EDPB 意見募集 法執行指令に基づく適切な保護措置の対象となるデータ移転に関するガイドライン (2023.09.27)

こんにちは、丸山満彦です。

EDPBが法執行指令(Law Enforcement Directive)の第37条にしたがった、データ移転についてのガイドラインを採択し、意見募集をしていますね。。。

 

● European Data Protection Board; EDPB

・2023.09.27 EDPB adopts Guidelines on data transfers subject to appropriate safeguards under the Law Enforcement Directive

EDPB adopts Guidelines on data transfers subject to appropriate safeguards under the Law Enforcement Directive	EDPB、法執行指令に基づく適切な保護措置の対象となるデータ移転に関するガイドラインを採択
The Guidelines aim to serve as a reference for EU countries when they envisage concluding or amending the transfer instruments under Art. 37 (a) LED. In this respect, these guidelines also provide guidance to national data protection authorities (DPAs) in case they are consulted or otherwise involved in the negotiation of such instruments or where they subsequently review their implementation. Furthermore, these guidelines address the role of DPAs in the context of the data controller’s accountability obligations according to Art. 37(2) and (3) LED.	本ガイドラインは、EU諸国が法執行指令 第37条(a)に基づく移転文書の締結または修正を行う際の参考となることを目的としている。法執行指令第37条 (a) に基づく移転文書の締結や改正を想定しているEU諸国にとって参考となることを目的としている。この点で、本ガイドラインは、各国のデータ保護当局（DPA）がそのような文書の交渉に協議または関与する場合や、その後にその履行を見直す場合の指針ともなる。さらに、本ガイドラインは、第37条(2)および(3)に従ったデータ管理者の説明義務におけるDPAの役割にも言及している。法執行指令 第37(2)および(3)に従ったデータ管理者の説明義務との関連におけるDPAの役割に言及している。
The Guidelines reiterate that any transfer of personal data requires an essentially equivalent level of protection in the recipient third country or international organisation and that transfers should by no means undermine the level of protection applicable in the EU. Furthermore, the Guidelines address the use of a legally binding instrument (Art. 37 (a) LED) compared to an assessment by a controller (Art. 37 (b) LED), and stress that the latter should only be relied on when this assessment is based on a careful analysis of the relevant legal framework and practices establishing that the transfer in question is subject to appropriate safeguards.	ガイドラインは、個人データの移転には、移転先の第三国または国際機関において本質的に同等のレベルの保護が必要であり、移転は決してEUで適用される保護レベルを損なうものであってはならないことを繰り返し述べている。さらに、ガイドラインは、管理者による評価（第37条（b）LED）と比較した法的拘束力のある文書（第37条（a）LED）の使用を取り上げ、後者の評価は、問題の移転が適切な保護措置の対象であることを立証する関連する法的枠組みと慣行の慎重な分析に基づいている場合にのみ依拠されるべきであると強調している。
In addition, the Guidelines include practical guidance, such as a list of elements that should be addressed in a legally binding instrument as well as examples for categorising and assessing the circumstances of a transfer.	さらに、ガイドラインには、法的拘束力のある文書で扱われるべき要素のリストや、移転の状況を分類・評価するための例など、実践的な指針が含まれている。
The Guidelines will be subject to public consultation until 8 November 2023.	ガイドラインは、2023年11月8日まで公開協議の対象となる。

 

・2023.-09.27 Guidelines 01/2023 on Article 37 Law Enforcement Directive

・[DOCX] 仮訳

 

 

法執行指令 Law Enforcement Directive: LED

● EUR-Lex

・2016.04.27 DIRECTIVE (EU) 2016/680 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL

第37条

Article 37	第37条
Transfers subject to appropriate safeguards	適切な保護措置に従った移転
1.   In the absence of a decision pursuant to Article 36(3), Member States shall provide that a transfer of personal data to a third country or an international organisation may take place where:	1.   第36条(3)に基づく決定がない場合、加盟国は、第三国または国際機関への個人情報の移転が以下の場合に行われることを規定するものとする：
(a) appropriate safeguards with regard to the protection of personal data are provided for in a legally binding instrument; or	(a) 個人情報の保護に関する適切な保護措置が法的拘束力のある文書に規定されている。
(b) the controller has assessed all the circumstances surrounding the transfer of personal data and concludes that appropriate safeguards exist with regard to the protection of personal data.	(b) 管理者が個人情報の移転を取り巻くすべての状況を評価し、個人情報の保護に関して適切な保護措置が存在すると結論付けた場合。
2.   The controller shall inform the supervisory authority about categories of transfers under point (b) of paragraph 1.	2.   管理者は、第1項(b)に基づく移転のカテゴリーについて監督当局に通知するものとする。
3.   When a transfer is based on point (b) of paragraph 1, such a transfer shall be documented and the documentation shall be made available to the supervisory authority on request, including the date and time of the transfer, information about the receiving competent authority, the justification for the transfer and the personal data transferred.	3.   第1項(b)に基づく移転が行われる場合、当該移転は文書化され、移転の日時、移転先の管轄当局に関する情報、移転の正当性、および移転された個人データを含む文書が、監督当局の要求に応じて提供されるものとする。