欧州 EDPB EU-USデータプライバシー枠組みに関するFAQ（欧州企業向け、欧州個人向け）

こんにちは、丸山満彦です。

EDPBが、EU-USデータプライバシー枠組みに関するFAQ（欧州企業向け、欧州個人向け）を公表していますね。。。

 

● EDPB

・2024.07.16 EU-US Data Privacy Framework FAQ for European businesses

・[PDF]

 

 

EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN BUSINESSES[1]	欧州企業向けEU・米国データ・プライバシー枠組みFAQ[1]｜
Q1. What is the EU-U.S. Data Privacy Framework?	Q1. EU-米国データ・プライバシー枠組みとは何か？
Q2. Which U.S. companies are eligible to the EU-U.S. Data Privacy Framework?	Q2. EU-米国データ・プライバシー枠組の対象となる米国企業は？
Q3. What to do before transferring personal data to a company in the U.S. which is, or claims to be certified under the EU-U.S. Data Privacy Framework?	Q3. EU-米国データ・プライバシー・フレームワークの認証を受けている、または受けていると主張する米国企業に個人データを移転する前に何をすべきか？
Q4. Where can I find guidance regarding the certification of U.S. subsidiary companies of European businesses?	Q4. 欧州企業の米国子会社の認証に関するガイダンスはどこで入手できるか？

 

 

 

・2024.07.16 EU-US Data Privacy Framework FAQ for European individuals

・[PDF]

EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN INDIVIDUALS[15]	欧州個人向けEU・米国データ・プライバシー枠組みFAQ[15]。
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q1. EU-米国のデータ・プライバシー枠組みとは何か？
Q2. HOW DO I BENEFIT FROM THE EU-US DATA PRIVACY FRAMEWORK?	Q2. EU-米国のデータ・プライバシー枠組みからどのような恩恵を受けるのか？
Q3. HOW DO I LODGE A COMPLAINT?	Q3. 苦情を申し立てるにはどうすればよいか？
Q4. HOW WILL THE NATIONAL DPA HANDLE MY COMPLAINT?	Q4. 各国のDpaは私の苦情をどのように扱うのか？

 

 

合わせて...

 

EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN BUSINESSES[1]	欧州企業向けEU・米国データ・プライバシー枠組みFAQ[1]｜
Table of contents	目次
Q1. What is the EU-U.S. Data Privacy Framework?	Q1. EU-米国データ・プライバシー枠組みとは何か？
Q2. Which U.S. companies are eligible to the EU-U.S. Data Privacy Framework?	Q2. EU-米国データ・プライバシー枠組の対象となる米国企業は？
Q3. What to do before transferring personal data to a company in the U.S. which is, or claims to be certified under the EU-U.S. Data Privacy Framework?	Q3. EU-米国データ・プライバシー・フレームワークの認証を受けている、または受けていると主張する米国企業に個人データを移転する前に何をすべきか？
Q4. Where can I find guidance regarding the certification of U.S. subsidiary companies of European businesses?	Q4. 欧州企業の米国子会社の認証に関するガイダンスはどこで入手できるか？
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q1. EU-米国データ・プライバシー枠組みとは何か？
The EU-U.S. Data Privacy Framework (“DPF”) is a self-certification mechanism for companies in the U.S. Companies that have self-certified under the DPF must comply with its principles, rules and obligations related to the processing of personal data of EEA individuals. For more information about these commitments, see the Data Privacy Framework Principles.[2]	EU-米国データ・プライバシー・フレームワーク（DPF）は、米国内企業のための自己認証メカニズムである。DPFの下で自己認証を受けた企業は、EEA加盟国の個人データの処理に関するDPFの原則、規則、義務を遵守しなければならない。これらの義務の詳細については、データ・プライバシー・フレームワークの原則を参照のこと[2]。
The European Commission considered that transfers of personal data from the EEA to companies certified under the DPF enjoy an adequate level of protection.[3] As a result, personal data can be transferred freely to U.S. certified companies, without the need to put in place further safeguards or obtain an authorisation. Here are some relevant links for more information:	欧州委員会は、EEAからDPFの認定を受けた企業への個人データの移転は、十分な保護レベルを享受しているとみなした[3]。その結果、個人データは、さらなる保護措置を講じたり、認可を得たりする必要なく、米国の認定を受けた企業に自由に移転することができる。以下は関連リンクである：
-       The European Commission’s Questions and Answers: Data Privacy Framework[4]	・欧州委員会のQ&A： データ・プライバシー枠組[4]。
-       The Data Privacy Framework website as administrated by the U.S. Department of Commerce[5]	・米国商務省が管理するデータ・プライバシー枠組のウェブサイト[5]。
-       The European Commission’s decision on the adequate level of protection of personal data under the EU-U.S. Data Privacy Framework[6]	・EU-米国データ・プライバシー枠組みにおける個人データの適切な保護レベルに関する欧州委員会の決定[6]。
The DPF applies to any type of personal data transferred from the EEA to the U.S., including personal data processed for commercial or health purposes, and human resources data collected in the context of an employment relationship (hereafter: “HR Data”), as long as the recipient company in the U.S. is self-certified under the DPF to process those types of data.[7]	DPFは、EEAから米国に移転されるあらゆる種類の個人データに適用される。これには、商業目的や健康目的で処理される個人データ、雇用関係の文脈で収集される人的資源データ（以下、「HRデータ」）が含まれるが、米国の取得者企業がDPFに基づき、これらの種類のデータを処理することを自己認証している限りにおいて適用される[7]。
Q2. WHICH U.S. COMPANIES ARE ELIGIBLE TO THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q2. どのような米国企業がEU・米国データ・プライバシー枠組の対象となるのか。
In order to be eligible to self-certify to the DPF, a company in the U.S. must be subject to the investigatory and enforcement powers of the U.S. Federal Trade Commission (“FTC”) or of the U.S. Department of Transportation (“DoT”). Other U.S. statutory bodies may be included in the future.[8]	米国の企業がDPFの自己認証を受けるためには、米国連邦取引委員会（「FTC」）または米国運輸省（「DoT」）の調査・執行権限の対象となる必要がある。将来的には他の米国法定団体も含まれる可能性がある[8]。
This means that, for example, non-profit organizations, banks, insurance companies and telecommunication service providers (with regard to common carrier activities) which do not fall under the jurisdiction of the FTC or DoT cannot self-certify under the DPF.	つまり、例えば、FTCやDoTの管轄下にない非営利団体、銀行、保険会社、（コモンキャリア活動に関する）電気通信サービスプロバイダは、DPFに基づく自己認証を行うことができない。
Q3. WHAT TO DO BEFORE TRANSFERRING PERSONAL DATA TO A COMPANY IN THE U.S. WHICH IS, OR CLAIMS TO BE CERTIFIED UNDER THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q3. 個人データを、EU-米国データ・プライバシー・フレームワークの認定を受けた、または受けていると主張する米国企業に移転する前に何をすべきか？
Before transferring personal data to a company in the U.S. which claims to be self-certified under the DPF, a data exporter in the EEA must ascertain that the company in the U.S. holds an active selfcertification (certifications must be renewed annually) and that this certification covers the data in question (in particular if it covers HR Data, respectively, non-HR Data).[9]	EEAのデータ輸出者は、DPFの下で自己認証を受けていると主張する米国の企業に個人データを移転する前に、当該米国企業が有効な自己認証（認証は毎年更新されなければならない）を取得していること、および当該認証が問題のデータ（特に人事データ、それぞれ非人事データを対象としている場合）をカバーしていることを確認しなければならない[9]。
To verify whether or not a self-certification is active and applicable, data exporters in the EEA need to check if the company in the U.S. is on the Data Privacy Framework List,[10] published on the U.S. Department of Commerce’s website. This list also includes a register of companies that have been removed from the List (“inactive participants”), stating the reasons for their removal. An EEA data exporter cannot rely on the DPF for transfers of personal data to such companies. Please note that companies that have been removed from the Data Privacy Framework List must continue to apply the Data Privacy Framework Principles to personal data received while participating in the DPF for as long as they retain these data.	自己認証が有効で適用可能かどうかを確認するために、EEAのデータ輸出者は、米国の企業が米国商務省のウェブサイトで公表されている「データ・プライバシー・フレームワーク・リスト」[10]に掲載されているかどうかを確認する必要がある。このリストには、リストから削除された企業（「非アクティブ参加者」）の登録も含まれており、削除理由が記載されている。EEAのデータ輸出者は、このような企業への個人データの移転についてDPFに依拠することはできない。データ・プライバシー枠組リストから削除された企業は、DPF参加中に受領した個人データを保持する限り、データ・プライバシー枠組原則を適用し続けなければならない。
For the transfer of personal data to companies in the U.S. that are not (or no longer) self-certified under the DPF, other grounds for transfer in Chapter V of the GDPR may be used, such as Binding Corporate Rules or Standard Contractual Clauses.	DPFの下で自己認証を受けていない（または受けられなくなった）米国内の企業への個人データの移転については、拘束力のある企業規則や標準契約条項など、GDPR第5章の他の移転根拠を用いることができる。
The fact that the recipient in the U.S. is self-certified under the DPF will enable data exporters in the EEA to comply with Chapter V of the GDPR, but all other requirements in the GDPR and any other national data protection law remain applicable.	米国の取得者がDPFの下で自己認証されているという事実は、EEAのデータ輸出者がGDPR第5章を遵守することを可能にするが、GDPRおよびその他の国内データ保護法の他のすべての要件は引き続き適用される。
3.1. Transfers to U.S. subsidiaries of companies certified under the EU-U.S. Data Privacy Framework	3.1. EU-米国データ・プライバシー枠組の認定を受けた企業の米国子会社への移転
In the case of transfers to companies in the U.S. that are subsidiaries of a DPF-certified parent company, EEA data exporters must check if the certification of the parent company also covers the subsidiary company concerned.	DPF認証を受けた親会社の子会社である米国内の企業への移転の場合、EEAデータ輸出者は、親会社の認証が当該子会社にも適用されるかどうかを確認しなければならない。
You can find additional information on how to verify the scope of an organisation’s self-certification, including whether other U.S. entities or U.S. subsidiaries are covered by it, here.[11]	他の米国事業体や米国子会社が対象となるかどうかなど、組織の自己認証の範囲を確認する方法に関する追加情報は、こちらで確認できる[11]。
3.2. Transfers to a company in the U.S. acting as a controller	3.2. 管理者として行動する米国内の企業への移転
Before transferring personal data to a controller in the U.S., an EEA data exporter must ensure the transfer complies with all relevant provisions of the GDPR. As a first step, the data exporter can only share personal data with a company in the U.S. if there is a legal basis for the processing (Article 6 of the GDPR). Moreover, all other requirements in the GDPR need to be met (e.g. purpose limitation, proportionality, accuracy and information obligations towards data subjects). Note that when data is to be transferred to a self-certified company in the U.S., the EEA data exporter, in accordance with Articles 13 and 14 GDPR, must inform data subjects about the identity of the recipients of their data and about the fact that the transfer is covered by the EU-U.S. Data Privacy Framework adequacy decision.	EEAのデータ輸出者は、米国内のデータ管理者に個人データを移転する前に、その移転がGDPRのすべての関連条項に準拠していることを確認しなければならない。まず第一段階として、データ輸出者は、処理に法的根拠がある場合にのみ、パーソナルデータの処理を米国内の企業と共有することができる（GDPR第6条）。さらに、GDPRのその他の要件（目的の限定、比例性、正確性、データ対象者に対する情報提供義務など）をすべて満たす必要がある。なお、データを米国の自己認証企業に移転する場合、EEAのデータ輸出者はGDPR第13条および第14条に従い、データ取得者の身元および移転がEU-米国データ・プライバシー枠組の十分性認定の対象であることをデータ対象者に通知しなければならない。
3.3. Transfers to a company in the U.S. acting as a processor	3.3. 処理者として行動する米国内の企業への移転
When an EEA controller transfers data to a processor in the U.S., the controller and processor are obliged to conclude a data processing agreement under Article 28 GDPR (hereafter: Data processing agreement), regardless of whether the processor is self-certified under the DPF.	EEAの管理者が米国内の処理者にデータを移転する場合、処理者がDPFの自己認証を受けているか否かにかかわらず、管理者と処理者はGDPR第28条に基づくデータ処理契約（以下、データ処理契約）を締結する義務がある。
You can find more information about the contract requirements for transfers to a processor in the U.S. here.[12]	米国における処理業者への移転に関する契約要件については、こちらを参照されたい[12]。
The conclusion of a data processing agreement is required in order to ensure that the U.S. processor commits to:	データ処理契約の締結は、米国の処理者が以下を約束することを保証するために必要である：
-                process the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;	・個人データの第三国または国際機関への移転に関しても、データ処理者が対象としている連邦法または加盟国の法律によって要求されない限り、管理者からの文書化された指示に基づいてのみ個人データを処理すること；
-                ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;	・パーソナルデータの処理権限を有する者が守秘義務を負うか、または適切な法的守秘義務を負っていることを確認すること；
-                implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, in line with what is required by the data processing agreement (stemming from Article 32 of the GDPR) and sections 4 and 10 of the DPF;	・データ処理契約（GDPR第32条に由来する）およびDPF第4項および第10項で要求されていることに従い、リスクに見合ったレベルのセキュリティを確保するための適切な技術的および組織的措置を講じること；
-                respect the conditions referred to in the data processing agreement (stemming from paragraphs 2 and 4 of Article 28 of the GDPR) and Section II.3.B of the DPF for engaging another processor;	・データ処理契約（GDPR第28条第2項および第4項に由来する）およびDPF第II.3.B項で言及されている、別のデータ処理者を雇用するための条件を尊重すること；
-                taking into account the nature of the processing, assist the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller's obligation to respond to requests for exercising the data subject's rights laid down in Chapter III of the GDPR;	・処理の性質を考慮し、GDPR第3章に規定されているデータ対象者の権利行使の要求に対応する管理者の義務の履行について、可能な限り、適切な技術的および組織的手段によって管理者を支援すること；
-                assist the controller in ensuring compliance with its obligations pursuant to Articles 32 to 36 of the GDPR, taking into account the nature of processing and the information available to the processor;	・処理の性質および処理者が利用可能な情報を考慮し、GDPR第32条から第36条に基づく義務の遵守を確保するために管理者を支援すること；
-                at the choice of the controller, delete or return all the personal data to the controller after the end of the provision of services relating to processing, and delete existing copies unless Union or Member State law requires storage of the personal data;	・管理者の選択により、処理に関連するサービスの提供終了後、すべてのパーソナルデータを削除または管理者に返却し、連合国または加盟国の法律によりパーソナルデータの保管が義務付けられている場合を除き、既存のコピーを削除すること；
-                make available to the controller all information necessary to demonstrate compliance with the obligations laid down in Article 28 of the GDPR and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. With regard to this last point, the processor shall immediately inform the controller if, in its opinion, an instruction infringes the DPF.	・GDPR第28条に規定された義務の遵守を証明するために必要なすべての情報を管理者に提供し,管理者または管理者が委任した別の監査人が実施する検査などの監査を許可し,これに貢献すること。この最後の点に関して,処理者は,その見解において,ある指示がDPFに抵触する場合,直ちに管理者に通知するものとする。
Where the U.S. processor engages another processor (“sub-processor”) to carry out specific processing activities on behalf of the EEA controller, the processor must ensure that the requirements under Section II.3.B DPF are fulfilled. This includes ensuring that the sub-processor provides the same level of protection of personal data as required in the DPF and the same data protection obligations as set out in the data processing agreement.  Where a sub-processor fails to fulfil its data protection obligations, the initial U.S. processor shall remain fully liable to the controller for the performance of that sub-processor's obligations.	米国の処理者が、EEAの管理者に代わって特定の処理活動を実施するために他の処理者（「サブ処理者」）を雇用する場合、処理者は、第II.3.B項DPFに基づく要件が満たされるようにしなければならない。これには、DPFで要求されているのと同レベルのパーソナルデータの保護、およびデータ処理契約に定められているのと同レベルのデータ保護義務を、サブ処理者が確実に提供することが含まれる。 サブ処理者がデータ保護義務を履行しない場合、最初の米国の処理者は、当該サブ処理者の義務の履行について、管理者に対して完全な責任を負うものとする。
Q4. WHERE CAN I FIND GUIDANCE REGARDING THE CERTIFICATION OF U.S. SUBSIDIARY COMPANIES OF EUROPEAN BUSINESSES?	Q4. 欧州企業の米国子会社の認証に関するガイダンスはどこで入手できるか。
U.S. subsidiaries of EEA businesses can self-certify to the DPF if they are subject to the jurisdiction of the Federal Trade Commission (FTC) or the U.S. Department of Transportation (DoT).	EEA企業の米国子会社は、連邦取引委員会（FTC）または米国運輸省（DoT）の管轄下にある場合、DPFに自己認証することができる。
You can find more information on the eligibility requirements here,[13] and a guide to the selfcertification process here.[14]	資格要件の詳細についてはこちら[13]、自己認証プロセスのガイドについてはこちら[14]を参照されたい。
EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN INDIVIDUALS[15]	欧州個人向けのEU-米国データ・プライバシー枠組みFAQ[15]。
Table of contents	目次
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q1. EU-米国のデータ・プライバシー枠組みとは何か？
Q2. HOW DO I BENEFIT FROM THE EU-US DATA PRIVACY FRAMEWORK?	Q2. EU-米国のデータ・プライバシー枠組みからどのような恩恵を受けるのか？
Q3. HOW DO I LODGE A COMPLAINT?	Q3. 苦情を申し立てるにはどうすればよいか？
Q4. HOW WILL THE NATIONAL DPA HANDLE MY COMPLAINT?	Q4. 各国のDPAは私の苦情をどのように扱うのか。
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q1. EU-米国データ・プライバシー枠組みとは何か？
The DPF applies to any type of personal data transferred from the EEA to the U.S., including personal data processed for commercial or health purposes, and human resources data collected in the context of an employment relationship (hereafter: “HR Data”), as long as the recipient company in the U.S. is self-certified under the DPF to process those types of data.[17]	DPFは、EEAから米国に移転されるあらゆる種類の個人データに適用される。これには、商業目的または健康目的で処理される個人データや、雇用関係の文脈で収集される人的資源データ（以下、「HRデータ」）が含まれる。
Q2. HOW DO I BENEFIT FROM THE EU-US DATA PRIVACY FRAMEWORK?	Q2. EU-米国データ・プライバシー枠組みからどのような恩恵を受けるのか？
The DPF relies on commitments taken by companies in the U.S. to respect its principles, rules and obligations related to the processing of personal data of European individuals. For more information about these commitments, see the Data Privacy Framework Principles.[18]	DPFは、欧州の個人データの処理に関連する原則、規則、義務を尊重するために、米国の企業が取るコミットメントに依存している。これらの約束の詳細については、データ・プライバシー枠組み原則を参照のこと[18]。
The DPF grants you certain rights when your personal data have been transferred from the EEA to a company in the U.S. that has self-certified under the DPF. Notably, you have the right to be informed of such a transfer and its purpose, as well as to obtain access to your personal data, and correct or delete any incorrect or unlawfully handled data.[19] You can verify whether a company in the U.S. has a valid certification by checking the online EU-U.S. Data Privacy Framework List[20] on the U.S. Department of Commerce’s website.	DPFは、個人データがEEAからDPFに基づき自己認証した米国の企業に移転された場合、特定の権利を付与する。特筆すべきは、あなたには、そのような移転とその目的について知らされる権利、あなたの個人データへのアクセスを得る権利、不正確または違法に取り扱われたデータを修正または削除する権利があることである[19]。米国の企業が有効な認証を受けているかどうかは、米国商務省のウェブサイトにあるオンラインのEU-米国データ・プライバシー・フレームワーク・リスト[20]を確認することで確認できる。
If you have any questions or concerns about the processing of your personal data by a company certified under the DPF, you are encouraged to directly contact that company, as a first step.	DPFの認定を受けた企業によるパーソナルデータの処理について疑問や懸念がある場合は、まずその企業に直接連絡することが推奨される。
If your concern is not resolved by the company, or you have reasons to not address it directly to the company, you can contact any EEA national data protection authority (national DPA) and, in particular, the one in the country where you reside or work, or from where your personal data has been transferred to the U.S.[21]	当該企業で懸念が解決されない場合、または当該企業に直接問い合わせることができない理由がある場合は、EEA各国のデータ保護当局（各国DPA）、特にあなたが居住または勤務している国、またはあなたの個人データが米国に移転された国のデータ保護当局に問い合わせることができる[21]。
Q3. HOW DO I LODGE A COMPLAINT?	Q3. 苦情を申し立てるにはどうすればよいか？
If you believe that a company in the U.S. has violated its obligations or your rights under the EU-U.S. Data Privacy Framework, several redress avenues are available to you. Read more about the ways to submit a complaint here.[22]	米国の企業がEU-米国データ・プライバシー枠組みにおける義務やあなたの権利に違反していると思われる場合、いくつかの救済手段を利用することができる。苦情を提出する方法についてはこちらをお読みいただきたい[22]。
On the Data Privacy Framework List[23] you can find information about the complaint procedure and independent recourse mechanism for each self-certified company.[24]	データ・プライバシー枠組みリスト[23]では、各自己認証企業の苦情申し立て手続きと独立した救済メカニズムに関する情報を見つけることができる[24]。
You can always lodge a complaint relating to a U.S. company’s compliance with the Data Privacy Framework Principles directly with a national DPA. Please provide the national DPA with as many details on the matter as possible, enabling your DPA to handle your complaint in the best way. A template complaint form[25] (to be used on a voluntary basis) is available for such cases.	米国企業のデータ・プライバシー枠組原則の遵守に関する苦情は、いつでも各国のDPAに直接申し立てることができる。DPAが最善の方法で苦情を処理できるように、できるだけ多くの詳細を国内DPAに提供すること。このような場合のために、苦情申立書の雛形[25]（任意で使用）が用意されている。
You may also contact your national DPA for more information about the ways to submit a complaint.[26]	また、苦情の提出方法に関する詳細については、各国のDPAに問い合わせることもできる[26]。
Q4. HOW WILL THE NATIONAL DPA HANDLE MY COMPLAINT?	Q4. 各国のDPAは私の苦情をどのように扱うのか。
When you lodge a complaint with a national DPA, different scenarios may occur:	各国のDPAに苦情を申し立てる場合、さまざまなシナリオが考えられる：
1- Informal panel of EU DPAs	1- EU DPAの非公式パネル
If your complaint concerns the processing of HR Data[27] transferred to a company in the U.S., or if the company in the U.S. has voluntarily chosen the EU DPAs as its independent recourse mechanism, an informal panel of several EU DPAs will be set up to handle the complaint.	苦情が米国の企業に移転された人事データ[27]の処理に関するものである場合、または米国の企業が自主的にEUのDPAを独立した救済メカニズムとして選択した場合、複数のEUのDPAからなる非公式パネルが苦情を処理するために設置される。
The informal panel of EU DPAs will launch an investigation during which both you and the company in the U.S. will have the possibility to express your views. If necessary in order to resolve the case, the informal panel can issue an ‘advice’, which is binding on the company in the U.S.	EU DPAの非公式パネルは調査を開始し、その間にあなたと米国の企業の双方が意見を述べる可能性がある。案件を解決するために必要であれば、非公式パネルは「助言」を出すことができ、これは米国企業を拘束する。
2.- Referral to U.S. authorities	2.- 米国当局への照会
If your complaint does not concern the processing of HR Data or the company in the U.S. has not committed to cooperate with the EU DPAs, the informal panel of EU DPAs will not be competent. Your national DPA may then refer your complaint to the competent U.S. authorities, such as the Federal Trade Commission (FTC), the Department of Transportation’s Office of Aviation Consumer Protection, or the U.S. Department of Commerce (DoC).[28]	苦情が人事データの処理に関するものでない場合、または米国の企業がEUのDPAと協力することを約束していない場合、EUのDPAの非公式パネルは権限を持たない。その場合、各国のDPAは、連邦取引委員会（FTC）、運輸省航空消費者保護局、米国商務省（DoC）などの米国の所轄当局に苦情を照会することができる[28]。
Depending on the circumstances of the case, the national DPA which is competent for the EEA data exporter may also directly exercise its powers (such as prohibition or suspension of data transfers) towards the data exporter.	事案の状況によっては、EEAデータ輸出者の管轄である各国のDPAがデータ輸出者に対して直接権限（データ移転の禁止や停止など）を行使することもある。

 

[1] In this context, European businesses refer to businesses in the EEA, which transfer or may transfer personal data to companies in the U.S. certified under the DPF.	[1] この文脈では、欧州企業とは、DPFに基づき認定された米国の企業に個人データを移転する、または移転する可能性のあるEEA内の企業を指す。
[2] https://www.dataprivacyframework.gov/program-articles/Participation-Requirements-Data-PrivacyFramework-(DPF)-Principles
[3] The decision on the adequacy of the Data Privacy Framework was adopted by the European Commission on July 10, 2023. It was designed by the European Commission and the U.S. Department of Commerce to replace the Privacy Shield Decision (EU) 2016/1250 which was declared invalid by the European Court of Justice in  16 July 2020 in Case C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II).	[3] データ・プライバシー枠組の十分性認定は、2023年7月10日に欧州委員会によって採択された。これは、欧州司法裁判所が2020年7月16日にC-311/18事件（Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II)）で無効としたプライバシー・シールド決定（EU）2016/1250に代わるものとして、欧州委員会と米国商務省が策定したものである。
[4] https://ec.europa.eu/commission/presscorner/detail/en/qanda 23 3752
[5] https://www.dataprivacyframework.gov/s/
[6] https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EUUS%20Data%20Privacy%20Framework en.pdf
[7] Note that not all DPF self-certifications cover HR Data. It is therefore important to check whether this is the case, if relevant. See also Q3.	[7] DPFのすべての自己認証が人事データを対象としているわけではないことに留意されたい。従って、該当する場合は、該当するかどうかを確認することが重要である。Q3も参照のこと。
[8] See Annex I to the adequacy decision, EU-U.S. Data Privacy Framework Principles issued by the U.S. Department of Commerce, para I.2.	[8] 米国商務省発行の十分性認定書「EU-米国データ・プライバシー枠組み原則」の附属書Ⅰ、パラⅠ.2を参照のこと。
[9] See definition of HR Data in Q1.	[9] Q1の人事データの定義を参照のこと。
[10] https://www.dataprivacyframework.gov/list
[11] https://www.dataprivacyframework.gov/program-articles/How-to-Verify-an-Organization-s-Privacy-DataPrivacy-Framework-(DPF)-Commitments
[12] https://www.dataprivacyframework.gov/program-articles/Contract-Requirements-for-Data-Transfers-to-a-Processor
[13] https://www.dataprivacyframework.gov/program-articles/U-S-Subsidiaries-of-European-Businesses-Participation-in-the-Data-Privacy-Framework-(DPF)-Program
[14] https://www.dataprivacyframework.gov/program-articles/How-to-Join-the-Data-Privacy-Framework-(DPF)Program-(part%E2%80%931)
[15] In this context, European individuals means any natural person, regardless of their nationality, whose personal data have been transferred to a U.S. company under the EU-U.S. Data Privacy Framework.	[15] ここでいう欧州の個人とは、国籍に関係なく、EU-米国データ・プライバシー枠組みに基づいて個人データが米国企業に移転されたすべての自然人を意味する。
[16] The decision on the adequacy of the EU-U.S. Data Privacy Framework was adopted by the European Commission on July 10, 2023. It was designed by the European Commission and the U.S. Department of Commerce to replace the Privacy Shield Decision (EU) 2016/1250 which was declared invalid by the European Court of Justice in 16 July 2020 in Case C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II).	[16] EU-米国データ・プライバシー枠組の十分性に関する認定は、2023年7月10日に欧州委員会によって採択された。これは、欧州司法裁判所が2020年7月16日にC-311/18事件（Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II)）で無効としたプライバシー・シールド決定（EU）2016/1250に代わるものとして、欧州委員会と米国商務省が策定したものである。
[17] Note that not all DPF self-certifications cover HR Data. You may check the scope of a specific company’s certification on the EU-U.S. Data Privacy Framework List on the U.S. Department of Commerce’s website ([web] ).	[17] DPFの自己認証のすべてが人事データを対象としているわけではないことに注意すること。特定の企業の認証範囲は、米国商務省のウェブサイト（[web] ）のEU-米国データ・プライバシー・フレームワーク・リストで確認することができる。
[18] https://www.dataprivacyframework.gov/program-articles/Participation-Requirements-Data-PrivacyFramework-(DPF)-Principles
[19] For more detailed information as to the guarantees for the data transferred and as to your rights under the EU-U.S. Data Privacy Framework, please consult the European Commission’s FAQ on the EU-U.S. Data Privacy Framework ([web] ) (see, in particular, the answer to Q3).	[19] 転送されるデータ・プライバシーに対する保証、およびEU-米国データ・プライバシー枠組の下での権利に関する詳細情報については、欧州委員会のEU-米国データ・プライバシー枠組に関するFAQ（[web] ）を参照されたい（特にQ3に対する回答を参照）。
[20] https://www.dataprivacyframework.gov/list
[21] The terms “national data protection authority” or “EU handling authority” include the data protection authorities of the EEA and also the EDPS, which will be the EU handling authority when your personal data have been transferred to the U.S. by an EU institution.	[21] 「各国データ保護認可機関」または「EU取扱機関」という用語には、EEAのデータ保護認可機関のほか、EUの機関から米国に個人データが移転された場合にEU取扱機関となるEDPSも含まれる。
[22] https://www.dataprivacyframework.gov/program-articles/How-to-Submit-a-Complaint-Relating-to-a-Participating-Organization%E2%80%99s-Compliance-with-the-DPF-Principles
[23] https://www.dataprivacyframework.gov/list
[24] Under the name of the company, click on “Full Profile” and go to “Dispute Resolution”.	[24] 会社名の下にある "Full Profile "をクリックし、"Dispute Resolution "に進む。
[25] https://www.edpb.europa.eu/system/files/2024-04/dpf template-complaint-form commercialcomplaints en.pdf
[26] As for complaints regarding access to your personal data by U.S. national security authorities, please check the EDPB Information Note: [web]	[26] 米国の国家安全保障当局による個人データへのアクセスに関する苦情については、EDPB情報ノート（[web] ）を確認すること。
[27] See definition of HR Data in Q1 above.	[27] 上記Q1のHRデータの定義を参照のこと。
[28] See decision on the adequacy of the Data Privacy Framework, Recitals 69, 80, and Annex V, Section II.A.	[28] データ・プライバシー枠組の十分性認定、リサイタル69、80、附属書V、セクションII.Aを参照のこと。