欧州 EDPB GDPR第6条(1)(f)に基づくパーソナルデータの処理に関するガイドライン1/2024 (2024.10.09)
こんにちは、丸山満彦です。
欧州データ保護理事会(EDPB)が、2024.10.09 の本会議において、「データ処理者および再処理者への依存に伴う一定の義務に関する意見」、「正当な利益に関するガイドライン」、「GDPR施行のための追加的な手続き規則の策定に関する声明」、および「EDPB作業プログラム2024-2025」を採択していますね。
で、今回は2番目の「GDPR第6条(1)(f)に基づくパーソナルデータの処理に関するガイドライン1/2024」の話...
昨日に続きプレスから...
● EDPB
EDPB adopts Opinion on processors, Guidelines on legitimate interest, Statement on draft regulation for GDPR enforcement, and work programme 2024-2025 | EDPB、処理者に関する意見書、正当な利益に関するガイドライン、GDPR執行のための規則草案に関する声明、および作業計画2024-2025を採択 |
Brussels, 09 October - During its latest plenary, the European Data Protection Board (EDPB) adopted an Opinion on certain obligations following from the reliance on processor(s) and sub-processor(s), Guidelines on legitimate interest, a Statement on laying down additional procedural rules for GDPR enforcement and the EDPB work programme 2024-2025. | ブリュッセル、10月9日 - 欧州データ保護理事会(EDPB)は、最新の本会議において、処理者およびサブ処理者への依存に伴う一定の義務に関する意見書、正当な利益に関するガイドライン、GDPR執行のための追加的な手続き規則の制定に関する声明、およびEDPB作業計画2024-2025を採択した。 |
First, the EDPB adopted an Opinion on certain obligations following from the reliance on processor(s) and sub-processor(s) following an Art. 64(2) GDPR request to the Board by the Danish Data Protection Authority (DPA). Art. 64(2) GDPR provides that any DPA can ask the Board to issue an opinion on matters of general application or producing effects in more than one Member State. | まず、EDPBは、GDPR第64条(2)の要請を受けた処理者および再処理者への依存から生じる一定の義務に関する意見を採択した。64(2)デンマークのデータ保護局(DPA)による理事会への要請を受けた。第64条(2)GDPRは、データ保護機関(DPA)が理事会に要請したデータ処理者(複数可)および再処理者(複数可)に依存することを規定している。64(2)GDPRは、どのDPAも理事会に対し、一般的な適用事項または複数の加盟国に影響を及ぼす事項に関する意見書の発行を求めることができると規定している。 |
The Opinion is about situations where controllers rely on one or more processors and sub-processors. In particular, it addresses eight questions on the interpretation of certain duties of controllers relying on processors and sub-processors, as well as the wording of controller-processor contracts, arising in particular from Art. 28 GDPR. | 本意見書は、管理者が1つまたは複数の処理者および再処理者に依存している状況に関するものである。特に、GDPR第28条に起因する、処理者およびサブ処理者に依存する管理者の特定の義務の解釈や、管理者と処理者の契約の文言に関する8つの質問を取り上げている。28 GDPRに起因する。 |
The Opinion explains that controllers should have the information on the identity (i.e. name, address, contact person) of all processors, sub-processors etc. readily available at all times so that they can best fulfil their obligations under Art. 28 GDPR. Besides, the controller’s obligation to verify whether the (sub-)processors present ‘sufficient guarantees’ should apply regardless of the risk to the rights and freedoms of data subjects, although the extent of such verification may vary, notably on the basis of the risks associated with the processing. | 本意見書は、管理者は、GDPR第28条に基づく義務を最大限に果たすことができるよう、すべての処理者、再処理者等の身元に関する情報(すなわち、氏名、住所、連絡先)を常に容易に入手できるようにしておく必要があると説明している。28 GDPRに基づく義務を最大限に果たすことができる。また、(再)処理者が「十分な保証」を提供しているかどうかを検証する管理者の義務は、データ対象者の権利と自由に対するリスクに関係なく適用されるべきであるが、その検証の程度は、特に処理に関連するリスクに基づいて異なる可能性がある。 |
The Opinion also states that while the initial processor should ensure that it proposes sub-processors with sufficient guarantees, the ultimate decision and responsibility on engaging a specific sub-processor remains with the controller. | また、本意見書では、最初の処理者は、十分な保証のある再処理者を提案することを保証すべきであるが、特定の再処理者との契約に関する最終的な決定と責任は管理者にあるとしている。 |
The EDPB considers that under the GDPR the controller does not have a duty to systematically ask for the sub-processing contracts to check if data protection obligations have been passed down the processing chain. The controller should assess whether requesting a copy of such contracts or reviewing them is necessary for it to be able to demonstrate compliance with the GDPR. | EDPBは、GDPRの下では、管理者は、データ保護義務が処理連鎖の下流に受け継がれているかどうかを確認するために、体系的に再処理契約を求める義務はないと考えている。管理者は、GDPRの遵守を証明するために、そのような契約書のコピーを要求したり、契約書を見直したりすることが必要かどうかをアセスメントすべきである。 |
In addition, where transfers of personal data outside of the European Economic Area take place between two (sub-)processors, the processor as data exporter should prepare the relevant documentation, such as relating to the ground of transfer used, the transfer impact assessment and the possible supplementary measures. However, as the controller is still subject to the duties stemming from Art. 28(1) GDPR on ‘sufficient guarantees’, besides the ones under Art. 44 to ensure that the level of protection is not undermined by transfers of personal data, it should assess this documentation and be able to show it to the competent Data Protection Authority. | さらに、欧州経済地域外への個人データの移転が2つの(再)処理者間で行われる場合、データ移転者としての処理者は、使用される移転理由、移転影響アセスメント、可能な補足措置などに関する関連文書を準備する必要がある。ただし、管理者は依然としてGDPR第28条第1項に基づく義務を負う。第28条(1)の「十分な保証」に起因する義務に従う。第44条に基づき、個人データの移転によって保護水準が損なわれないことを保証する義務を負うため、管理者はこの文書を評価し、管轄のデータ保護当局に提示できるようにしなければならない。 |
Next, the Board adopted Guidelines on the processing of personal data based on legitimate interest. | 次に、理事会は正当な利益に基づくパーソナルデータの処理に関するガイドラインを採択した。 |
Data controllers need a legal basis to process personal data lawfully. Legitimate interest is one of the six possible legal bases. | データ管理者が個人データを合法的に処理するには法的根拠が必要である。正当な利益は6つの法的根拠のうちの1つである。 |
These Guidelines analyse the criteria set down in Art. 6(1) (f) GDPR that controllers must meet to lawfully process personal data on the basis of legitimate interest. It also takes into consideration the recent ECJ ruling on this matter (C-621/22, 4 October 2024). | 本ガイドラインは、GDPR第6条1項(f)の規準を分析するものである。6(1)(f)GDPRに規定された基準を分析し、管理者が正当な利益に基づいて個人データを合法的に処理するために満たさなければならない基準を示す。また、この件に関する最近のECJ判決(C-621/22、2024年10月4日)も考慮している。 |
In order to rely on legitimate interest, the controller needs to fulfil three cumulative conditions: | 正当な利益に依拠するためには、管理者は3つの累積的条件を満たす必要がある: |
The pursuit of a legitimate interest by the controller or by a third party; | 管理者または第三者による正当な利益の追求、 |
The necessity to process personal data for the purposes of pursuing the legitimate interest; | 正当な利益の追求を目的としたパーソナルデータの処理の必要性、 |
The interests or fundamental freedoms and rights of individuals do not take precedence over the legitimate interest(s) of the controller or of a third party (balancing exercise). | 個人の利益または基本的自由および権利が、管理者または第三者の正当な利益(複数可)に優先しないこと(均衡行使)。 |
First of all, only the interests that are lawful, clearly and precisely articulated, real and present may be considered legitimate. For example, such legitimate interests could exist in a situation where the individual is a client or in the service of the controller. | 第一に、合法的で、明確かつ正確に明示され、現実に存在する利益のみが正当な利益とみなされる。例えば、そのような正当な利益は、個人が顧客である状況や、管理者にサービスを提供している状況において存在する可能性がある。 |
Second, if there are reasonable, just as effective, but less intrusive alternatives for achieving the interests pursued, the processing may not be considered to be necessary. The necessity of a processing should also be examined with the principle of data minimisation. | 第二に、追求される利益を達成するために、合理的で、同等の効果があるが、より侵入的でない代替手段がある場合、その処理は必要であるとはみなされない。処理の必要性は、データ最小化の原則とも照らし合わせて検討されなければならない。 |
Third, the controller must ensure that its legitimate interest is not overridden by the individual's interests, fundamental rights or freedoms. In this balancing exercise, the controller needs to take into account the interests of the individuals, the impact of the processing and their reasonable expectations, as well as the existence of additional safeguards which could limit the impact on the individual. | 第三に、管理者は、その正当な利益が個人の利益、基本的権利または自由によって優先されないことを保証しなければならない。この均衡をとるために、管理者は、個人の利益、処理の影響および合理的な期待、さらに個人への影響を制限しうる追加的な保護措置の存在を考慮する必要がある。 |
In addition, these Guidelines explain how this assessment should be carried out in practice, including in a number of specific contexts such as fraud prevention, direct marketing and information security. The document also explains the relationship between this legal basis and a number of data subject rights under the GDPR. | さらに、本ガイドラインでは、詐欺防止、ダイレクトマーケティング、情報セキュリティなど、多くの具体的な状況を含め、このアセスメントを実際にどのように実施すべきかを説明している。また、この文書は、この法的根拠とGDPRに基づく多くのデータ対象者の権利との関係についても説明している。 |
The Guidelines will be subject to public consultation until 20 November 2024. | ガイドラインは、2024年11月20日までパブリックコンサルテーションの対象となる。 |
Next, the Board adopted a Statement following the amendments made by the European Parliament and the Council to the European Commission’s proposal for a Regulation laying down additional procedural rules relating to the enforcement of the GDPR. | 次に、GDPRの施行に関する追加的な手続き規則を定めた欧州委員会の規則案に対して欧州議会と理事会が修正を加えたことを受け、理事会は声明を採択した。 |
The Statement generally welcomes the modifications introduced by the European Parliament and the Council, and recommends further addressing specific elements in order for the new regulation to achieve the objectives of streamlining cooperation between authorities and improving the enforcement of the GDPR. | 声明は、欧州議会と欧州理事会により導入された修正を概ね歓迎し、新規則が当局間の協力を合理化し、GDPRの執行を改善するという目的を達成するために、特定の要素にさらに対処することを推奨している。 |
The Statement makes practical recommendations that may be used in the context of the upcoming trilogues. In particular, the EDPB reiterates the need for a legal basis and harmonised procedure for amicable settlements and it makes recommendations in view of ensuring that consensus on the summary of key issues is reached in the most efficient manner. The Board also welcomes the inclusion of additional deadlines while recalling that they need to be realistic and urges the co-legislators to remove the provisions related to the relevant and reasoned objections and the ‘statement of reasons’ in the dispute resolution procedure. | 本ステートメントは、今後予定されている3カ国協議の文脈で使用される可能性のある実践的な提言を行っている。特に、EDPBは、友好的解決のための法的根拠と調和された手続きの必要性を再確認し、重要事項の要約に関するコンセンサスが最も効率的な方法で得られるようにする観点から提言を行っている。理事会はまた、追加的な期限を盛り込んだことを歓迎するが、その期限は現実的なものである必要があることを想起し、共同立法者に対し、紛争解決手続きにおける関連性のある理由付き異議申し立てと「理由書」に関連する規定を削除するよう求める。 |
While the Statement welcomes the objective of achieving increased transparency, the introduction of a joint case file, as proposed by the European Parliament, would require complex changes to the document management and communication systems used at European and national levels. The technical solutions for its implementation should be carefully assessed, and the modalities for granting access to it should be further clarified. | 序文は、透明性の向上を達成するという目的を歓迎するが、欧州議会が提案する共同事件ファイルの導入は、欧州および各国レベルで使用されている文書管理およびコミュニケーションシステムに複雑な変更を必要とする。その導入のための技術的な解決策を慎重に評価し、アクセス許可の方法をさらに明確にすべきである。 |
The EDPB welcomes the Council’s amendment allowing the lead DPA to opt-out from the so-called enhanced cooperation in simple and straightforward cases, but it highlights the need to clarify further the scope of this opt-out. | EDPBは、単純で分かりやすいケースにおいて、主管DPAがいわゆる強化された協力からオプトアウトすることを認める理事会の修正を歓迎するが、このオプトアウトの範囲をさらに明確にする必要性を強調する。 |
EDPB Chair Anu Talus said: “The draft regulation has the potential to greatly streamline GDPR enforcement by increasing the efficiency of case handling. More harmonisation is needed at EU level, in order to maximise the full effectiveness of the GDPR’s cooperation and consistency mechanisms.” | EDPBのアヌ・タルス委員長は次のように述べた: 「ドラフト規則は、ケース処理の効率性を高めることにより、GDPRの執行を大幅に合理化する可能性を秘めている。GDPRの協力と一貫性のメカニズムの効果を最大化するためには、EUレベルでさらなる調和が必要である。 |
During its latest plenary, the Board adopted its work programme for 2024-2025. This is the first one of two work programmes which will implement the EDPB strategy for 2024-2027 adopted in April 2024. It is based on the priorities set in the EDPB strategy and it also takes into account the needs identified as most important for stakeholders . |
最新の本会議で、理事会は2024-2025年の作業計画を採択した。これは、2024年4月に採択された2024-2027年のEDPB戦略を実施するための2つの作業計画のうち、最初のものである。これは、EDPB戦略で設定された優先事項に基づいており、また、ステークホルダーにとって最も重要であると特定されたニーズも考慮されている。 |
Finally, the EDPB members agreed to grant the status of observer to the EDPB’s activities to the Kosovan Information and Privacy Agency (Kosovan DPA), in line with Art. 8 EDPB Rules of Procedure. | 最後に、EDPBメンバーは、コソボ情報・プライバシー庁(Kosovan DPA)に対し、EDPBの活動に対するオブザーバーの地位を付与することに合意した。第8条 EDPB手続規則に基づき、コソボのDPAにEDPB活動のオブザーバーの地位を与えることに合意した。 |
2番目の話は、
GDPR第6条第1項第f号は、個人データの取り扱いが適法であることを定めた条件の一つで、
- データ処理が管理者または第三者の正当な利益のために行われる場合、その処理が合法とみなされる
とするものです...ただし、
- その第三者の利益がデータ主体の利益や基本的権利および自由によって優先される場合
は、合法となりません(当たり前ですが...ただ、この比較をどのようにするかは検討が必要となります...)。
- 特に、データ主体が子供である場合には、データ主体の権利がより重視されるべき
と定めていますね...
で、その判断についてのガイドライン案が今回公表されたものですかね...
話題となっているGDPR第6条第1項(第6条(1))は次のようになっています...
訳は個人情報保護委員会の[PDF]仮訳...
Article 6 Lawfulness of processing | 第6 条 取扱いの適法性 |
1. Processing shall be lawful only if and to the extent that at least one of the following applies: | 1. 取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である: |
(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes; | (a) データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。 |
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; | (b) データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。 |
(c) processing is necessary for compliance with a legal obligation to which the controller is subject; | (c) 管理者が服する法的義務を遵守するために取扱いが必要となる場合。 |
(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person; | (d) データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。 |
(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller; | (e) 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。 |
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. | (f) 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。 |
Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks. | 第1 項(f)は、公的機関によってその職務の遂行のために行われる取扱いには適用されない。 |
GDPR第6条(1)(f) ガイドラインは...
・2024.10.09 Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR
・[PDF]
エグゼクティブサマリー...
EXECUTIVE SUMMARY | エグゼクティブサマリー |
These guidelines analyse the criteria set down in Article 6(1)(f) GDPR that controllers must meet to lawfully engage in the processing of personal data that is “necessary for the purposes of the legitimate interests pursued by the controller or by a third party”. | 本ガイドラインは、管理者が「管理者または第三者が追求する正当な利益の目的のために必要な」個人データの処理に合法的に関与するために満たさなければならないGDPR第6条1項(f)に定められた基準を分析するものである。 |
Article 6(1)(f) GDPR is one of the six legal bases for the lawful processing of personal data envisaged by the GDPR. Article 6(1)(f) GDPR should neither be treated as a “last resort” for rare or unexpected situations where other legal bases are deemed not to apply nor should it be automatically chosen or its use unduly extended on the basis of a perception that Article 6(1)(f) GDPR is less constraining than other legal bases. | GDPR第6条(1)(f)は、GDPRが想定する個人データの合法的処理に関する6つの法的根拠のひとつである。GDPR第6条1項f号は、他の法的根拠が適用されないとみなされる稀な状況や予期せぬ状況に対する「最後の手段」として扱われるべきではなく、また、GDPR第6条1項f号が他の法的根拠よりも制約が少ないという認識に基づいて自動的に選択されたり、その使用が過度に拡大されるべきではない。 |
For processing to be based on Article 6(1)(f) GDPR, three cumulative conditions must be fulfilled: | 処理がGDPR第6条1項(f)に基づくものであるためには、3つの累積的条件が満たされなければならない: |
• First, the pursuit of a legitimate interest by the controller or by a third party; | • 第一に、管理者または第三者による正当な利益の追求である; |
• Second, the need to process personal data for the purposes of the legitimate interest(s) pursued; and | • 第二に、追求される正当な利益の目的のために個人データを処理する必要性、 |
• Third, the interests or fundamental freedoms and rights of the concerned data subjects do not take precedence over the legitimate interest(s) of the controller or of a third party. | • 第三に、関係するデータ主体の利益または基本的自由および権利が、管理者または 第三者の正当な利益に優先しないことである。 |
In order to determine whether a given processing of personal data may be based on Article 6(1)(f) GDPR, controllers should carefully assess and document whether these three cumulative conditions are met. This assessment should be done before carrying out the relevant processing operations. | ある個人データの処理がGDPR第6条1項(f)に基づく可能性があるかどうかを判断するために、管理者はこれら3つの累積的条件が満たされているかどうかを慎重に評価し、文書化すべきである。この評価は、関連する処理作業を実施する前に行うべきである。 |
With regard to the condition relating to the pursuit of a legitimate interest, not all interests of the controller or a third party may be deemed legitimate; only those interests that are lawful, precisely articulated and present may be validly invoked to rely on Article 6(1)(f) GDPR as a legal basis. It is also the responsibility of the controller to inform the data subject of the legitimate interests pursued where that processing is based on Article 6(1)(f) GDPR. | 合法的な利益の追求に関する条件については、管理者または第三者のすべての利益が合法的であるとみなされるわけではなく、合法的で、正確に明示され、存在する利益のみが、法的根拠としてGDPR第6条1項(f)に依拠するために有効に発動される。その処理がGDPR第6条第1項(f)に基づく場合、追求される正当な利益をデータ主体に通知することも管理者の責任である。 |
With regard to the condition that the processing of personal data be necessary for the purposes of the legitimate interests pursued, it should be ascertained whether the legitimate interests pursued cannot reasonably be achieved just as effectively by other means less restrictive of the fundamental rights and freedoms of data subjects, also taking into account the principles enshrined in Article 5(1) GDPR. If such other means exist, the processing may not be based on Article 6(1)(f) GDPR. | 個人データの処理が、追求される正当な利益の目的のために必要であるという条件については、GDPR第5条1項に謳われている原則も考慮に入れつつ、追求される正当な利益が、データ主体の基本的権利および自由をより制限しない他の手段によって、合理的に同等に効果的に達成できないかどうかを確認しなければならない。そのような他の手段が存在する場合、処理はGDPR第6条第1項(f)に基づいてはならない。 |
With regard to the condition that the interests or fundamental rights and freedoms of the person concerned by the data processing do not take precedence over the legitimate interests of the controller or of a third party, that condition entails a balancing of the opposing rights and interests at issue which depends in principle on the specific circumstances of the relevant processing. The processing may take place only if the outcome of this balancing exercise is that the legitimate interests being pursued are not overridden by the data subjects’ interests, rights and freedoms. | データ処理による関係者の利益または基本的権利および自由が、管理者または第三者の正当な利益に優先しないという条件に関しては、その条件は、問題となる対立する権利および利益の衡量を伴うものであり、原則として、関連する処理の具体的状況に依存する。この衡量の結果、追求される正当な利益がデータ主体の利益、権利および自由に優先しない場合に限り、処理を行うことができる。 |
A proper Article 6(1)(f) GDPR assessment is not a straightforward exercise. Rather, the assessment — and in particular the balancing of opposing interests and rights — requires full consideration of a number of factors, such as the nature and source of the relevant legitimate interest(s), the impact of the processing on the data subject and their reasonable expectations about the processing, and the existence of additional safeguards which could limit undue impact on the data subject. The present guidelines provide guidance on how such an assessment should be carried out in practice, including in a number of specific contexts (e.g., fraud prevention, direct marketing, information security, etc.) where this legal basis may be considered. | GDPR第6条1項(f)の適切な評価は一筋縄ではいかない。むしろ、アセスメント(特に、相反する利益と権利のバランス)には、関連する正当な利益の性質および源泉、データ主体に対する処理の影響および処理に関するデータ主体の合理的な期待、データ主体への不当な影響を制限し得る追加的な保護措置の存在など、多くの要素を十分に考慮する必要がある。本ガイドラインは、この法的根拠が考慮される可能性のある多くの具体的な状況(詐欺防止、ダイレクト・マーケティング、情報セキュリティなど)を含め、このような評価が実際にどのように実施されるべきかについてのガイダンスを提供するものである。 |
The guidelines also explain the relationship that exists between Article 6(1)(f) GDPR and a number of data subject rights under the GDPR. | ガイドラインはまた、GDPR第6条1項(f)とGDPRに基づく多くのデータ主体の権利との間に存在する関係についても説明している。 |
話題となっているGDPR第24条(管理者の責任)と第28条(処理者)は次のようになっています...
訳は個人情報保護委員会の[PDF]仮訳...
Article 24 Responsibility of the controller | 第24 条 管理者の責任 |
1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organizational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary. | 1. 取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者は、本規則に従って取扱いが遂行されることを確保し、かつ、そのことを説明できるようにするための適切な技術上及び組織上の措置を実装するものとする。それらの措置は、レビューされ、また、必要があるときは、最新のものに改められるものとする。 |
2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller. | 2. 取扱活動と関連して比例的である場合、第1 項に規定する措置は、管理者による適切なデータ保護方針の実装を含むものとする。 |
3. Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller. | 3. 第 40 条に規定する承認された行動規範及び第 42 条に規定する承認された認証方法の遵守は、管理者の義務が履行されていることを証明するための要素として用いることができる。 |
Article 28 Processor | 第28 条 処理者 |
1. Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject. | 1. 管理者の代わりの者によって取扱いが行われる場合、その管理者は、当該取扱いが本規則に定める義務に適合するような態様で適切な技術上及び組織上の保護措置を実装することについて十分な保証を提供する処理者のみを用いるものとし、かつ、データ主体の権利の保護を確保するものとする。 |
2. The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes. | 2. 処理者は、管理者から事前に個別的又は一般的な書面による承認を得ないで、別の処理者を業務に従事させてはならない。一般的な書面による承認の場合、処理者は、管理者に対し、別の処理者の追加又は交代に関る変更の予定を通知し、それによって、管理者に、そのような変更に対して異議を述べる機会を与えるものとする。 |
3. Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor: | 3. 処理者による取扱いは、管理者との関係に関して処理者を拘束し、かつ、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型、並びに、管理者の義務及び権利を定める、契約又はその他のEU法若しくは加盟国の国内法に基づく法律行為によって規律される。契約又はその他の法律行為は、特に、処理者が、以下のとおり行うことを定める: |
(a) processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest; | (a) 処理者が服する EU 又は加盟国の国内法がそのようにすることを要求する場合を除き、個人データの第三国又は国際機関に対する移転と関連するものを含め、管理者からの文書化された指示のみに基づいて個人データを取扱うこと。そのような場合、当該の法律がそのような公共の利益上の重要な法的根拠に関する情報提供を禁止しない限り、処理者は、管理者に対し、取扱いの前に、当該法律上の要件について情報提供するものとする。 |
(b) ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality; | (b) 個人データの取扱いを承認された者が自ら守秘義務を課し、又は、適切な法律上の守秘義務の下にあることを確保すること。 |
(c) takes all measures required pursuant to Article 32; | (c) 第32 条によって求められる全ての措置を講ずること。 |
(d) respects the conditions referred to in paragraphs 2 and 4 for engaging another processor; | (d) 別の処理者を業務に従事させるために、第2 項及び第4 項に規定する要件を尊重すること。 |
(e) taking into account the nature of the processing, assists the controller by appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of the controller's obligation to respond to requests for exercising the data subject's rights laid down in Chapter III; | (e) 第 3 章に定めるデータ主体の権利を行使するための要求に対処すべき管理者の義務を充足させるために、それが可能な範囲内で、取扱いの性質を考慮に入れた上で、適切な技術上及び組織上の措置によって、管理者を支援すること。 |
(f) assists the controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 taking into account the nature of processing and the information available to the processor; | (f) 取扱いの性質及び処理者が利用可能な情報を考慮に入れた上で、第 32 条から第 36 条による義務の遵守の確保において、管理者を支援すること。 |
(g) at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data; | (g) 取扱いと関係するサービスの提供が終了した後、EU 法又は加盟国の国内法が個人データの記録保存を要求していない限り、管理者の選択により、全ての個人データを消去し、又は、これを管理者に返却すること、並びに、存在している複製物を消去すること。 |
(h) makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. | (h) 本条に定める義務の遵守を説明するため、及び、管理者によって行われる検査若しくは管理者から委任された別の監査人によって行われる検査を含め、監査を受け入れ、若しくは、監査に資するようにするために必要な全ての情報を、管理者が利用できるようにすること。 |
With regard to point (h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions. | 第1 副項(h)に関し、処理者は、その見解において、指示が本規則又はその他のEU 又は加盟国のデータ保護の条項に違反する場合、直ちに、そのことを管理者に通知するものとする。 |
4. Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 3 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Regulation. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor's obligations. | 4. 管理者の代わりの特定の取扱活動を行うために、処理者が別の処理者を業務に従事させる場合、当該別の処理者に対し、契約によって、又は、EU 法若しくは加盟国の国内法に基づくその他の法律行為によって、特に、その取扱いが本規則の要件に適合するような態様で適切な技術上及び組織上の措置を実装する十分な保証を提供することによって、第3 項に規定する管理者及び処理者間の契約又はその他の法律行為に定めるのと同じデータ保護上の義務が課されなければならない。当該別の処理者がそのデータ保護の義務を充足しない場合、当初の処理者は、当該別の処理者の義務の履行について、その管理者に対する法的責任を全面的に負うものとする。 |
5. Adherence of a processor to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate sufficient guarantees as referred to in paragraphs 1 and 4 of this Article. | 5. 第 40 条に規定する承認された行動規範又は第 42 条に規定する承認された認証方法を処理者が遵守することは、本条の第1 項及び第4 項に規定する十分な保証を証明するための要素として用いることができる。 |
6. Without prejudice to an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraphs 3 and 4 of this Article may be based, in whole or in part, on standard contractual clauses referred to in paragraphs 7 and 8 of this Article, including when they are part of a certification granted to the controller or processor pursuant to Articles 42 and 43. | 6. 管理者と処理者との間の個別の契約を妨げることなく、第 3 項若しくは第 4 項に規定する契約又はその他の法律行為は、それが第42 条及び第43 条により管理者又は処理者に対して与えられる認証の一部分である場合を含め、その全部又は一部について、本条の第7 項及び第8 項に規定する標準契約条項に基づくものとすることができる。 |
7. The Commission may lay down standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the examination procedure referred to in Article 93(2). | 7. 欧州委員会は、本条の第3 項及び第4 項に規定する事項に関して、第93 条第2 項に規定する審議手続に従い、標準契約条項を定めることができる。 |
8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63. | 8. 監督機関は、本条の第3 項及び第4 項に規定する事項に関して、第63 条に規定する一貫性メカニズムに従い、標準契約条項を採択できる。 |
9. The contract or the other legal act referred to in paragraphs 3 and 4 shall be in writing, including in electronic form. | 9. 第3 項及び第4 項に規定する契約その他の法律行為は、電子的な方式による場合を含め、書面によるものとする。 |
10. Without prejudice to Articles 82, 83 and 84, if a processor infringes this Regulation by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing. | 10. 第 82 条、第 83 条及び第 84 条を妨げることなく、処理者が取扱いの目的及び方法を決定することにより本規則に違反する場合、その処理者は、当該取扱いとの関係においては、管理者として扱われる。 |
Recent Comments