンサルテーションの後、いくつかのフィードバックがデータ侵害通知に関するガイドラインの更新に含まれた。最も注目すべきは、新バージョンでは、通知は管理者の責任であることが明確にされている。また、一部の関係者は、個人データの侵害を複数のデータ保護当局(DPA)に通知する必要がある場合の運用上の問題について懸念を示している。EDPBは、今回の更新は、ガイドラインの文章をGDPRの文章に合わせるだけであり、EEA域内に設立されていない管理者のためのワンストップショップを規定していないことを想起する。しかし、EDPBは関係者のフィードバックを考慮し、近い将来、すべてのEEA DPAの関連リンクと受け入れ可能な言語を含むデータ侵害通知の連絡先リストをウェブサイト上で公開することを決定した。これにより、コントローラはDPAごとの連絡先や要件を容易に特定できるようになる。

 

・[PDF]

20230419-44926

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.   データ主体のアクセス権は、EUの基本権憲章の第8条で規定に明記されている。この権利は、欧州のデータ保護法の枠組みが始まった当初から存在し、現在では、Art.15 GDPRにおいて、より具体的で正確な規則によってさらに発展している。15 GDPRにおいて、より具体的で正確な規則によってさらに発展している。 
Aim and overall structure of the right of access  アクセス権の目的および全体構造 
The overall aim of the right of access is to provide individuals with sufficient, transparent and easily accessible information about the processing of their personal data so that they can be aware of and verify the lawfulness of the processing and the accuracy of the processed data. This will make it easier - but is not a condition - for the individual to exercise other rights such as the right to erasure or rectification.   アクセス権の全体的な目的は、個人データの処理に関する十分で透明性のある、簡単にアクセスできる情報を個人に提供し、処理の合法性と処理されたデータの正確性を認識し確認できるようにすることである。これにより、個人が消去権や修正権などの他の権利を行使することが容易になる(ただし、これは条件ではない)。 
The right of access according to data protection law is to be distinguished from similar rights with other objectives, for example the right of access to public documents which aims at guaranteeing transparency in public authorities’ decision-making and good administrative practice.   データ保護法に基づくアクセス権は、他の目的を持つ同様の権利、例えば、公的機関の意思決定における透明性と良好な行政慣行を保証することを目的とする公文書へのアクセス権とは区別されるものである。 
However, the data subject does not have to give reasons for the access request and it is not up to the controller to analyse whether the request will actually help the data subject to verify the lawfulness of the relevant processing or exercise other rights. The controller will have to deal with the request unless it is clear that the request is made under other rules than data protection rules.   ただし、データ対象者はアクセス要求の理由を述べる必要はなく、その要求がデータ対象者が関連処理の合法性を確認したり、その他の権利を行使したりするのに実際に役立つかどうかを分析することは、管理者の責任ではない。管理者は、その要求がデータ保護規則以外の規則に基づいてなされたものであることが明らかでない限り、その要求に対処する必要がある。 
The right of access includes three different components:  アクセス権には、3つの異なる構成要素が含まれる: 
§  Confirmation as to whether data about the person is processed or not,  § 本人に関するデータが処理されているかどうかの確認、 
§  Access to this personal data and   § この個人データへのアクセスおよび  
§  Access to information about the processing, such as purpose, categories of data and recipients, duration of the processing, data subjects’ rights and appropriate safeguards in case of third country transfers.  § 目的、データの種類および受領者、処理の期間、データ主体の権利および第三国へ の移転の場合の適切な保護措置など、処理に関する情報へのアクセス。
General considerations on the assessment of the data subject’s request  データ主体の要求の評価に関する一般的な考慮事項 
When analysing the content of the request, the controller must assess whether the request concerns personal data of the individual making the request, whether the request falls within the scope of Art. 15 and whether there are other, more specific, provisions that regulate access in a certain sector. It must also assess whether the request refers to all or only parts of the data processed about the data subject.  要求の内容を分析する場合、管理者は、要求が要求を行う個人の個人データに関係するかどうか、要求が第15条の範囲に含まれるかどうかを評価しなければならない。15に該当するかどうか、また、特定の分野でのアクセスを規制する、より具体的な他の規定があるかどうかを評価する必要がある。また、要求がデータ対象者について処理されたデータの全てに言及しているのか、一部のみに言及しているのかを評価しなければならない。
There are no specific requirements on the format of a request. The controller should provide appropriate and user-friendly communication channels that can easily be used by the data subject. However, the data subject is not required to use these specific channels and may instead send the request to an official contact point of the controller. The controller is not obliged to act on requests that are sent to completely random, or apparently incorrect, addresses.  要求の形式に関する特定の要件はない。管理者は、データ対象者が容易に利用できる適切で使いやすい通信手段を提供する必要がある。ただし、データ対象者は、これらの特定のチャネルを使用する必要はなく、代わりにコントローラの公式連絡先にリクエストを送信することができる。コントローラは、完全にランダムな、または明らかに不正確なアドレスに送信されたリクエストに対処する義務を負わない。
Where the controller is not able to identify data that refers to the data subject, it shall inform the data subject about this and may refuse to give access unless the data subject provides additional information that enables identification. Further more, if the controller has doubts about whether the data subject is who they claim to be, the controller may request additional information in order to confirm the identity of the data subject. The request for additional information must be proportionate to the type of data processed, the damage that could occur etc. in order to avoid excessive data collection.   管理者がデータ対象者に関連するデータを特定できない場合、管理者はその旨をデータ対象者に通知するものとし、データ対象者が特定を可能にする追加情報を提供しない限り、アクセスを拒否することができる。さらに、管理者がデータ対象者が本人であるかどうか疑わしい場合、管理者はデータ対象者の身元を確認するために追加情報を要求することができる。追加情報の要求は、過剰なデータ収集を避けるため、処理されるデータの種類、発生し得る損害などに比例したものでなければならない。 
Scope of the right of access  アクセス権の範囲 
The scope of the right of access is determined by the scope of the concept of personal data as defined in Art. 4(1) GDPR. Aside from basic personal data like name, address, phone number etc. a broad variety of data may fall within this definition like medical findings, history of purchases, creditworthiness indicators, activity logs, search activities etc. Personal data which have undergone pseudonymisation are still personal data as opposed to anonymised data. The right of access refers to personal data concerning the person making the request. This should not be interpreted overly restrictively and may include data that could concern other persons too, for example communication history involving incoming and outgoing messages.   アクセス権の範囲は、第4条(1)で定義される個人データの概念の範囲によって決定される。GDPR第4条(1) に定義される個人データの概念の範囲によって決定される。氏名、住所、電話番号などの基本的な個人データのほか、医学的所見、購入履歴、信用度指標、活動ログ、検索活動など、さまざまなデータがこの定義に含まれる可能性がある。仮名化を経た個人データは、匿名化されたデータとは異なり、依然として個人データである。アクセス権は、要求する人に関する個人データを指する。これは過度に制限的に解釈されるべきではなく、例えば、送受信メッセージを含む通信履歴など、他の人に関係するデータも含まれる可能性がある。 
In addition to providing access to the personal data, the controller has to provide additional information about the processing and on data subjects’ rights. Such information can be based on what is already compiled in the controller’s record of processing activities (Art. 30 GDPR) and the privacy notice (Art. 13 and 14 GDPR). However, this general information may have to be updated to the time of the request or tailored to reflect the processing operations that are carried out in relation to the specific person making the request.   個人データへのアクセスを提供することに加え、管理者は、処理に関する追加情報およびデータ主体の権利を提供しなければならない。このような情報は、管理者の処理活動の記録(GDPR第30条)およびプライバシー通知(GDPR第13条および第14条)に既にまとめられているものを基にすることができる。ただし、この一般的な情報は、要求の時点に更新したり、要求を行う特定の人物に関連して実施される処理業務を反映するように調整したりする必要がある場合がある。 
How to provide access  アクセスの提供方法 
The ways to provide access may vary depending on the amount of data and the complexity of the processing that is carried out. Unless explicitly stated otherwise, the request should be understood as referring to all personal data concerning the data subject and the controller may ask the data subject to specify the request if they process a large quantity of data.  アクセスを提供する方法は、データの量および実施される処理の複雑さによって異なる場合がある。明示的に別段の記載がない限り、要求はデータ対象者に関するすべての個人データを指すと理解すべきであり、管理者は大量のデータを処理する場合、データ対象者に要求を特定するように求めることができる。
The controller will have to search for personal data throughout all IT systems and non-IT filing systems based on search criteria that mirrors the way in which the information is structured, for example name and customer number. The communication of data and other information about the processing must be provided in a concise, transparent, intelligible and easily accessible form, using clear and plain language. The more precise requirements in this regard depend on the circumstances of the data processing as well as the data subject’s ability to grasp and comprehend the communication (for example taking into account that the data subject is a child or a person with special needs). If the data consists of codes or other “raw data”, these may have to be explained in order to make sense to the data subject.  管理者は、すべてのITシステムおよび非ITファイリングシステムを通じて、例えば氏名や顧客番号といった情報の構造化方法を反映した検索基準に基づいて個人データを検索する必要がある。データおよび処理に関するその他の情報の伝達は、簡潔、透明、分かりやすく、容易にアクセスできる形で、明確かつ平易な言語を用いて提供されなければならない。この点に関するより正確な要件は、データ処理の状況、およびデータ対象者がコミュニケーションを把握し理解する能力(例えば、データ対象者が子供または特別なニーズを持つ人であることを考慮する)に依存する。データがコードまたはその他の「生データ」で構成されている場合、データ対象者が理解できるように説明する必要がある場合がある。
The main modality for providing access is to provide the data subject with a copy of their data but other modalities (such as oral information and on site access) can be foreseen if the data subject requests it. The data can be sent by e-mail, provided that all necessary safeguards are applied taken into consideration, for example, the nature of the data, or in other ways, for example a self-service tool.   データへのアクセスを提供する主な方法は、データ対象者にデータのコピーを提供することであるが、データ対象者が要求すれば、他の方法(口頭での情報提供や現場でのアクセスなど)も予見することができる。データは、データの性質などを考慮し、必要な保護措置をすべて適用した上で、電子メールで送信することもできるし、セルフサービスツールなどの他の方法で送信することもできる。 
Sometimes, when there is a large quantity of data and it would be difficult for the data subject to comprehend the information if given all in one bulk – especially in the online context - the most appropriate measure could be a layered approach. Providing information in different layers may facilitate the data subject’s understanding of the data. The controller must be able to demonstrate that the layered approach has an added value for the data subject and all layers should be provided at the same time if the data subject chooses it.   大量のデータがあり、データ対象者が情報を理解するのが困難な場合、特にオンラインの場合、最も適切な方法は、階層化されたアプローチである可能性がある。異なるレイヤーで情報を提供することで、データ主体のデータに対する理解が容易になる可能性がある。管理者は、レイヤーアプローチがデータ主体にとって付加価値があることを証明できなければならず、データ主体がそれを選択した場合は、すべてのレイヤーを同時に提供する必要がある。 
The copy of the data and the additional information should be provided in a permanent form such as written text, which could be in a commonly used electronic form, so that the data subject can easily download it. The data can be given in a transcript or a compiled form as long as all the information is included and this does not alter or change the content of the information.   データのコピーおよび追加情報は、データ対象者が容易にダウンロードできるように、一般的に使用される電子形式である可能性がある、書面によるテキストなどの恒久的な形態で提供されるべきである。すべての情報が含まれ、情報の内容が変更されない限り、データは転写または編集された形で提供されることが可能である。 
The request must be fulfilled as soon as possible and in any event within one month of receipt of the request. This can be extended by two further months where necessary, taking into account the complexity and number of the request. The data subject then has to be informed about the reason for the delay. The controller must implement necessary measures to deal with requests as soon as possible and adapt these measures to the circumstances of the processing. Where data is stored only for a very short period, there must be measures to guarantee that a request for access can be fulfilled without the data being erased while the request is being dealt with. Where a large quantityof data is processed, the controller will have to put in place routines and mechanisms that are adapted to the complexity of the processing.  要求は、できるだけ早く、いかなる場合でも要求の受領から1ヶ月以内に実現されなければならない。これは、要求の複雑さと数を考慮し、必要に応じてさらに2ヶ月延長することができる。その後、データ主体は、遅延の理由について通知されなければならない。管理者は、要求にできるだけ早く対処するために必要な措置を講じ、これらの措置を処理の状況に適合させなければならない。データが非常に短期間しか保存されない場合、アクセス要求が処理されている間にデータが消去されることなく、アクセス要求が満たされることを保証する措置が必要である。大量のデータが処理される場合、管理者は、処理の複雑さに適応したルーチンおよびメカニズムを導入する必要がある。
The assessment of the request should reflect the situation at the moment when the request was received by the controller. Even data that may be incorrect or unlawfully processed will have to be provided. Data that has already been deleted, for example in accordance with a retention policy, and therefore is no longer available to the controller cannot be provided.  要求の評価は、要求が管理者によって受け取られた瞬間の状況を反映する必要がある。不正確または違法に処理された可能性のあるデータも提供しなければならない。保持方針などに基づいてすでに削除され、管理者がもはや利用できないデータは提供できる。
Limits and restrictions  制限と制約 
The GDPR allows for certain limitations of the right of access. There are no further exemptions or derogations. The right of access is without any general reservation to proportionality with regard to the efforts the controller has to take to comply with the data subject´s request.   GDPRは、アクセス権の一定の制限を認めている。それ以上の免除や軽減はない。アクセス権は、データ主体の要求に応じるために管理者が講じなければならない努力に関して、比例関係に対する一般的な留保を持たないものである。 
According to Art. 15(4) the right to obtain a copy shall not adversely affect the rights and freedoms of others. The EDPB is of the opinion that these rights must be taken into consideration not only when granting access by providing a copy, but also, if access to data is provided by other means (on-site access for example). Art. 15(4) is not, however, applicable to the additional information on the processing as stated in Art. 15(1) lit. a.-h. The controller must be able to demonstrate that the rights or freedoms of others would be adversely affected in the concrete situation. Applying Art. 15(4) should not result in refusing the data subject’s request altogether; it would only result in leaving out or rendering illegible those parts that may have negative effects for the rights and freedoms of others.   第 15 条(4)によれば、コピーを取得する権利は、他者の権利及び自由に対して悪影響を及ぼしてはならない。EDPBは、コピーを提供することでアクセスを許可する場合だけでなく、データへのアクセスが他の手段で提供される場合(例えば、オンサイトアクセス)にも、これらの権利を考慮しなければならないという見解を持っている。第 15 条(4)は、しかし、第15条(1) lit.a.-h.に記載されている処理に関する追加情報には適用されない。管理者は、具体的な状況において、他者の権利または自由が悪影響を受けることを証明できなければならない。第15条(4)を適用することで 、データ主体の要求を完全に拒否することにはならない。他者の権利および自由に悪影響を及ぼす可能性のある部分を省いたり、判読不能にしたりすることになる。 
Art. 12(5) GDPR allows controllers to reject requests that are manifestly unfounded or excessive, or to charge a reasonable fee for such requests. These concepts have to be interpreted narrowly. Since there are very few prerequisites regarding access requests, the scope of considering a request as manifestly unfounded is rather limited. Excessive requests depend on the specifics of the sector in which the controller operates. The more often changes occur in the controller’s data base, the more often the data subject may be permitted to request access without it being excessive. Instead of refusing access, the controller may decide to charge a fee from the data subject. This would only be relevant in the case of excessive requests in order to cover the administrative costs that such requests may cause. The controller must be able to demonstrate the manifestly unfounded or excessive character of a request.   GDPR 第12条(5) では、管理者は、明らかに根拠のない要求や過剰な要求を拒否したり、そのような要求に対して合理的な手数料を請求することができる。これらの概念は、狭く解釈されなければならない。アクセス要求に関する前提条件がほとんどないため、明らかに根拠のない要求とみなされる範囲はかなり限定的である。過剰な要求は、管理者が事業を行っている部門の仕様に依存する。管理者のデータベースに変更が生じる頻度が高ければ高いほど、データ対象者は、過剰な要求でなくともアクセスを要求することが許可される場合がある。アクセスを拒否する代わりに、管理者はデータ主体から手数料を徴収することを決定することができる。これは、過剰な要求の場合にのみ、そのような要求が引き起こす可能性のある管理コストをカバーするために関連するものである。管理者は、要求が明らかに根拠がない、または過剰なものであることを証明できなければならない。 
Restrictions of the right of access may also exist in Member States’ national law as per Art. 23 GDPR and the derogations therein. Controllers who intend to rely on such restrictions must carefully check the requirements of the national provisions and take note of any specific conditions that may apply. Such conditions may be that the right of access is only temporarily delayed or that the restriction only applies to certain categories of data.  アクセス権の制限は、加盟国の国内法においてもGDPR第23条およびその緩和措置に基づき、アクセス権の制限が存在する場合がある。このような制限に依拠しようとする管理者は、国内規定の要件を慎重に確認し、適用される可能性のある特定の条件に留意する必要がある。そのような条件とは、アクセス権が一時的にのみ遅延すること、または制限が特定のデータカテゴリーにのみ適用されることである可能性がある。

 

目次...

Table of contents  目次 
1  Introduction - general observations 1 はじめに-一般的な見解
2  Aim of the right of access, structure of Article 15 GDPR and general principles 2 アクセス権の目的、GDPR第15条の構成と一般原則
2.1  Aim of the right of access 2.1 アクセス権の目的
2.2  Structure of Article 15 GDPR 2.2 GDPR 第 15 条の構成
2.2.1  Defining the content of the right of access 2.2.1 アクセス権の内容の定義
2.2.1.1  Confirmation as to ‘whether’ or not personal data are being processed 2.2.1.1 個人データが処理されている「かどうか」についての確認
2.2.1.2  Access to the personal data being processed 2.2.1.2 処理される個人データへのアクセス
2.2.1.3  Information on the processing and on data subject rights 2.2.1.3 処理に関する情報およびデータ主体の権利に関する情報
2.2.2  Provisions on Modalities 2.2.2 モダリティに関する規定
2.2.2.1  Providing a copy 2.2.2.1 コピーの提供
2.2.2.2  Providing further copies 2.2.2.2 追加コピーの提供
2.2.2.3  Making the information available in a commonly used electronic form 2.2.2.3 一般的に使用される電子的な形態で情報を利用できるようにすること。
2.2.3  Possible limitation of the right of access 2.2.3 アクセス権の制限の可能性
2.3  General principles of the right of access 2.3 アクセスの権利の一般原則
2.3.1  Completeness of the information 2.3.1 情報の完全性
2.3.2  Correctness of the information 2.3.2 情報の正しさ
2.3.3  Time reference point of the assessment 2.3.3 評価の時間的基準点
2.3.4  Compliance with data security requirements 2.3.4 データセキュリティの要求事項への準拠
3  General considerations regarding the assessment of access requests 3 アクセス要求の評価に関する一般的な考慮事項
3.1  Introduction 3.1 はじめに
3.1.1  Analysis of the content of the request 3.1.1 リクエスト内容の分析
3.1.2  Form of the request 3.1.2 リクエストの形式
3.2  Identification and authentication 3.2 識別と確認
3.3  Proportionality assessment regarding authentication of the requesting person 3.3 要求者の本人確認に関する比例性評価
3.4  Requests made via third parties / proxies 3.4 第三者/代理人を介したご依頼について
3.4.1  Exercise of the right of access on behalf of children 3.4.1 子どもに代わってのアクセス権の行使
3.4.2  Exercising the right of access through portals / channels provided by a third party 3.4.2 第三者が提供するポータル/チャンネルを通じたアクセス権の行使
4  Scope of the right of access and the personal data and information to which it refers 4 アクセス権の範囲とその対象となる個人データおよび情報
4.1  Definition of personal data 4.1 個人情報の定義
4.2  The personal data the right of access refers to 4.2 アクセス権の対象となる個人データ
4.2.1  “personal data concerning him or her” 4.2.1 "本人に関する個人データ"
4.2.2  Personal data which “are being processed” 4.2.2 "処理されている "個人データ
4.2.3  The scope of a new request to access 4.2.3 新たなアクセス要求の対象範囲
4.3  Information on the processing and on data subject rights 4.3 処理に関する情報およびデータ主体の権利に関する情報
5  How can a controller provide access? 5 コントローラは、どのようにしてアクセスを提供できるか?
5.1  How can the controller retrieve the requested data? 5.1 管理者は要求されたデータをどのように取り出すことができるか?
5.2  Appropriate measures for providing access 5.2 アクセスを提供するための適切な手段
5.2.1  Taking “appropriate measures” 5.2.1 "適切な措置 "をとること
5.2.2  Different means to provide access 5.2.2 アクセスを提供するためのさまざまな手段
5.2.3 Providing access in a ”concise, transparent, intelligible and easily accessible form using clear and plain language” 5.2.3 "明確で平易な言語を用いた、簡潔で透明性のある、分かりやすい、容易にアクセスできる形 "でアクセスを提供すること。
5.2.4  A large quantity of information necessitates specific requirements on how the information is provided 5.2.4 情報量が多いため、情報の提供方法について特定の要件が必要である
5.2.5  Format 5.2.5 フォーマット
5.3  Timing for the provision of access 5.3 アクセス提供のタイミング
6  Limits and restrictions of the right of access 6 アクセス権の制限と制約
6.1  General remarks 6.1 総論
6.2  Article 15 (4) GDPR 6.2 GDPR 第15条(4)
6.3  Article 12(5) GDPR 6.3 GDPR 第12条(5)
6.3.1  What does manifestly unfounded mean? 6.3.1 明白な根拠がないとはどういうことか?
6.3.2  What does excessive mean? 6.3.2 過大とはどういう意味か?
6.3.3  Consequences 6.3.3 結果
6.4  Possible restrictions in Union or Member States law based on Article 23 GDPR and derogations 6.4 GDPR第23条に基づく連合国または加盟国の法律で考えられる制限と、その緩和措置
Annex – Flowchart 附属書-フローチャート

 

 

 

|

« EDPB 2022年活動報告書 | Main | EDPB 管理者または処理者の主管監督官庁の特定に関するガイドライン 8/2022 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« EDPB 2022年活動報告書 | Main | EDPB 管理者または処理者の主管監督官庁の特定に関するガイドライン 8/2022 »