« EDPB データ主体の権利(アクセス権)に関するガイドライン(最終版)を採択  | Main | 大阪大学 生成AI(Generative AI)の利用について »

2023.04.19

EDPB 管理者または処理者の主管監督官庁の特定に関するガイドライン 8/2022

こんにちは、丸山満彦です。

EDPBが国を跨ぐ場合の監督官庁がどこの国のデータ保護機関になるのかを決めるためのガイドラインの改訂版 (Vwe.2.0) ... 管理者または処理者の主管監督官庁の特定に関するガイドライン 8/2022 を公表していますね。。。

 

⚫︎European Data Protection Board: EDPB 

・2023.04.17 Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority

 

・[PDF]

20230419-44933

 

 

Table of contents  目次 
0  Preface 0 前書き
1  Identifying a lead supervisory authority: the key concepts 1 主管監督官庁の特定:重要な概念
1.1  ‘Cross-border processing of personal data’  1.1 「個人データの国境を越えた処理」。
1.1.1  ‘Substantially affects’   1.1.1 「実質的に影響を与える」。
1.2  Lead supervisory authority  1.2 主管監督官庁 
1.3  Main establishment  1.3 主な設立経緯 
2  Steps to identify the lead supervisory authority 2 主管監督官庁を特定するためのステップ
2.1  Identify the ‘main establishment’ for controllers 2.1 コントローラーの「主要施設」を特定する。
2.1.1  Criteria for identifying a controller’s main establishment in cases where it is not the place of its central administration in the EEA  2.1.1 管理者の主たる施設がEEA内の中央管理場所でない場合の特定基準
2.1.2  Groups of undertakings  2.1.2 事業のグループ化
2.1.3  Joint controllers  2.1.3 ジョイントコントローラ
2.2  Borderline cases 2.2 ボーダーラインの場合
2.3  Processor 2.3 処理者
3  Other relevant issues 3 その他の関連事項
3.1  The role of the ’supervisory authority concerned’ 3.1 「当該監督官庁」の役割
3.2  Local processing 3.2 ローカル処理
3.3  Companies not established within the EU 3.3 EU域内に設立されていない会社
ANNEX - Questions to guide the identification of the lead supervisory authority 附属書 ・主管監督官庁の特定を導くための質問事項
1  Is the controller or processor carrying out the cross-border processing of personal data? 1 個人データのクロスボーダー処理を実施しているのは、管理者または処理者なのか?
2  How to identify the ‘lead supervisory authority’ 2 「主管監督官庁」を特定する方法
3  Are there any ‘concerned supervisory authorities’? 3 「関係監督官庁」はあるか?
The European Data Protection Board  欧州データ保護委員会 
Having regard to Article 70(1)(e) and (l) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, (hereinafter “GDPR”),  個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日の欧州議会及び理事会の規則2016/679/EU、並びに指令95/46/ECを廃止する規則(以下「GDPR」)の第70条(1)(e)及び(l)を考慮し、 
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018 ,  2018年7月6日のEEA合同委員会の決定第154/2018号によって改正されたEEA協定、特にその附属書XI及び第37議定書を考慮し、、 
Having regard to Article 12 and Article 22 of its Rules of Procedure,  手続規則第12条および第22条を考慮すること、 
Having regard to the Article 29 Working Party Guidelines for identifying a controller or processor’s lead supervisory authority, WP244 rev.01,  管理者又は処理者の主管監督官庁を特定するための第29条作業部会ガイドライン、WP244 rev.01を考慮すること、 
Having regard to the EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR,  GDPRにおける管理者と処理者の概念に関するEDPBガイドライン07/2020を考慮すること、 
HAS ADOPTED THE FOLLOWING GUIDELINES  は、以下のガイドラインを採用している。
0 PREFACE  0 前書き 
1. On 5 April 2017, the Article 29 Working Party adopted its Guidelines for identifying a controller or processor’s lead supervisory authority (WP244 rev.01) , which were endorsed by the European Data Protection Board (hereinafter “EDPB”) at its first Plenary meeting . This document is a slightly updated version of those guidelines. Any reference to the WP29 Guidelines for identifying a controller or processor’s lead supervisory authority (WP244 rev.01) should, from now on, be interpreted as a reference to these EDPB guidelines.  1. 2017年4月5日、第29条作業部会は、管理者又は処理者の主管監督官庁を特定するためのガイドライン(WP244 rev.01) を採択し、欧州データ保護委員会(以下「EDPB」)はその最初の本会合で承認した 。この文書は、これらのガイドラインの若干の更新版である。WP29 Guidelines for identifying a controller or processor's lead supervisory authority (WP244 rev.01) への言及は、今後、この EDPB ガイドラインへの言及と解釈されるべきである。
2. The EDPB has noticed that there was a need for further clarifications, specifically regarding the notion of main establishment in the context of joint controllership and taking into account the EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR .  2. EDPBは、GDPRにおける管理者と処理者の概念に関するEDPBガイドライン07/2020を考慮し、特に共同管理者の文脈における主要施設の概念について、さらなる明確化が必要であることに気づいた。
3. The paragraph concerning this matter has been revised and updated, while the rest of the document was left unchanged, except for editorial changes. The revision concerns, more specifically, Section 2.1.3 on joint controllers.  3. この件に関するパラグラフは改訂され、更新されましたが、編集上の変更を除き、文書の他の部分は変更されていません。この改訂は、より具体的には、共同管理者に関する2.1.3項に関するものである。
1 IDENTIFYING A LEAD SUPERVISORY AUTHORITY: THE KEY CONCEPTS  1 主管監督官庁の特定:重要な概念 
1.1 ‘Cross-border processing of personal data’  1.1 「個人データの国境を越えた処理」
4. Identifying a lead supervisory authority is only relevant where a controller or processor is carrying out the cross-border processing of personal data. Article 4(23) GDPR defines ‘cross-border processing’ as either the:   4. 主管監督官庁の特定は、管理者または処理者が個人データの国境を越えた処理を実施している場合にのみ関連する。GDPR第4条(23)では、「クロスボーダー処理」を以下のように定義している:  
- processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or the  ・管理者または処理者が2つ以上の加盟国に設立されている連合内の管理者または処理者の2つ以上の加盟国における事業所の活動の文脈で行われる個人データの処理、または以下のいずれかを指す。
- processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.  ・連合内の管理者または処理者の単一の事業所の活動の文脈で行われる個人データの処理であって、複数の加盟国のデータ主体に実質的に影響を与える、または与える可能性があるもの。
5. This means that where an organisation has establishments in France and Romania, for example, and the processing of personal data takes place in the context of their activities, then this will constitute cross-border processing.   5. つまり、ある組織が、例えばフランスとルーマニアに事業所を有し、その活動の中で個人データの処理が行われる場合、これは国境を越えた処理に該当することになる。 
6. Alternatively, the organisation may only carry out processing activity in the context of its establishment in France. However, if the activity substantially affects – or is likely to substantially affect – data subjects in France and Romania then this will also constitute cross-border processing.    6. または、組織は、フランスに設立された事業所との関係においてのみ、処理活動を行うことができる。ただし、その活動がフランスおよびルーマニアのデータ対象者に実質的に影響を与える、または与える可能性がある場合、これも国境を越えた処理に該当する。  
1.1.1 ‘Substantially affects’  1.1.1 「実質的に影響を与える」場合 
7. The GDPR does not define ‘substantially’ or ‘affects’. The intention of the wording was to ensure that not all processing activity, with any effect and that takes place within the context of a single establishment, falls within the definition of ‘cross-border processing’.   7. GDPRは、「実質的に」または「影響を与える」を定義していない。この文言の意図は、何らかの影響を及ぼし、単一の事業所のコンテキスト内で行われるすべての処理活動が、「国境を越えた処理」の定義に該当しないようにすることであった。 
8. The most relevant ordinary English meanings of ‘substantial’ include: ‘of ample or considerable amount or size; sizeable, fairly large’, or ‘having solid worth or value, of real significance; solid; weighty, important’ .   8. 「substantial」の最も関連性の高い通常の英語の意味には、以下のものがある: 十分な、または相当な量や大きさの、sizeable、「かなり大きな」、または「確かな価値や値打ちのある、本当の意義のある、堅実な、重みのある、重要な」。 
9. The most relevant meaning of the verb ‘affect’ is ‘to influence’ or ‘to make a material impression on’. The related noun -‘effect’- means, amongst other things, ‘a result’ or ‘a consequence’ . This suggests that for data processing to affect someone it must have some form of impact on them. Processing that does not have a substantial effect on individuals does not fall within the second part of the definition of ‘cross-border processing’. However, it would fall within the first part of the definition where the processing of personal data takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union, where the controller or processor is established in more than one Member State.  9. 動詞「affect」の最も適切な意味は、「影響を与える」または「物質的な印象を与える」である。関連する名詞である「effect」は、特に「結果」または「結果」を意味する。このことから、データ処理が誰かに影響を与えるには、その人に何らかの形で影響を与えなければならないことがわかる。個人に実質的な影響を与えない処理は、「国境を越えた処理」の定義の第2部に該当しない。しかし、個人データの処理が、連合内の管理者または処理者の2つ以上の加盟国における事業所の活動の文脈で行われる場合には、定義の第1部に該当することになる。
10. Processing can be brought within the second part of the definition if there is the likelihood of a substantial effect, not just an actual substantial effect. Note that ‘likely to’ does not mean that there is a remote possibility of a substantial effect. The substantial effect must be more likely than not. On the other hand, it also means that individuals do not have to be actually affected: the likelihood of a substantial effect is sufficient to bring the processing within the definition of ‘cross-border processing’.   10. 実際の実質的な影響だけでなく、実質的な影響の可能性がある場合、処理は定義の後半部分に含まれることがある。「可能性が高い」とは、実質的な影響の可能性が低いことを意味しないことに留意すること。実質的な効果は、そうでない場合よりも可能性が高くなければなりません。一方、「可能性が高い」とは、個人が実際に影響を受ける必要はないことを意味する。実質的な影響の可能性があれば、その処理を「国境を越えた処理」の定義に含めるには十分です。 
11. The fact that a data processing operation may involve the processing of a number – even a large number – of individuals’ personal data, in a number of Member States, does not necessarily mean that the processing has, or is likely to have, a substantial effect. Processing that does not have a substantial effect does not constitute cross-border processing for the purposes of the second part of the definition, regardless of how many individuals it affects.   11. データ処理業務が、多数の加盟国において、多数の(たとえ多数であっても)個人の個人データの処理を含むという事実は、必ずしもその処理が実質的な影響を持つ、または持つ可能性が高いことを意味しない。実質的な影響を及ぼさない処理は、それが何人の個人に影響を及ぼすかにかかわらず、定義の第2部分の目的上、国境を越えた処理には該当しない。 
12. Supervisory Authorities will interpret ‘substantially affects’ on a case by case basis. We will take into account the context of the processing, the type of data, the purpose of the processing and factors such as whether the processing:  12. 監督当局は、「実質的に影響を与える」をケースバイケースで解釈する。処理の文脈、データの種類、処理の目的、および処理が以下のような要因であるかどうかを考慮する: 
o causes, or is likely to cause, damage, loss or distress to individuals;  o 個人に対して損害、損失、苦痛を与える、または与える可能性がある; 
o has, or is likely to have, an actual effect in terms of limiting rights or denying an opportunity;  o 権利を制限したり、機会を奪うという意味で、実際に影響を与える、または与える可能性がある; 
o affects, or is likely to affect individuals’ health, well-being or peace of mind;  o 個人の健康、幸福、心の平穏に影響する、または影響する可能性がある; 
o affects, or is likely to affect, individuals’ financial or economic status or circumstances; o 個人の経済的、経済的地位や状況に影響を与える、または与える可能性がある;
o leaves individuals open to discrimination or unfair treatment;  o 個人が差別や不当な扱いを受ける可能性があること; 
o involves the analysis of the special categories of personal or other intrusive data, particularly the personal data of children;  oは、特別なカテゴリの個人データまたはその他の侵入的なデータ、特に子供の個人データの分析を含む; 
o causes, or is likely to cause individuals to change their behaviour in a significant way;    o 個人に重大な行動の変化を引き起こす、または引き起こす可能性がある 
o has unlikely, unanticipated or unwanted consequences for individuals; o 個人にとって、あり得ない、予期しない、または望まない結果をもたらす  
o creates embarrassment or other negative outcomes, including reputational damage; or  o 風評被害を含む、恥ずかしさまたはその他の否定的な結果をもたらす、または 
o involves the processing of a wide range of personal data.  o 広範な個人データの処理を伴う。
13. Ultimately, the test of ‘substantial effect’ is intended to ensure that supervisory authorities are only required to co-operate formally through the GDPR’s consistency mechanism "where a supervisory authority intends to adopt a measure intended to produce legal effects as regards processing operations which substantially affect a significant number of data subjects in several Member States” .  13. 最終的に、「実質的な影響」のテストは、「監督当局が、複数の加盟国の相当数のデータ主体に実質的に影響を与える処理業務に関して法的効果をもたらすことを意図した措置を採用しようとする場合」、監督当局がGDPRの整合性メカニズムを通じて正式に協力することのみを求められるようにすることを目的としている。
1.2 Lead supervisory authority  1.2 主管監督官庁
14. Put simply, a ‘lead supervisory authority’ is the authority with the primary responsibility for dealing with a cross-border data processing activity, for example when a data subject makes a complaint about the processing of his or her personal data.  14. 簡単に言えば、「主管監督官庁」とは、例えばデータ主体が自分の個人データの処理について苦情を申し立てた場合に、国境を越えたデータ処理活動に対処するための主たる責任を有する当局である。
15. The lead supervisory authority will coordinate any investigation, involving other ‘concerned’ supervisory authorities.   15. 主管監督官庁は、他の「関係する」監督当局を巻き込んで、あらゆる調査を調整する。 
16. Identifying the lead supervisory authority depends on determining the location of the controller’s ‘main establishment’ or ‘single establishment’ in the EU. Article 56 GDPR says that:  16. 主管理当局の特定は、EUにおける管理者の「主要施設」または「単一施設」の所在地を決定することによります。GDPR第56条には、次のように書かれている: 
- the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the crossborder processing carried out by that controller or processor in accordance with the [cooperation] procedure provided in Article 60.  ・管理者または処理者の主要施設または単一施設の監督当局は、第60条に規定された[協力]手続きに従って、その管理者または処理者によって行われる国境を越えた処理について、主管理当局として行動する権限を有するものとする。
1.3 Main establishment  1.3 主要施設 
17.  Article 4(16) GDPR states that ‘main establishment’ means:   17.  GDPR第4条(16)では、「主要施設」を意味するとされている:  
- as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;   ・複数の加盟国に事業所を有する管理者に関しては、連合におけるその中央管理者の所在地を指す。ただし、個人データの処理の目的および手段に関する決定が、連合内の管理者の別の事業所で行われ、後者の事業所が当該決定を実施させる権限を有する場合は、この限りではない。この場合、そのような決定をした事業所が主要な事業所であるとみなされる・ 
- as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;  ・複数の加盟国に事業所を有する処理者に関しては、連合におけるその中央管理機関の所在地、または、処理者が連合に中央管理機関を有しない場合は、処理者が本規則に基づく特定の義務を負う限りにおいて、処理者の事業所の活動の文脈における主要な処理活動が行われる連合におけるその事業所の所在地とする。
2 STEPS TO IDENTIFY THE LEAD SUPERVISORY AUTHORITY  2. 主管監督官庁を特定するためのステップ 
2.1 Identify the ‘main establishment’ for controllers  2.1 コントローラーの「主要施設」を特定する。
18. In order to establish where the main establishment is, it is firstly necessary to identify the central administration of the controller in the EEA, if any. The approach implied in the GDPR is that the central administration in the EU is the place where decisions about the purposes and means of the processing of personal data are taken, and this place has the power to have such decisions implemented.  18. 主要施設がどこにあるかを確定するためには、まず、EEAにおける管理者の中央管理機関があれば、それを特定する必要がある。GDPRが暗示するアプローチは、EU内の中央管理機関が、個人データの処理の目的および手段に関する決定を行う場所であり、この場所が当該決定を実施させる権限を有するというものである。
19. The essence of the lead supervisory authority principle in the GDPR is that the supervision of crossborder processing should be led by only one supervisory authority in the EU. In cases where decisions relating to different cross-border processing activities are taken within the EU central administration, there will be a single lead supervisory authority for the various data processing activities carried out by the multinational company. However, there may be cases where an establishment other than the place of central administration makes autonomous decisions concerning the purposes and means of a specific processing activity. This means that there can be situations where more than one lead supervisory authority can be identified, i.e. in cases where a multinational company decides to have separate decision-making centres, in different countries, for different processing activities.    19. GDPRにおける主管監督官庁原則の本質は、クロスボーダー処理の監督をEU内のただ一つの監督庁が主導すべきであるということである。異なるクロスボーダー処理活動に関する決定がEU中央管理局内で行われる場合、多国籍企業によって行われる様々なデータ処理活動に対する単一の主管監督機関が存在することになる。しかし、中央管理地以外の事業所が、特定の処理活動の目的および手段に関する自律的な決定を行うケースもあり得る。つまり、多国籍企業が異なる処理活動に対して、異なる国で別々の意思決定センターを持つことを決定した場合など、複数の主管理当局を特定できる状況があり得るということである。  
20. It is worth recalling, that where a multinational company centralises all the decisions relating to the purposes and means of processing activities in one of its establishments in the EEA (and that establishment has the power to implement such decisions), only one lead supervisory authority will be identified for the multinational.   20. 多国籍企業が、処理活動の目的及び手段に関するすべての決定をEEA内の1つの事業所に集中させる場合(及び当該事業所が当該決定を実施する権限を有する場合)、当該多国籍企業に対して1つの主管監督官庁のみが特定されることを想起する価値がある。 
21. In these situations, it will be essential for companies to identify precisely where the decisions on purpose and means of processing are taken. Correct identification of the main establishment is in the interests of controllers and processors because it provides clarity in terms of which supervisory authority they have to deal with in respect of their various compliance duties under the GDPR. These may include, where relevant, designating a data protection officer or consulting for a risky processing activity that the controller cannot mitigate by reasonable means. The relevant provisions of the GDPR are intended to make these compliance tasks manageable.   21. このような状況では、企業は、処理の目的および手段に関する決定がどこで行われるかを正確に特定することが不可欠となる。主管監督官庁の正確な特定は、GDPRに基づく様々なコンプライアンス義務に関して、どの監督当局に対応しなければならないかを明確にするため、管理者及び処理者の利益となる。これらには、関連する場合、データ保護責任者の指定や、管理者が合理的な手段で軽減できないリスクの高い処理活動に対するコンサルティングが含まれる場合がある。GDPRの関連規定は、これらのコンプライアンスタスクを管理しやすくすることを意図している。 
22. The examples below illustrate this:  22. 以下の例は、これを説明するものである: 
Example 1: A food retailer has its headquarters (i.e., its ‘place of central administration’) in Rotterdam, Netherlands. It has establishments in various other EEA countries, which are in contact with individuals there. All establishments make use of the same software to process consumers’ personal data for marketing purposes. All the decisions about the purposes and means of the processing of consumers’ personal data for marketing purposes are taken within its Rotterdam headquarters. This means that the company’s lead supervisory authority for this cross-border processing activity is the Dutch supervisory authority.   例 1:ある食品小売業者は、オランダのロッテルダムに本社(すなわち、「中央管理場所」)を置いている。他のさまざまなEEA諸国に事業所があり、そこの個人と連絡を取っている。すべての事業所は、マーケティング目的で消費者の個人データを処理するために、同じソフトウェアを使用している。マーケティング目的の消費者の個人データの処理の目的および手段に関するすべての決定は、ロッテルダムの本社内で行われる。つまり、この国境を越えた処理活動に関する同社の主管監督官庁は、オランダの監督官庁である。 
Example 2: A bank has its corporate headquarters in Frankfurt, and all  its banking processing activities are organised from there, but its insurance department is located in Vienna. If the establishment in Vienna has the power to decide on all insurance data processing activities and to implement these decisions for the whole EEA, then, as foreseen in Article 4(16) GDPR, the Austrian supervisory authority would be the lead supervisory authority in respect of the cross-border processing of personal data for insurance purposes, and the competent German supervisory authority (i.e., the Hessen supervisory authority) would supervise the processing of personal data for banking purposes, wherever the clients are located .  例2:ある銀行の本社はフランクフルトにあり、銀行業務の処理活動はすべてフランクフルトで組織されているが、保険部門はウィーンにある。ウィーンの事業所がすべての保険データ処理活動を決定し、EEA全体に対してこれらの決定を実施する権限を有する場合、GDPR第4条16項に規定されているように、オーストリアの監督当局は保険目的の個人データの国境を越えた処理に関する主管監督当局となり、ドイツの管轄監督当局(すなわち、ヘッセン監督当局)は、顧客がどこに位置していても銀行目的の個人データの処理を監督することになる。
2.1.1 Criteria for identifying a controller’s main establishment in cases where it is not the place of its central administration in the EEA  2.1.1 管理者の主要施設がEEA内の中央管理場所でない場合の特定基準 
23. Recital 36 GDPR is useful in clarifying the main factor that shall be used to determine a controller’s main establishment if the criterion of the central administration does not apply. This involves identifying where the effective and real exercise of management activities, that determine the main decisions as to the purposes and means of processing through stable arrangements, takes place. Recital 36 GDPR also clarifies that “the presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment”.   23. GDPRの説明36は、中央管理という基準が適用されない場合に、管理者の主要施設を決定するために使用しなければならない主な要因を明らかにする上で有用である。これには、安定した取り決めによる処理の目的および手段に関する主要な決定を決定する、管理活動の効果的かつ現実的な行使が行われる場所を特定することが含まれます。また、GDPRの説明36は、「個人データの処理または処理活動のための技術的手段および技術の存在および使用は、それ自体、主たる施設を構成するものではなく、したがって、主たる施設の決定基準ではない」ことを明確にしている。 
24. The controller itself identifies where its main establishment is and therefore which supervisory authority is its lead supervisory authority. However, this can be challenged by the respective supervisory authority concerned afterwards.    24. 管理者自身が、その主要施設がどこにあるか、したがって、どの監督当局がその主管監督当局であるかを特定する。ただし、このことは、その後、関係する各監督当局が異議を申し立てることができる。  
25. The factors below are useful for determining the location of a controller’s main establishment, according to the terms of the GDPR, in cases where it is not the location of its central administration in the EEA.   25. 以下の要素は、GDPRの条項に従って、EEA内の中央管理機関の所在地でない場合に、管理者の主な施設の所在地を決定するのに有用である。 
o Where are decisions about the purposes and means of the processing given final ‘sign off’?  o 処理の目的および手段に関する決定は、どこで最終的な「サインオフ」を受けるか? 
o Where are decisions about business activities that involve data processing made?  o データ処理を伴う事業活動に関する決定は、どこで行われるか? 
o Where does the power to have decisions implemented effectively lie?  o 決定を効果的に実施させる権限は、どこにあるか?
o Where is the Director (or Directors) with overall management responsibility for the cross-border processing located?  o 国境を越えた処理について全体的な管理責任を負うディレクター(または複数のディレクター)はどこにいるか?
o Where is the controller or processor registered as a company, if in a single territory?  o 管理者または処理者は、単一地域であれば、どこで会社として登録されているか。
26. Note that this is not an exhaustive list. Other factors may be relevant depending on the controller or processing activity in question. If a supervisory authority has reasons to doubt that the establishment identified by the controller is in reality the main establishment for the purposes of the GDPR, it can – of course – require the controller to provide the additional information necessary for it to prove where its main establishment is located.   26. これは網羅的なリストではないことに留意すること。問題の管理者または処理活動によっては、他の要因が関連する可能性がある。監督当局は、管理者が特定した事業所がGDPRの目的上、現実に主要な事業所であることを疑う理由がある場合、当然ながら、管理者に対して、主要な事業所がどこにあるかを証明するために必要な追加情報の提供を求めることができる。 
2.1.2 Groups of undertakings  2.1.2 事業者のグループ 
27. Where processing is carried out by a group of undertakings that has its headquarters in the EEA, the establishment of the undertaking with overall control is presumed to be the decision-making centre relating to the processing of personal data, and will therefore be considered to be the main establishment for the group, except where decisions about the purposes and means of processing are taken by another establishment. The parent, or operational headquarters of the group of undertakings in the EEA, is likely to be the main establishment, because that would be the place of its central administration.   27. 処理がEEAに本社を置く事業グループによって実施される場合、全体的な管理を行う事業の事業所は、個人データの処理に関する意思決定の中心であると推定されるため、処理の目的および手段に関する決定が他の事業所で行われる場合を除き、そのグループの主要施設と見なされる。EEA内の事業グループの親会社または事業本部は、その中央管理の場所となるため、主要施設となる可能性が高い。 
28. The reference in the definition to the place of a controller’s central administration works well for organisations that have a centralised decision-making headquarters and branch-type structure. In such cases, it is clear that the power to make decisions about cross-border processing, and to have them carried out, lies within the company’s headquarters. In such cases, determining the location of the main establishment - and therefore which supervisory authority is the lead supervisory authority - is straightforward. However, the decision system of group of companies could be more complex, giving independent making powers relating to cross-border processing to different establishments. The criteria set out above should help groups of undertakings to identify their main establishment.   28. 定義における管理者の中央管理場所への言及は、集中的な意思決定本部と支店タイプの構造を持つ組織には有効である。そのような場合、国境を越えた処理に関する意思決定とその実行をさせる権限が本社にあることは明らかである。このような場合、主要施設の所在地、つまりどの監督当局が主導的な監督当局であるかを決定することは簡単である。しかし、企業グループの意思決定システムは、異なる事業所に国境を越えた処理に関する独立した意思決定権を与え、より複雑になる可能性がある。上記の基準は、事業者グループが主要な事業所を特定するのに役立つはずである。 
2.1.3 Joint controllers  2.1.3 共同管理者 
29. The GDPR does not specifically deal with the issue of designating a lead supervisory authority where two or more controllers established in the EEA jointly determine the purposes and means of processing - i.e. joint controllers. Article 26(1) and Recital 79 GDPR make it clear that in joint controllership situations, the controllers shall in a transparent manner determine their respective responsibilities for compliance with their obligations under the GDPR.  29. GDPRは、EEAに設立された2つ以上の管理者が処理の目的および手段を共同で決定する場合、すなわち共同管理者を指定する問題については特に扱っていない。GDPR第26条(1)および説明79は、共同管理者の状況において、管理者は、透明性のある方法で、GDPRに基づく義務の遵守に関するそれぞれの責任を決定しなければならないことを明確にしている。
30. As recalled by the EDPB in its Guidelines on the concept of controller and processor , joint controllers need to set “who does what” by deciding between themselves who will have to carry out which tasks, in order to make sure that the processing complies with the applicable obligations under the GDPR in relation to the joint processing at stake.   30. EDPBが管理者と処理者の概念に関するガイドラインで想起しているように、共同管理者は、問題となっている共同処理に関連してGDPRの下で適用される義務に処理が準拠することを確認するために、誰がどの作業を実行しなければならないかを自分たちの間で決定することによって、「誰が何をするか」を定める必要がある。 
31. The compliance measures and related obligations joint controllers should consider when determining their respective responsibilities, in addition to those specifically referred in Article 26(1) GDPR, include, amongst others, the organisation of contact with data subjects and supervisory authorities.  31. 共同管理者がそれぞれの責任を決定する際に考慮すべき遵守措置及び関連する義務には、GDPR第26条第1項に特に言及されているものに加え、特にデータ主体及び監督当局との接触の組織化などが含まれる。
32. It should be recalled that supervisory authorities are not bound by the terms of such arrangement, neither on the issue of the qualification of the parties as joint controllers nor on the designated contact point .  32. 監督当局は、共同管理者としての当事者の資格の問題や指定された連絡先の問題に関しても、そのような取り決めの条件に拘束されないことを忘れてはならない。
33. Moreover, the decision-making power of joint controllers does not comprise the determination of the competent supervisory authority according to Articles 55 and 56 GDPR, or the ability of these supervisory authorities to exercise their tasks and powers as described in Articles 57 and 58 GDPR.  33. さらに、共同管理者の意思決定権は、GDPR第55条および第56条に基づく管轄監督当局の決定、またはこれらの監督当局がGDPR第57条および第58条に記載された任務および権限を行使する能力を構成するものではない。
34. The notion of main establishment is linked by virtue of the GDPR to a single controller and cannot be extended to a joint controllership situation. This is without prejudice to the possibility for each joint controller to have its own main establishment. In other words, the main establishment of a controller cannot be considered as the main establishment of the joint controllers for the processing carried out under their joint control. Therefore, joint controllers cannot designate (among the establishments where decisions on the purposes and means of the processing are taken) a common main establishment for both joint controllers.  34. 主要施設という概念は、GDPRの規定によって単一の管理者と結びついており、共同管理者の状況にまで拡張することはできない。これは、各共同管理者が独自の主要施設を持つ可能性を損なうものではない。言い換えれば、ある管理者の主要施設は、共同管理者の共同管理の下で行われる処理について、共同管理者の主要施設とみなすことはできない。したがって、共同管理者は、(処理の目的及び手段に関する決定を行う事業所のうち)両共同管理者に共通の主要施設を指定することはできない。
2.2 Borderline cases   2.2 境界線上のケース  
35. There will be borderline and complex situations where it is difficult to identify the main establishment or to determine where decisions about data processing are taken. This might be the case where there is cross-border processing activity and the controller is established in several Member States, but there is no central administration in the EEA and none of the EEA establishments are taking decisions about the processing (i.e. decisions are taken exclusively outside of the EEA).  35. 主要な事業所を特定すること、またはデータ処理に関する意思決定がどこで行われるかを決定することが困難な、境界線上の複雑な状況が存在することになる。これは、国境を越えた処理活動があり、管理者が複数の加盟国に設立されているが、EEAには中央管理機関がなく、EEAの事業所のいずれも処理に関する意思決定を行っていない(すなわち、意思決定はもっぱらEEAの外で行われている)場合である場合が考えられる。
36. In the case above, the company carrying out cross-border processing may be keen to be regulated by a lead supervisory authority to benefit from the one-stop-shop principle. However, the GDPR does not provide a solution for situations like this. In these circumstances, the company should designate the establishment that has the authority to implement decisions about the processing activity and to take liability for the processing, including having sufficient assets, as its main establishment. If the company does not designate a main establishment in this way, it will not be possible to designate a lead supervisory authority. Supervisory authorities will always be able to investigate further where this is appropriate.  36. 上記の場合、クロスボーダー処理を行う会社は、ワンストップ・ショップの原則の恩恵を受けるために、主管監督当局による規制を受けることを強く希望することができる。しかし、GDPRは、このような状況に対する解決策を提供していない。このような状況では、会社は、十分な資産を有するなど、処理活動に関する決定を実施し、処理に対する責任を負う権限を有する事業所を、主要施設として指定する必要がある。会社がこのように主要施設を指定しない場合、主管監督当局を指定することはできない。監督当局は、これが適切である場合、常にさらなる調査を行うことができる。
37. The GDPR does not permit ‘forum shopping’. If a company claims to have its main establishment in one Member State, but no effective and real exercise of management activity or decision-making over the processing of personal data takes place there, the relevant supervisory authorities (or ultimately the EDPB ) will decide which supervisory authority is the ‘lead’, using objective criteria and looking at the evidence. The process of determining where the main establishment is may require active inquiry and co-operation by the supervisory authorities. Conclusions cannot be based solely on statements by the organisation under review. The burden of proof ultimately falls on controllers and processors to demonstrate to the relevant supervisory authorities where the relevant processing decisions are taken and where there is the power to implement such decisions. Effective records of data processing activity would help both organisations and supervisory authorities to determine the lead supervisory authority. The lead supervisory authority, or concerned supervisory authorities, can rebut the controller’s analysis based on an objective examination of the relevant facts, requesting further information where required.  37. GDPRは「フォーラムショッピング」を認めていません。ある企業がある加盟国に主要施設を有すると主張しても、そこでは個人データの処理に関する経営活動や意思決定が効果的かつ実際に行われていない場合、関連する監督当局(または最終的にはEDPB)は、客観的基準を用い、証拠を見ながら、どの監督当局が「主導」であるかを決定する。主要施設がどこであるかを決定する過程では、監督当局による積極的な調査や協力が必要となる場合がある。結論は、審査対象の組織による声明だけに基づくことはできない。最終的な立証責任は、管理者および処理者が、関連する処理に関する決定が行われる場所および当該決定を実施する権限がある場所を関連する監督当局に証明することにあるのです。データ処理活動の効果的な記録は、組織と監督当局の両方が主管監督当局を決定するのに役立つだろう。主管監督官庁、または関係監督官庁は、関連する事実の客観的な調査に基づき、必要に応じてさらなる情報を要求して、管理者の分析に反論することができる。
38. In some cases, the relevant supervisory authorities will ask the controller to provide clear evidence, in line with any EDPB guidelines, of where its main establishment is, or where decisions about a particular data processing activity are taken. This evidence will be given due weight and the supervisory authorities involved will co-operate to decide which one of them will take the lead in investigations. Such cases will only be referred to the EDPB for a decision under Article 65(1)(b) GDPR where supervisory authorities have conflicting views in terms of identifying the lead supervisory authority. However, in most cases, the EDPB expects that the relevant supervisory authorities will be able to agree a mutually satisfactory course of action.   38. 場合によっては、関係監督当局は、EDPBガイドラインに沿って、管理者の主要施設がどこにあるか、または特定のデータ処理活動に関する決定が行われる場所について、明確な証拠を提供するよう管理者に要求することになる。この証拠は十分に重視され、関係する監督当局は、どの監督当局が調査の主導権を握るかを決定するために協力することになる。このようなケースは、監督当局が主導的な監督当局を特定するという点で意見が対立している場合にのみ、GDPR第65条1項(b)に基づく決定のためにEDPBに付託されることになる。しかし、ほとんどの場合、EDPBは、関連する監督当局が相互に満足できる行動方針に合意できることを期待している。 
2.3 Processor   2.3 処理者  
39. The GDPR also offers the one-stop-shop system for the benefit of processors that are subject to GDPR and have establishments in more than one Member State.  39. GDPRは、GDPRの適用を受け、複数の加盟国に事業所を有する処理者のために、ワンストップ・ショップ制度も提供している。
40. Article 4(16)(b) GDPR states that the processor’s main establishment will be the place of the central administration of the processor in the EU or, if there is no central administration in the EU, the establishment in the EU where the main processing (processor) activities take place.  40. GDPR第4条(16)(b)では、処理者の主要施設は、EUにおける処理者の中央管理場所、またはEUに中央管理場所がない場合は、主な処理(処理者)活動が行われるEU内の事業所とするとしている。
41. However, according to Recital 36 GDPR, in cases involving both a controller and a processor, the competent lead supervisory authority should be the lead supervisory authority for the controller. In this situation, the supervisory authority of the processor will be a ‘supervisory authority concerned’ and should participate in the cooperation procedure. This rule will only apply where the controller is established in the EEA. In cases where controllers are subject to the GDPR on the basis of its Article 3(2), they will not be subject to the one-stop-shop mechanism. A processor - for example, a large cloudservice provider - may provide services to multiple controllers located in different Member States. In such cases, the lead supervisory authority will be the supervisory authority that is competent to act as lead for the controller. In effect, this means a processor may have to deal with multiple supervisory authorities.   41. ただし、GDPRの説明36によれば、管理者と処理者の両方が関与する場合、管轄の主管監督当局は管理者の主管監督当局となるべきである。この状況では、処理者の監督当局は「関係する監督当局」となり、協力手続きに参加する必要がある。この規則は、管理者がEEAに設立されている場合にのみ適用されます。管理者がGDPRの第3条2項に基づいてGDPRの適用を受ける場合、ワンストップショップメカニズムの適用を受けることはない。処理者(例えば、大規模なクラウドサービスプロバイダ)は、異なる加盟国に所在する複数の管理者にサービスを提供する場合がある。このような場合、主管監督官庁は、管理者の主管として行動する権限を有する監督官庁となる。事実上、処理者は複数の監督当局に対応しなければならない可能性があることを意味する。 
3 OTHER RELEVANT ISSUES  3 その他の関連事項 
3.1 The role of the ’supervisory authority concerned’  3.1 「当該監督官庁」の役割 
42. GDPR Article 4(22) says that the:   42. GDPR第4条(22)には、次のように書かれている:  
‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because: (a) the controller or processor is established on the territory of the Member State of that supervisory authority; (b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or (c) a complaint has been lodged with that supervisory authority.’  関係する監督当局」とは、(a)管理者または処理者が当該監督当局の加盟国の領域内に設立されていること、(b)当該監督当局の加盟国に居住するデータ主体が処理によって実質的に影響を受ける、または受ける可能性があること、(c) 当該監督当局に苦情が申し立てられたこと、を理由として個人データの処理に関心を有する監督当局を意味する。
43. The concept of a concerned supervisory authority is meant to ensure that the ‘lead supervisory authority’ model does not prevent other supervisory authorities having a say in how a matter is dealt with when, for example, individuals residing outside the lead supervisory authority’s jurisdiction are substantially affected by a data processing activity. In terms of factor (a) above, the same considerations as for identifying a lead supervisory authority apply. Note that in (b) the data subject must merely reside in the Member State in question; they do not have to be a citizen of that State. It will generally be easy in (c) to determine - as a matter of fact - whether a particular supervisory authority has received a complaint.     43. 関係監督当局の概念は、「主管監督当局」モデルが、例えば、主管監督当局の管轄外に居住する個人がデータ処理活動によって実質的に影響を受ける場合に、他の監督当局が問題の処理方法について発言することを妨げないようにすることを目的としている。上記の要因(a)については、主管監督官庁を特定する場合と同じ考慮事項が適用される。(b)については、データ主体は単に当該加盟国に居住していればよく、当該加盟国の国民である必要はないことに留意する必要がある。(c)の場合、特定の監督当局が苦情を受けたかどうかを事実として判断することは、一般に容易であろう。   
44. Article 56, paragraphs (2) and (5) GDPR provide for a concerned supervisory authority to take a role in dealing with a case without being the lead supervisory authority. When a lead supervisory authority decides not to handle a case, the concerned supervisory authority that informed the lead supervisory authority shall handle it. This is in accordance with the procedures in Article 61 (Mutual assistance) and Article 62 (Joint operations of supervisory authorities) GDPR. This might be the case where a marketing company with its main establishment in Paris launches a product that only affects data subjects residing in Portugal. In such a case, the French and Portuguese supervisory authorities might agree that it is appropriate for the Portuguese supervisory authority to take the lead in dealing with the matter. Supervisory authorities may request that controllers provide input in terms of clarifying their corporate arrangements. Given that the processing activity has a purely local effect - i.e. on individuals in Portugal - the French and Portuguese supervisory authorities have the discretion to decide which supervisory authority should deal with the matter - in accordance with Recital 127 GDPR.  44. GDPR第56条第2項および第5項では、関係監督当局が、主管監督当局でなくとも、案件の処理に役割を果たすことができることを規定している。主管監督機関が案件を取り扱わないことを決定した場合、主管監督機関に通知した関係監督機関が案件を取り扱いる。これは、GDPR第61条(相互扶助)および第62条(監督当局の共同運営)の手続きに従ったものです。パリに主要施設を持つマーケティング会社が、ポルトガルに居住するデータ主体にのみ影響を与える製品を発売するようなケースが考えられる。このような場合、フランスとポルトガルの監督当局は、ポルトガルの監督当局がこの問題に率先して対処することが適切であることに合意するかもしれない。監督当局は、管理者に対し、企業の取り決めを明確にするという点で、意見を提供するよう要請することができる。処理活動が純粋に局所的な効果、すなわちポルトガルの個人に対する効果を持つことを考慮すると、フランスおよびポルトガルの監督当局は、GDPRの説明文127に従って、どちらの監督当局がこの問題に対処すべきかを決定する裁量権を有している。
45. The GDPR requires lead and concerned supervisory authorities to co-operate, with due respect for each other’s views, to ensure a matter is investigated and resolved to each authority’s satisfaction - and with an effective remedy for data subjects. Supervisory authorities should endeavour to reach a mutually acceptable course of action. The formal consistency mechanism should only be invoked where co-operation does not reach a mutually acceptable outcome.    45. GDPRは、問題が調査され、それぞれの当局が満足するように解決され、データ主体が効果的に救済されることを保証するために、主導者および関係監督当局が、互いの意見を十分に尊重しながら協力することを求めている。監督当局は、相互に受け入れ可能な行動を取るよう努力すべきである。正式な整合性メカニズムは、協力が相互に受け入れ可能な結果に達しない場合にのみ発動されるべきである。  
46. The mutual acceptance of decisions can apply to substantive conclusions, but also to the course of action decided upon, including enforcement activity (e.g. full investigation or an investigation with limited scope). It can also apply to a decision not to handle a case in accordance with the GDPR, for example because of a formal policy of prioritisation, or because there are other concerned authorities as described above.   46. 決定の相互受け入れは、実質的な結論だけでなく、強制活動(例えば、完全な調査又は限定的な範囲での調査)を含む決定された行動方針にも適用され得る。また、例えば、優先順位付けの正式な方針があるため、または上記のように他の関係当局があるため、GDPRに従って案件を取り扱わないという決定にも適用され得る。 
47. The development of consensus and good will between supervisory authorities is essential to the success of the GDPR’s cooperation and consistency procedures.  47. 監督当局間のコンセンサスと善意の醸成は、GDPR の協力及び一貫性手続きの成功に不可欠である。
3.2 Local processing  3.2 ローカル処理 
48. Local data processing activity does not fall within the GDPR’s cooperation and consistency provisions. Supervisory authorities will respect each other’s competence to deal with local data processing activity on a local basis. Processing carried out by public authorities will always be dealt with on a ‘local’ basis, too.   48. ローカルなデータ処理活動は、GDPR の協力と一貫性の規定には該当しない。監督当局は、ローカルなデータ処理活動をローカルなベースで取り扱うために、互いの能力を尊重する。公的機関が実施する処理も、常に「ローカル」ベースで処理される。 
3.3 Companies not established within the EEA  3.3 EEA域内に設立されていない企業 
49. The GDPR’s cooperation and consistency mechanisms only apply to controllers with an establishment, or establishments, within the EEA. If a company does not have an establishment in the EEA, the mere presence of a representative in a Member State does not trigger the one-stop-shop principle. This means that controllers without any establishment in the EEA must deal with local supervisory authorities in every Member State they are active in, through their local representative.   49. GDPRの協力および一貫性の仕組みは、EEA域内に事業所または施設を有する管理者にのみ適用される。EEA内に事業所がない場合、加盟国に代表者がいるだけでは、ワンストップ・ショップの原則は発動しません。つまり、EEA内に事業所を持たない管理者は、現地代理人を通じて、活動するすべての加盟国の監督当局と取引しなければなりません。 
For the European Data Protection Board  欧州データ保護委員会 
The Chair  議長
(Andrea Jelinek)  (アンドレア・イェリネク) 
       
ANNEX - QUESTIONS TO GUIDE THE IDENTIFICATION OF THE LEAD SUPERVISORY AUTHORITY  附属書 ・主管監督官庁の特定を導くための質問事項 
1 Is the controller or processor carrying out the cross-border processing of personal data?  1 管理者または処理者は、個人データの国境を越えた処理を実施しているか?
a. Yes, if:  a. はい、以下の場合: 
• The controller or processor is established in more than one Member State, and   ・管理者または処理者が2つ以上の加盟国に設立されている場合、および
• The processing of personal data takes place in the context of the activities of establishments in more than one Member State.  ・個人データの処理は、2つ以上の加盟国にある事業所の活動の中で行われる。
Ø In this case, go to section 2.   Ø この場合、第2項に。 
b. Yes, if:  b. はい、以下の場合: 
• The processing of personal data takes place in the context of the activities of a controller or processor’s single establishment in the EEA, but:  ・個人データの処理は、EEA内の管理者または処理者の単一の事業所の活動の文脈で行われるが、以下のような場合: 
• Substantially affects or is likely to substantially affect individuals in more than one Member State.   ・複数の加盟国の個人に実質的に影響を与える、または与える可能性がある。
Ø In this case, the lead supervisory authority is the authority for the controller or processor’s single establishment in a single Member State. This is - by logic - the controller or processor’s main establishment because it is its only establishment.   Ø この場合、主管監督機関は、単一の加盟国における管理者または処理者の単一施設のための当局です。これは、論理的には、管理者または処理者の唯一の施設であるため、管理者または処理者の主要施設である。 
 2  How to identify the ‘lead supervisory authority’   2 「主管監督官庁」を特定する方法 
 a.  In a case involving only a controller:    a.  コントローラーのみが関与する場合  
i. Identify the controller’s place of central administration in the EEA;   i. EEAにおける管理者の中央管理場所を特定する;  
ii. The supervisory authority of the country where the place of central administration is located is the controller’s lead supervisory authority.   ii. 中央管理場所がある国の監督当局が、管理者の主管監督当局となる。 
However:   ただし、以下の通り:  
iii. If decisions on the purposes and means of the processing are taken in another establishment in the EEA, and that establishment has the power to implement those decisions, then the lead supervisory authority is the one located in the country where this establishment is.  iii. 処理の目的および手段に関する決定がEEA内の別の事業所で行われ、その事業所がその決定を実施する権限を有する場合、この事業所がある国に所在する事業所が主管監督当局となる。
 b.  In a case involving a controller and a processor:   b.  管理者と処理者が関与するケースにおいて 
i. Check if the controller is established in the EEA and subject to the one-stop-shop system If so, ii. Identify the lead supervisory authority of the controller. This authority will also be the lead supervisory authority for the processor. iii. The (non-lead) supervisory authority competent for the processor will be a ‘concerned supervisory authority’ - see section 3 below.  i. 管理者がEEAに設立され、ワンストップショップシステムの対象であるかどうかを確認する場合、ii.管理者の主管監督官庁を特定する。この当局は、処理者の主管理当局でもある。処理業者に対して権限を有する(非主導)監督当局は、「関係監督当局」(下記3項参照)となる。
 c.  In a case involving only a processor:   c.  処理者のみが関与する場合 
i. Identify the processor’s place of central administration in the EEA;  i. 処理者のEEAにおける中央管理場所を特定する; 
ii. If the processor has no central administration in the EEA, identify the establishment in the EEA where the main processing activities of the processor take place.  ii. 処理者がEEAに中央管理機関を持たない場合、処理者の主要な処理活動が行われるEEA内の施設を特定する。
 d.  In a case involving joint controllers:   d.  共同管理者が関与する場合 
i. Check if the joint controllers are established in the EEA.  i. 共同管理者がEEAに設立されているかどうかを確認する。
ii. Identify the place of central administration in the EEA for each joint controller respectively (where applicable);   ii. 各共同管理者のEEAにおける中央管理場所をそれぞれ特定する(該当する場合);  
iii. The supervisory authority of the country where the place of central administration is located is the lead supervisory authority of the respective joint controller.  iii. 中央管理地がある国の監督当局は、それぞれの共同管理者の主管監督当局である。
 3  Are there any ‘concerned supervisory authorities’?   3 「関係する監督当局」はあるか?
An authority is a ‘concerned authority’:  当局とは、「関係当局」のことである: 
• When the controller or processor has an establishment on its territory, or:  ・管理者または処理者がその領土に施設を有している場合、または: 
• When data subjects on its territory are substantially affected or likely to be substantially affected by the processing, or:  ・その領域内のデータ主体が処理によって実質的に影響を受けるか、または受ける可能性がある場合、または: 
• When a complaint is received by a particular supervisory authority. ・特定の監督当局に苦情が寄せられた場合。

 

 

 

|

« EDPB データ主体の権利(アクセス権)に関するガイドライン(最終版)を採択  | Main | 大阪大学 生成AI(Generative AI)の利用について »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« EDPB データ主体の権利(アクセス権)に関するガイドライン(最終版)を採択  | Main | 大阪大学 生成AI(Generative AI)の利用について »