欧州連合理事会 国境を超えたデータ保護苦情処理を迅速化する新たな法を採択
こんにちは、丸山満彦です。
欧州理事会から国境を超えたデータ保護苦情処理を迅速化する新たな法を採択したと発表していますね...
2年前に欧州委員会で採択された時にこのブログでも紹介している話です...
市民や組織から提出される越境GDPR苦情の処理プロセスを迅速化することを目的としたルールの整備ということですね...
EU内のどの国で苦情を申し立てても、受理可否は同一の情報に基づいて判断され、調査は最長15ヶ月(12ヶ月以内が推奨)で完了し、苦情の迅速な解決に繋げるということのようですね...
欧州理事会と欧州議会による承認の採択を経て発効されることになります...
● European Council / Council of European Union
・2025.11.17 Council adopts new EU law to speed-up handling of cross-border data protection complaints
| Council adopts new EU law to speed-up handling of cross-border data protection complaints | 理事会、国境を越えたデータ保護苦情処理を迅速化する新たなEU法を採択 |
| Today the Council adopted new rules to improve cooperation between national data protection bodies when they enforce the General Data Protection Regulation (GDPR) in order to speed up the process of handling cross-border data protection complaints. | 本日、理事会は一般データ保護規則(GDPR)の執行において各国データ保護団体間の連携を強化し、国境を越えたデータ保護苦情処理プロセスを迅速化するための新たな規則を採択した。 |
| The measures adopted will streamline administrative procedures relating to, for instance, the rights of complainants or the admissibility of cases, and thus make enforcement of the GDPR in cross-border cases more efficient. | 採択された措置は、例えば申立人の権利や事件の受理可能性などに関する行政手続きを合理化し、これにより越境事例におけるGDPRの執行をより効率的にする。 |
| Main elements of the new EU regulations | 新たなEU規則の主な要素 |
| Admissibility: The requirements for the admissibility of cross-border action – the decision if a complaint meets the conditions for being investigated – will be harmonised. Regardless of where in the EU a complaint is filed, admissibility will be judged on the basis of the same information. | 受理可能性:越境措置の受理可能性に関する要件(申立が調査条件を満たすかどうかの判断)は調和される。EU内のどこで苦情が提出されても、受理可否は同一の情報に基づいて判断される。 |
| Rights of complainants and parties under investigation: Common rules will apply for the involvement of the complainant in the procedure, the right to be heard for the company or organisation that is being investigated as well as the right to receive the preliminary findings in order to express their views on it. | 申立人と調査対象者の権利:申立人の手続きへの関与、調査対象企業・組織の聴聞権、予備調査結果の受領権(意見表明のため)について共通規則が適用される。 |
| Simple cooperation procedure: For straightforward cases data protection authorities can decide, in order to avoid administrative burden, to settle actions without resorting to the full set of cooperation rules. | 簡易協力手続:単純な事案については、行政負担を回避するため、データ保護当局は協力規則の全適用を免除して措置を決定できる。 |
| Deadlines: In the future an investigation should not take more than 15 months. For the most complex cases this deadline can be extended by 12 months. In the case of a simple cooperation procedure between national data protection bodies, the investigation should be wrapped up within 12 months. | 期限:将来の調査期間は15ヶ月を超えてはならない。最も複雑な事案ではこの期限を12ヶ月延長できる。国内データ保護団体間の簡易協力手続の場合、調査は12ヶ月以内に完了すべきである。 |
| Next steps | 今後の手順 |
| Today’s adoption by the Council is the final legislative step. The regulation will enter into force 20 days after its publication in the Official Journal of the EU. It will become applicable 15 months after its entry into force. | 本日理事会が採択した内容は最終的な立法手続きである。本規則はEU官報掲載後20日目に発効する。発効から15か月後に適用が開始される。 |
| Background | 背景 |
| The GDPR has put in place a system of cooperation between national data protection bodies. Those authorities, which are responsible for enforcing the GDPR, are obliged to cooperate when a data protection case concerns cross-border processing. This is the case, for instance, when the complainant resides in a member state other than that of the company under investigation. | GDPRは、各国データ保護団体間の協力体制を整備した。GDPRの執行を担うこれらの機関は、データ保護案件が越境処理に関わる場合、協力する義務を負う。例えば、申立人が調査対象企業のある加盟国以外の加盟国に居住する場合がこれに該当する。 |
| In such cross-border cases, a single national authority will take on the role of lead authority in the investigation, but is required to cooperate with its counterparts in other member states. | このような越境事例では、単一の国内当局が調査における主導的立場を担うが、他の加盟国の対応当局と協力することが求められる。 |
| Data protection in the EU (background information) | EUにおけるデータ保護(背景情報) |
| Data protection: Council and European Parliament reach deal to make cross-border GDPR enforcement work better for citizens (press release, 16 June 2025) | データ保護:市民のための越境GDPR執行強化に向け、欧州理事会と欧州議会が合意(プレスリリース、2025年6月16日) |
| Data protection: Council and European Parliament reach deal to make cross-border GDPR enforcement work better for citizens | データ保護:欧州理事会と欧州議会が合意、市民のための越境GDPR執行を改善 |
| The Council, represented by the Polish presidency of the Council of the EU, and the European Parliament secured a provisional deal on a new law which will improve cooperation between national data protection authorities when they enforce the General Data Protection Regulation (GDPR) in cross-border cases. | 欧州理事会(EU理事会ポーランド議長国が代表者)と欧州議会は、越境事例における一般データ保護規則(GDPR)執行時、各国データ保護当局間の連携を強化する新法について暫定合意に達した。 |
| We have taken a big step towards improving cooperation between national data protection bodies when they enforce citizens' rights under the General Data Protection Regulation. The objective is to speed up the process of handling cross-border GDPR complaints filed by citizens or organisations. | 一般データ保護規則に基づく市民の権利執行において、各国データ保護団体間の協力強化に向けた大きな一歩を踏み出した。目的は、市民や組織が提出する越境GDPR苦情の処理プロセスを迅速化することだ。 |
| Krzysztof Gawkowski, Deputy Prime Minister, Minister for Digital Affairs | クリシュトフ・ガウコフスキ副首相兼デジタル担当大臣 |
| The European co-legislators agreed on rules that will streamline administrative procedures relating to, for instance, the rights of complainants or the admissibility of cases, and thus make enforcement of the GDPR, which has been in application since 25 May 2018, more efficient. | 欧州の共同立法機関は、例えば申立人の権利や事件受理の可否に関する行政手続きを合理化する規則で合意した。これにより、2018年5月25日から施行されているGDPRの執行がより効率的になる。 |
| Admissibility | 受理要件 |
| Once adopted, the regulation will speed up the process of handling cross-border GDPR complaints filed by citizens or organisations, and any follow-up investigations. This is due in particular to the harmonisation of the requirements for the admissibility of cross-border action. Regardless of where in the EU a citizen files a complaint relating to cross-border data processing, admissibility will be judged on the basis of the same information. | 本規則が採択されれば、市民や組織が提出する越境GDPR苦情の処理プロセスと、それに続く調査が迅速化される。これは特に、越境措置の受理要件が調和されるためである。市民が越境データ処理に関する苦情をEU内のどこで提出しても、受理可否は同一の情報に基づいて判断される。 |
| Rights of complainants and parties under investigation | 申立人と調査対象者の権利 |
| The new regulation will harmonise the requirements and procedures for the complainant to be heard if a complaint is rejected and provides common rules on the involvement of the complainant in the procedure. | 新規制は、申立が却下された場合の申立人の聴取要件・手続きを統一し、申立人の手続きへの関与に関する共通ルールを定める。 |
| The right to be heard for the company or organisation that is being investigated is also ensured at key stages throughout the procedure. | 調査対象の企業・組織に対する聴取権も、手続きの主要段階で保障される。 |
| The complainant and the company or organisation under investigation will be given the right to receive the preliminary findings (i.e. before the final decision) in order to express their views on it. | 申立人と調査対象の企業・組織には、最終決定前の予備調査結果を受け取り、それに対する意見を表明する権利が与えられる。 |
| Deadlines | 期限 |
| The new rules introduce deadlines for the completion of investigations. The co-legislators agreed on an overall investigation deadline of 15 months, which can be extended by 12 months for the most complex cases. In the case of a simple cooperation procedure between national data protection bodies, the investigation should be wrapped up within 12 months. | 新規則は調査完了の期限を導入する。共同立法機関は、調査全体の期限を15か月と合意し、最も複雑な案件については12か月の延長が可能である。国内データ保護団体間の単純な協力手続きの場合、調査は12ヶ月以内に完了すべきである。 |
| Swifter resolution of complaints | 苦情の迅速な解決 |
| The Council and the European Parliament agreed on a mechanism to resolve complaints more swiftly. This early resolution mechanism allows data protection authorities to resolve a case before triggering the standard procedures for handling a cross-border complaint – in other words, before involving other national authorities. This may be the case where the company or organisation in question has addressed the infringement and where the complainant has not objected to the early resolution of the complaint. | 理事会と欧州議会は、苦情をより迅速に解決する仕組みについて合意した。この早期解決メカニズムにより、データ保護当局は、国境を越えた苦情処理の標準手続きを開始する前、つまり他の国内当局を関与させる前に、案件を解決することが可能となる。これは、当該企業や組織が違反行為に対処し、かつ苦情申立人が早期解決に異議を唱えていない場合に適用される可能性がある。 |
| Simple cooperation procedure | 簡易協力手続き |
| In order to avoid protracted discussions between the different data protection bodies on a specific case, the new law introduces measures to facilitate consensus-building. One such measure is an obligation for the lead authority to send a summary of key issues to their counterparts in the EU. This will ensure that they have all the necessary information to express their views on the case early on. | 特定の事例について各データ保護団体間で議論が長期化するのを防ぐため、新法は合意形成を促進する措置を導入する。その一つが、主導機関がEU内の他機関に対し主要問題点の要約を送付する義務である。これにより、各機関は早期に案件に対する見解を示すために必要な情報を全て入手できる。 |
| The final text maintains a proposal from the Council for a simple cooperation procedure, which offers the option of not applying all the additional rules when a case is more straightforward. This allows data protection authorities to avoid any administrative burden, to act swiftly on non‑contentious cases and to take advantage of the newly introduced additional cooperation rules for more complex investigations. | 最終案では、理事会が提案した簡易協力手続きが維持されている。これは、より単純な案件において追加規則の全てを適用しない選択肢を提供するものである。これにより、データ保護当局は行政上の負担を回避し、争いのない案件には迅速に対応し、より複雑な調査には新たに導入された追加協力規則を活用することが可能となる。 |
| Next steps | 今後の手順 |
| The provisional agreement reached today will have to be confirmed by the Council and the European Parliament. The new rules will enter into force following the final adoption in both institutions. | 本日暫定合意に達した内容は、理事会と欧州議会による承認を必要とする。新ルールは両機構での最終採択を経て発効する。 |
| Background | 背景 |
| The GDPR, the EU's landmark data protection law, which harmonises data protection rights across Europe, has put in place a system of cooperation between national data protection bodies. Those authorities, which are responsible for enforcing the GDPR, are obliged to cooperate when a data protection case concerns cross-border processing. This is the case, for instance, when the complainant resides in a member state other than that of the company under investigation. | EUの画期的なデータ保護法であるGDPRは、欧州全域でデータ保護権を調和させるとともに、各国データ保護団体間の協力体制を構築した。GDPRの執行を担うこれらの当局は、越境処理に関わるデータ保護案件において協力する義務を負う。例えば、申立人が調査対象企業のある加盟国以外の加盟国に居住している場合などがこれに該当する。 |
| In such cross-border cases, a single national authority will take on the role of lead authority in the investigation, but is required to cooperate with its counterparts in other member states. | このような越境案件では、単一の国内当局が調査の主導的役割を担うが、他の加盟国の対応当局と協力することが求められる。 |
| Data protection in the EU (background information) | EUにおけるデータ保護(背景情報) |
| Data protection: Council agrees position on GDPR enforcement rules (press release), 13 June 2024 | データ保護:理事会、GDPR執行規則に関する立場を合意(プレスリリース)、2024年6月13日 |
新たな規則の最終はまた、どこかで紹介することになると思います。。。多分・・・
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.07.08 欧州委員会 国境を越えたケースにおけるGDPRの執行強化を確保するための新規則を採択 (2023.07.04)
Comments