欧州 EDPB GDPRにおける個人データ侵害通知に関するガイドライン 9/2022 Ver. 2.0
こんにちは、丸山満彦です。
EDPBから、GDPRにおける個人データ侵害通知に関するガイドライン Ver. 2.0が公表されていますね。。。
昨年10月に意見募集がおこなわれていたものが、確定した感じですね。。。
EEAに設立されていない管理者のデータ漏えい通知についてガイドラインが採択されたとのことです。。。
● European Data Protection Board: EDPB
・2023.04.04 Guidelines 9/2022 on personal data breach notification under GDPR
・[PDF]
・[DOCX] 仮訳
2023.12.15 追記
個人情報保護委員会が仮日本語訳を公表したので、追記...
● 個人情報保護委員会
・2023.12.08 [PDF] 個人データ侵害通知に関するガイドライン09_2022
目次...
| Guidelines 9/2022 on personal data breach notification under GDPR | GDPRの下での個人データ侵害通知に関するガイドライン9/2022 |
| TABLE OF CONTENTS | 目次 |
| 0 PREFACE | 0 前書き |
| INTRODUCTION | イントロダクション |
| I. PERSONAL DATA BREACH NOTIFICATION UNDER THE GDPR | I. GDRPに基づく個人データ漏えい通知 |
| A. Basic security considerations | A. セキュリティに関する基本的な考慮事項 |
| B. What is a personal data breach? | B. 個人データ漏えいとは? |
| 1. Definition | 1. 定義 |
| 2. Types of personal data breaches | 2. 個人データ漏えいの種類 |
| 3. The possible consequences of a personal data breach | 3. 個人データ漏えいがもたらす可能性のある結果 |
| II. ARTICLE 33 - NOTIFICATION TO THE SUPERVISORY AUTHORITY | II. 第33条:監督当局への通知 |
| A. When to notify | A. 通知するタイミング |
| 1. Article 33 requirements | 1. 第33条の要件 |
| 2. When does a controller become “aware”? | 2. 管理者が 「認識」するのはどんな時か? |
| 3. Joint controllers | 3. 共同管理者 |
| 4. Processor obligations | 4. 処理者の義務 |
| B. Providing information to the supervisory authority | B. 監督官庁への情報提供 |
| 1. Information to be provided | 1. 提供する情報 |
| 2. Notification in phases | 2. 段階的な通知 |
| 3. Delayed notifications | 3. 通知遅延 |
| C. Cross-border breaches and breaches at non-EU establishments | C. 国境を越えた違反行為とEU域外の事業所における違反行為 |
| 1. Cross-border breaches | 1. 国境を越えた違反 |
| 2. Breaches at non-EU establishments | 2. EU域外の事業所での違反 |
| D. Conditions where notification is not required | D. 通知が不要な条件 |
| III. ARTICLE 34 – COMMUNICATION TO THE DATA SUBJECT | III. 第34条:データ対象者への通知 |
| A. Informing individuals | A. 個人への情報提供 |
| B. Information to be provided | B. 提供される情報 |
| C. Contacting individuals | C.個人への連絡 |
| D. Conditions where communication is not required | D. コミュニケーションを必要としない条件 |
| IV. ASSESSING RISK AND HIGH RISK | IV. リスク評価と高リスク |
| A. Risk as a trigger for notification | A. 通知のトリガーとなるリスク |
| B. Factors to consider when assessing risk | B. リスクを評価する際に考慮すべき要素 |
| V. ACCOUNTABILITY AND RECORD KEEPING | V. 説明責任と記録の保持 |
| A. Documenting breaches | A. 違反の文書化 |
| B. Role of the Data Protection Officer | B. データ保護責任者の役割 |
| VI. NOTIFICATION OBLIGATIONS UNDER OTHER LEGAL INSTRUMENTS | VI. 他の法的文書に基づく通知義務 |
| VII. ANNEX | VII. 附属書 |
| A. Flowchart showing notification requirements | A. 報告・通知要件を示すフローチャート |
| B. Examples of personal data breaches and who to notify | B. 個人データ漏えいの例と報告・通知先 |
⚫︎ まるちゃんの情報セキュリティ気まぐれ日記
・2022.10.21 欧州データ保護委員会 EDPB 意見募集 GDPRに基づく個人データ漏えい通知に関するガイドライン9/2022
Comments