ポーランドの個人情報保護局長によるGDPR第14条違反に基づく最初の罰金の法執行(その3完)

Last Update: 5 may, 2019

(4) 標準契約条項

　起業家はまず、ECによって承認されたデータ保護に関する標準的な契約条項の使用について検討すべきである。

現在、欧州委員会の次の3つの決定が適用される。

1）EU情報保護指令(95/46 / EC)に基づく、個人データの第三国への移転に関する標準契約条項に関する2001/497 / ECの決定 (決定書の本文は、次のWebサイトで入手できる)

2) 2001/497 / ECの修正の決定2004/915 / ECによる、個人データの第三国への移転に関する標準契約条項の代替セットの導入に関する決定。( 決定書の本文は、次のWebサイトで入手できる)

3）欧州議会および理事会の指令95/46 / ECに基づき、第三国で確立された処理者への個人データの移転に関する標準契約条項に関する決定2010/87 / EU 。これにより、第三国の処理者へのデータ移転が可能になる。 決定書の本文は、次のWebサイトで入手できる。

(5) 拘束的企業準則 

　国際的な企業グループは、GDPRで規定されている整合性の手順の中で、UODOの個人データ保護監査総監室長(Inspector General for Personal Data Protection)またはUE加盟国からのデータ保護当局によって以前に承認された拘束的企業準則を使用することもできる。従来の拘束的企業準則は、第三国のグループに英国からのデータの輸入者を含めることによって修正しなければならないことを覚えておく必要がある。

(6)公共部門におけるデータ移転にかかる保障

　公的機関および団体によるデータ移転は、公的機関および団体間の法的拘束力および執行可能な手段に基づいて、個人情報保護局長の同意を得る必要なしに行い得る。公的機関またはデータ主体の法的強制力のある有効な権利を規定する団体間の管理上の取り決めに基づいて、個人情報保護局長の同意を得てデータ移転を行うことも可能である。(注9)

(7) 第49条 特定の状況における例外措置

　GDPRは、適切なレベルの保護を保証していない、または標準契約条項や拘束的企業準則などの適切な保護が確保されていない場合でも、第三国へのデータ移転を許可する。GDPRの第49条に言及されているその特定の状況とは次のとおりである。

1）データ主体は、適切な決定および適切な保護措置がないためにデータ主体にそのような移転が発生する可能性のあるリスクについて知らされた後に、提案された移転に明示的に同意した場合、その同意は以下の条件を満たす必要があることを強調しておく。

①明示的に

②特に移転または一連のデータ移転に関するものであること。

③特に同意を表明する人は、移転に関連する可能性のあるリスクの可能性を認識している必要があること。

2）データ主体と管理者との間の契約の履行、またはデータ主体の要求に応じて取られる事前契約上の措置の実施のために、移転が必要な場合。

3）移転が管理者と他の自然人または法人との間のデータ主体の利益のために締結された契約の締結または履行のために必要であること。

4）公共の利益の重要な理由のために移転が必要な場合。

5）移転は、法的主張の立証、行使または抗弁のために必要である場合。

6）データ主体が肉体的または法的に同意を得られない場合において、データ主体または他の者の重大な利益を保護するために移転が必要な場合。

7）移転は公的登録簿から行われること。

8）移転は、管理者が追求する合法的な利益を強制するために必要であり、追加要件が満たされていること。

　欧州データ保護委員会は、ガイドラインでデータ移転の上記の理由を詳細に説明している。

(8) 特に英国でサービスを提供する際にポーランド人のデータを処理する起業家の扱い

 GDPRは、次の場合、起業家に関しEU内に存在する人物に関するデータの処理に直接適用されるため、EU内に存在しない管理者や処理者に関するデータの処理にも適用される。

①データ主体の支払いが必要であるかどうかにかかわらず、商品またはサービスを欧州連合内のそのようなデータ主体に提供すること。 または ② 彼らの行動が彼らの行動の範囲内で行われる限り、彼らの行動の監視は欧州連合域内で行われること。 

　そのような起業家の場合、管理者または処理者は書面によりEU域内の代理人(注10)を書面で商品やサービスの提供に関連してデータが処理されるデータ主体、または行動が監視されるデータ主体を特定しなければならない。

　起業家は、自らによって行う処理が時折であり、大規模な場合には、特別なカテゴリーのデータの処理、または刑事有罪判決および犯罪に関連する個人データの処理を含まない場合、その処理の性質、文脈、範囲および目的を考慮して、自然人の権利および自由に対するリスクにより好ましくない結果をもたらす場合は、代理人を指名しなければならない。

(9) その他

欧州データ保護委員会(EDPB)は、GDPRの適用領域範囲に関するガイドライン(英語版)の第一版(3/2018)を採択した。

【付録(1)】

ポーランドのGDPRに準拠した国内法令の整備状況の遅れや具体的手続きの遅れ等

 (1)はじめに

　前述のとおり、ポーランドのRödl＆Partnerの弁護士グジェゴシュ・ゲンボレック( Grzegorz Gęborek) 氏の(2)以下で述べる簡単な報告(2018.6他)を読むと、議会におけるかなり立法措置など対応の遅れやUODOの解釈の混乱はあったことは間違いなかろう、しかし、一方でUODO局長ほか事務方はこの遅れを回復すべく努力していることもウェブサイトの内容からみて間違いない。 

 これに関し特記すべき点は、ポーランド、イタリア、スペイン、ブルガリア、およびクロアチアの保護法強化にかかるEUプロジェクトの１つである「T4DATA」プロジェクトに監督機関や国内の企業、公的行政機関に向けた共同作業の成果である。T4DATAプロジェクトは、欧州連合の「権利、平等および市民権プログラム（2014-2020）」によって共同資金提供されている。

T4DATAの活動の経緯を以下、まとめておく。

①ザグレブでのT4DATAプロジェクトパートナーの最初の会議

T4DATAプロジェクト：データ保護権限とデータ保護担当者のトレーニング

②情報セキュリティ管理者のためのトレーニングがある。

公共部門からの情報セキュリティ管理者 - 将来のデータ保護責任者 - のためのトレーニングがあるであろう。

③T4DATAプロジェクトの枠組み内でのトレーナーのための国境を越えた訓練

T4DATAプロジェクトの枠組み内でのトレーナーのための国境を越えた訓練、2018年10月8〜10日、ワルシャワで開催

④ワルシャワで開催されたT4DATAプロジェクトパートナーの第2回会議

2018年10月11日、T4DATAプロジェクトのパートナー。 議論の主なトピックは、公共部門で働くデータ保護責任者である。

⑤行政の代表者を対象とした新しい研修構想

2019年の5月と6月に、ヨーロッパと国連のための国家委員会個人データの保護 このイニシアチブはデータ保護担当者に向けられている。

 (2)ポーランドのGDPRの国内法対応他の仮訳

　ポーランドのデータ保護制度改革はまだ進行中の作業であり、今後数カ月のうちに終了することを示すものは何もない。議会の議員たちは2018年5月25日のGDPRの実施期限を守ることができず、約300の法令にまたがる業界固有の規制すべてを修正することができなかった。 ポーランドの法律をGDPRと調整するために設定された2年間の準備期間の後、ポーランドの新しい個人データ保護法(Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych；ACT of 10 May 2018 on the Protection of Personal Data)がぎりぎりの5月10日に採択、成立した。この国内法は2018年5月25日に施行され、一部の選択された法律(Ustawaの1頁の注記で関係法が列挙されている)を改正する規定が含まれている。 残りの法律は後で修正される予定であるため、データ保護法の大幅な修正はまだ行われると考えられる。法律自体だけでなく、それらの法律を実施する「規則」も改正する必要がある（規則案はまだ準備できていない）。  

(3) ポーランドの法律改革が現在も進行形 

　医療法などの高度に専門化された法律分野、または労働法などの事業に関連する法律における個人データ保護法令の日々の適用に関して、多数の懸念や疑問が生じている。雇用主や人事部門は、この範囲内で首尾一貫した法的枠組みを提供されないまま、求職者および従業員の個人データの処理をGDPRの要件に合わせるという困難な課題に直面している。その結果、個人データ処理の拘束力のある法令への準拠を確実にするためにとられるすべての措置は、新しい法律および規則に対応して数回にわたる検証および再修正される必要があるが、まだ数ヶ月以内にはそれらの措置は成立しそうもない。 

(4) 個人情報保護局(UODO)の最近時の積極的な活動 

　しかし、最近になって、ポーランドの監督当局である個人情報保護局[UODOの局長がより積極的になり、例えば、1)データ保護法の最も重要な変更に関するトレーニング・イベントを開催したり、2)ハンドブックを発行した。 局長の最も注目すべき活動は、2018年10月5日に開催された個人データ保護に関する雇用者の義務に関するトレーニング・セッションを含み、それは最初に保護局の個人データ保護検査官に向けられた。 このイベントの素晴らしいプラス面は、それがオンラインで利用可能だったということであった。  

　このトレーニング中に、データ保護局の専門家が、募集中および雇用期間を通じて個人データを処理する方法について指示を出した。研修 参加者は状況に応じた手順を教えられ、その結果、事務所の運営の最初の数ヶ月間および事務所主導の社会的協議の間に、UODOに向けられた質問に対する回答を受けた。  

(5) 職場における個人情報保護に関するガイドブック 

　データ保護局の検査官は、ビデオ監視を含むあらゆる形態の従業員監視を定期的に調査している。これは最終的に労働法で規制されている。このトピックは、トレーニングセッション中にも議論された。 このトレーニングイベントは、「職場における個人情報保護・雇用者のための手引き（Ochrona danych osobowych w miejscu pracy）」というガイドブックの発行にあわせ開催された。なお、同ガイドブックは事務所のウェブサイトで入手可能である。 

　このガイドブックは、企業グループ内での個人データの非常に物議を醸すデータ移転、臨時労働仲介機関等を通じて臨時労働者を雇用する場合の役割の確立など、国境を越えた業務を行う企業にとって非常に重要な実務上の多くの問題に対処したものでる。雇用者による新技術の使用に関し、ガイドブックは(ⅰ)就職活動、(ⅱ)採用プロセス、(ⅲ)雇用期間、および(ⅳ)労働法によって規制されているもの以外の雇用形態の4つのトピック分野をカバーしている。 

　これらトレーニングとガイドブックに大きな関心があるにもかかわらず、人事関係のデータ保護に関連するすべての問題を網羅しているわけではない。さらに、ガイドブックやトレーニング中に提示された意見のいくつかは、教義上の懸念を引き起こしている。 

(6) 更なる課題

　複雑で時々不明確な法令対応のために、UODOの見解は誤解され、その結果、誤って実行され、それは企業の解釈に害をもたらすかもしれない。その例としては、法律で厳格に規定されている場合にのみ求職者から同意を得る義務の欠如が広く議論されているが、これには労働法典に記載されていない非標準個人データの転送は含まれない。

(7) まとめ

　現時点では、データ保護法に違反したことによる制裁の可能性を回避できる実用的な人事ソリューションを指摘することは困難であるし、現実に3月26日に保護局長は22万ユーロの罰金を科した。その違反事実の詳細はうかがい知れないが、同国内への海外企業の悪影響は間違いなかろう。

　さらに、注目すべきことに、GDPR第83条に規定されEU全域に適用される行政上の罰金の他に、ポーランド議会の議員は新しいポーランドのデータ保護法（GDPRの下で許可されている）に「刑事罰」を導入した。 これは、UODOの局長のガイドブックにコメントすることをいっそう困難にする。 一方で、このガイドブックは、データ処理検査中のアプローチに影響を与える可能性がある監督当局の好みを反映している。またデータ処理に関わるすべての関係者が最初にGDPRを、次にGDPRと矛盾しない限り国内法を遵守しなければならないのに対し、場合によってはまったく珍しいと思われるその解釈は法律の根拠がない場合があり、実務上の混乱は避けられないであろう。

【付録(2)】

TechCrunch記事の要修正・追加が必要と思われる箇所

① 罰金金額800万ユーロの円換算の約99億8500万円は計算ミス→約9億9600万円が正しい。

② 「第14条の補足説明にある」・・具体的に何をさすのかが不明→EU指令第29条専門家会議の透明性に関するガイドラインP.26以下を引用すべき。

③「 欧州の最高裁判所」は誤り→「欧州司法裁判所」も誤り→「欧州連合司法裁判所」の訳語が正しい。

④ 苦情を訴える→異議申立てが正しい訳語。

⑤データ主体への通知期間の根拠条文として第14条第3項(a), (b)を追記すべき。

⑥ 2017年11月29日に採択されたWP29のガイドラインは「Article 29 Working Party Guidelines on transparency under Regulation 2016/679」P.26である旨明記すべき。WP29のガイドラインは多数ある。なお、わが国では”WP29”の訳語を個人情報保護委員会や国立国会図書館をはじめ99.9%が「作業部会」と訳している。その問題性は筆者のブログの(筆者注1)を参照されたい。

⑦ GDPR第14条には免責条項→「適用除外」条項とすべき。なお、第14条第5項(a),(b)を補記すべきであろう。

⑧ 第14条(5)→第14条第5項と記すべき。また「過大な努力」→「過大な負担」と訳すべき。

***********************************************************

(注9) GDPR第6条第1項後段参照。

(注10) GDPR第4条第17号において「代理人とは、EU域内に拠点のある自然人又は法人であって、第27条に従い、管理者又は処理者から書面によって指名され、本規則に基づく管理者又は処理者のそれぞれの義務に関して管理者又は処理者を代理する者のことを意味する」と定める。この定義に関し、実際はEU域内に設置する域外の海外法人の駐在員事務所、現地法人等を指すと考えるべきであろう。

**************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

ポーランドの個人情報保護局長によるGDPR第14条違反に基づく最初の罰金の法執行(その2)

(ⅲ)情報管理者(controller)の基本的責務の解説

①データ侵害についてUODO局長に通知するにはどうすればいいか？

　データ侵害は、所管官庁であるUODO局長に（ポーランド語で）通知する。

　当該データ侵害は、次の4つの方法のいずれかで通知する。

1.ポーランド政府の企業家向け専門サイト(biznes.gov.pl)プラットフォーム上で入手可能な一般的な手紙書式を使用して、完成したフォーム（下 記で入手可能）を送信する。

 

 

2.電子的に記入済みのフォームをElectronic Inbox ePUAPに送信する。

3.電子的にプラットフォームbiznes.gov.pl上で直接利用可能な専用の電子フォームを完成させることは、以下で利用可能なフォームと同等である。

4.事務局の住所に記入済みの書式を通常の郵便で送付する。

　GDPR違反がさまざまなEU諸国の人々に関係している場合、個人データ保護局長は、必ずしもそうである必要はないが、主任監督当局（すなわち、コントローラまたはプロセッサに関連する当局）となることができる。国境を越えたデータ侵害の場合、管理者は、その侵害の対象となっている処理活動に関する主任監督当局がUODO局長または他のEU加盟国の監督当局のどちらであるかを分析する。EU指令第29条専門家会議が策定した「Guidelines for identifying a controller or processor’s lead supervisory authority：Adopted on 13 December 2016　As last Revised and Adopted on 5 April 2017を参照

②情報管理者の通知義務、通知先、データ侵害時のリスク分析などはUODOのウェブサイトでポーランド語等でGDPRやUstawaを引用しながら解説している。ここでは略す。

③情報保護オフィサーの指名、UODOへの報告・変更届、任務、独立性、素養、UODOとの協働等に付UODOウェブサイトで解説している。

　同オフィサーの手続きに関しUODOサイトはポーランド語で詳しく解説を行っているので本ブログでも以下、具体的に引用、仮訳する。

＊データ保護オフィサーの選任に関する通知の解説サイト 

貴社は個人データを処理しているか？ データ保護オフィサーを指名し、データ保護当局に通知する必要があるかどうかを確認してください。 

(1) この問題を解決する方法  

問題は次のとおり解決することができる。

• 電子的には次のとおりオンラインで入手可能です。

  オンラインで入手 

資格のある電子署名または信頼できるプロファイルを使用してアプリケーションを適用してください。 

(2) 知っておくべきことは、誰がサービスを利用できるかである。  

あなたがデータ保護オフィサーを指名することに決める前に、あなたがあなたの会社または施設でGDPR第37条で説明されているように個人データを処理するかどうか考えてください。 もしそうであるなら、あなたはデータ保護オフィサーを指定する必要がある。

(ⅰ)次のような場合は、あなたは特にデータ保護オフィサーを指名しなければならない。 

 

 

【オフィサーの指名に関するフローチャート】

① 銀行、保険会社、警備会社、携帯電話会社、インターネットプロバイダー 

② 病院、診療所 

 (ⅱ) 保護オフィサーを指名する必要のない場合 

 EU保護指令第29条専門家会議のデータ保護オフィサーの任命に関するガイドラインによれば、次のようにな場合はオフィサーを指名する必要はない。 

 ① 医師自身が個々の診療を行う場合 

② 弁護士や法律顧問が有罪判決や法律違反のデータを処理する場合 

 (3) 誰がデータ保護オフィサーになることができるか？ 

　オフィサーは、データ保護の分野で法律や実務慣行に関する専門知識を持っている人である。それはあなたの従業員でも社外の外部の者でも可である。 

(4) データ保護オフィサーにはどのような任務が課されるか？ 

オフィサーの主な仕事は次のとおり。 

① 個人データ保護の分野における従業員および監査のためのトレーニングの開催 

② データ保護規則への遵守の監視 

(5) 個人情報保護局（UODO）への通知等の連携 

(ⅰ) オフィサーはいつから仕事を始めるべきか。  

UODOへの通知は、データ保護責任者の指名から14日以内に送信されるものとする。 

 (ⅱ)どこの事務所でこの問題を解決するか？

  個人データ保護事務所他である。

(6) 段階をおった具体的手順の説明  

  1.新しいデータ保護オフィサーの指名についてUODOに通知する 

 同通知は、報告事業体を代表する権限を与えられた人物によって署名される。 

 

具体的に必要なドキュメント 

1. 新データ保護オフィサーの選任に関するお知らせx 

2. 代理人をたてる場合の委任状x 

3. 委任状に対する印紙税の納付証明

 ＊代理人による保護オフィサーの届出 

代理人をたてる場合は、代理の委任状および印紙税の支払証明を添付することを忘れないでください（PLN 17）。あなたはあなたの夫、妻、子供、両親、祖父母、孫または兄弟に与えられた委任状の代金の支払いを要しない(印紙税は、予算単位および地方自治体単位特に免除されている) 。

 ワルシャワ首都のシュロムディシエ地区事務所の代理人に委任状の印紙税を印紙する。  

  2. UODOの局長があなたの通知を受け取る 

 通知を送信した後、あなたは送信の確認通知を受け取る。 

 ＊通知に関しUODOにいくら払わなければならないか？  

 通知サービスは無料である。

 ただし、このサービスを代理人（ 委任状に関する情報）で提供する場合にのみ追加料金が発生する可能性がある。 

 ＊あなたはオフィサーの通知結果につきどのくらい待つことになるか？ 

あなたの訴訟はすぐに対処される。

 ３．留意すべき通知のチェックポイント  

① 多くの企業では、1人のデータ保護オフィサーを指名する。 

企業のグループ（例えば資本グループ）が1人のデータ保護責任者を任命することがある。これらの会社のそれぞれはUODOに別々に通知を送らなければならない。 

② データ保護オフィサーの指名について通知する上での点検

あなたはすでにデータ保護オフィサーを任命しているか？ 企業のWebサイトなどで、オフィサーに関する情報を共有しておくこと。 

 ３．ポーランドのGDPRの国内立法化の動向

ポーランドの個人情報保護法(EU一般情報保護規則：(EU)2016/679)の国内立法化

非公式の英語訳版の添付ファイルを開くこと)を参照。またポーランド語版は「個人データ保護法(Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych；ACT of 10 May 2018 on the Protection of Personal Data(以下、”Ustawa”という)」を参照されたい。

　なお、ポーランド議会の国内立法や約300にまたがる関係法整備の遅れは問題があったことは間違いなかろう。前述の弁護士グジェゴシュ・ゲンボレック( Grzegorz Gęborek) 氏のレポートでもこの問題が指摘されている。 

４．UODOの最近時の主な活動と特徴

　3月29日、UODOは国立地方自治研究所と共同して2019年5月, 6月の2カ月にわたる「GDPRおよびUstawaにわたる個人情報保護の変更」と題するローカルトレーニングを開始するポーランド国内4か所(ポズナン(Poznań)、グダニスク( Gdańsk )、ジェシユフ(Rzeszów)、ワルシャワ(Warszawa))で開く旨公表した。このイニシアテイブの対象は、行政機関のデータ管理責任者とその他責任を持つ主要人物となる。また同時に「T4DATA国際プロジェクト」(第6項で説明する)の48時間ウェブニア講義(オンラインセミナー)を実施する予定である。 

５．UODOの個人情報保護局長は英国のEU離脱(Brexit)の場合にポーランドから英国に個人データをいかに適法に移送するかという問題

　UODOの個人情報保護局長エディタ・ビエラク・ジャマ(Edyta Bielak-Jomaa)局長(以下、「局長」という)は、2019年1月17日の記者会見で、英国のEU離脱(Brexit)の場合にポーランドから英国に個人データをいかに適法に移送するか、その方法等を説明した。以下でその内容を仮訳する。

　この問題を規制する国際協定を締結せずに欧州連合からの英国の撤退の可能性が高いことに関連し、ポーランドの起業家等の管理者および処理者に対し個人データ移転に対するその影響について説明した。また、局長はこれのために適切に準備する方法についても、以下のとおり助言した。

　個人データ移転に関する現在の関係規則は、2019年3月29日までしか適用されない。

　2019年3月29日まで、つまり英国が欧州連合の加盟国である間は、追加の制限なしに、英国地域で事業を行っている事業体等への自由なデータ移転の可能性がある。これまでのところ UE内のデータ移送は、「自由な個人データ・フローの原則」を利用しうる。これによれば、ポーランドから他の欧州経済地域（EU加盟国、アイスランド、リヒテンシュタイン、ノルウェー）(注7)への個人データの移転もまるでそれがポーランドの領土で起こったかのように扱われる。すなわち、基本的なデータ処理原則とその結果としての義務を遵守することが要求される。

　2019年3月30日現在では、イギリスは「第三国」として扱われる予定である。

　EUの一般データ保護規則（2016/679;以下”GDPR”）に照らして、3月30日現在、イギリスは第三国として扱われます。つまり、英国へのすべての個人データ移転は、GDPRの第5章で規定されている第三国または国際機関へのデータ移転に関する追加要件を満たす必要がある。 

(1) 2019年3月29日以降のデータ移転の正当性を確保する方法とは？

 　2019年3月30日の時点で、新しい法的状態での英国へのデータ移転の正当性を保証するために、ポーランドの起業家や公共団体も事前に準備する必要がある。

(2) 2019年3月30日までにどのような措置を講じる必要があるか？

 　現在英国に個人データを移転している各データ管理者または処理者は、次の行動をとる必要がある。

① どの目的のために、また如何なる法的根拠に基づいて現在英国にデータを移転しているのかを特定する。

② これらのデータ移転を2019年3月29日以降も継続するかどうかを決定する。

 ③ データ移転を可能にする関連メカニズムまたは法的根拠を選択しかつ実装する。

 ④ 必要に応じて、次のものを修正、適用する。

  1) 処理活動の記録を含む、内部データ処理の文書化

  2)プライバシーポリシーなど個人情報取扱条項

  3) 拘束的企業準則  

　データ移転に関連する義務に影響を与える可能性がある如何なる規則の下で行われるのかはまだわからないので、EUからの英国の離脱のプロセスに関する情報に従ってほしい。 

　今後、数週間の英国のEU離脱の進行状況に応じて、局長が最新の情報とガイドラインを提供する。

(3) 第三国へのデータ移転の原則

　原則として、第三国へのデータ移転は、欧州委員会が、その第三国が適切なレベルの個人データ保護を保証すると決定した場合にのみ行うことができる。 第三国に関して妥当性判断が下された場合、追加の活動を行う必要なしにデータ移転が許可される。欧州連合理事会（EC）は、カナダ、ニュージーランド、イスラエルなど(注8) に関してこのような決定を下している。

　残念なことに、2019年3月末までにECが英国に対し、そのような決定を下すことは不可能である。したがって、ECが発行する頃には、データ移転を可能にする適切な決定の代替案 がチェックされなければならない 。

***********************************************************

 (注7) 個人データを自由に移転することができる地域は、欧州経済圏（EEA： the European Economic Area）にも拡大されている。すなわち現EU構成国28か国とアイスランド、リキテンシュタイン、ノルウェーの計31か国間では、個人データを自由に移転することができる。

なお、EEAはEFTA(欧州自由貿易連合)加盟国がEUに加盟することなく、EUの単一市場に参加することができるための仕組みで、1994年1月1日に発効したEEA協定によるもので、物、サービス、人、資本の移動が自由になった。

 (注8) EUにより、個人データ保護の水準が十分であると認められた国・地域には、個人データを移転することが可能になっている。そのような十分性が認められた国・地域は本稿執筆時点で、スイス、カナダ、アルゼンチン、ガーンジー島、マン島、ジャージー島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランドとなっています(2016年9月26日デロイトトーマツサイバーセキュリティ先端研究所ニュースレター Vol.7「EU一般データ保護規則の概要」から一部抜粋)。

**************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

 

 

ポーランドの個人情報保護局長によるGDPR第14条違反に基づく最初の罰金の法執行(その1)

Last Updated： May 5,  2019

　2019年3月26日付けの欧州データ保護会議(EDPB)ニュース(英語版)が筆者の手元に届いた。表題は「ポーランドの個人情報保護局長によるGDPR違反に基づく最初の罰金の法執行」というものである。念のためポーランドの個人情報保護局（Urzęd Ochrony Danych Osobowych ：UODO）サイトで確認を行ったところ、元のデータはUODOがポーランド情報保護局のプレスリリースで作成したものであることが判明した。

 

保護局長(左)と分析戦略部長(右)による記者発表の模様(UODOサイトから引用)

 　同時にUODOサイトを調べたところ、UODOの任務、権限、組織等に関する解説サイトはポーランド語と英語版が全く同一(注1)で、ポーランド法の素人である筆者でも何とか解析できそうな気がしてならなくなった。

　このUODO罰金の決定に関しては被告企業名や企業の違法行為の内容も含め、必ずしも情報が公表されていない。しかし、筆者が日頃情報源として利用している”TechCrunch Japan”の解説記事の日本語訳版を見つけた。同記事はさすがに専門メディアであり、独自にマーケテイング活動する企業への法令遵守やコスト面等への影響の解説は興味深い内容であり、本ブログでも引用、追加した。ただし、原文の内容を超える解説は皆無であり、訳文そのものも誤訳や説明不足といえる点がある。その具体的箇所について付録(2)で述べる。

　ところが、筆者がUODOの具体的活動やポーランドのGDPRの国内法化の動向等を調べたていたところ、ポーランドの監査・税務・法務等国際事務所”Rödl＆Partner” (注2)の解説サイトで、同事務所のシニアアソシエイト弁護士であるグジェゴシュ・ゲンボレック( Grzegorz Gęborek)氏  (注3)の2回にわたる簡単なレポートを読んで、あらためてEU加盟国におけるGDPRに準拠した国内法令の整備状況の遅れや具体的手続きの遅れ等があるとの事実も確認できた。

　そこで、今回のブログは、(1)UODOのリリース文の仮訳するとともに、(2)UODOの任務、権限、組織等に関する解説を行い、次に(3)ポーランドのGDPRの国内法化の概要と課題、(4)UODOの最近時の主な活動と特徴を述べ、最後に(5)英国のBrexitに関する情報保護面の取扱準備の内容を引用するものである。特に最後の(5)の問題はポーランド以外のEU加盟国で同様の混迷を抱えていることは言うまでもない。

　最後に６．付録として前述のグジェゴシュ・ゲンボレック氏の問題指摘の内容を概観する。

　なお、UODOの組織は人口約3,850万人の国としては本文第2項で述べるとおりかなり大きい。その背景にあるのは以下のべるとおり、UODO自体の責任の範囲が広く、またEU理事会議長国の持ち回り制の影響などとも関係するかもしれない。

 　3回に分けて掲載する。

 １．UODOのリリース文「ポーランドの個人情報保護局長によるGDPR違反に基づく最初の罰金の法執行」の仮訳

 　ポーランドの個人情報保護局（UODO）のエディタ・ビエラク・ジャマ(Edyta Bielak-Jomaa)局長は、EUの「一般データ保護規則（GDPR)」第14に基づく情報保護に関する権利・義務を履行しなかったことに対して、欧州のデジタルマーケティング企業Bisnode（本社はスウェーデン） (注3-4)の情報管理者に943, 000ポーランド・ズウォティ(PLM)(約22万ユーロ：約2,772万円)を超える額のはじめてとなる罰金を科す「決定(DECYZJA )」を下した。(注3-3)

エディタ・ビエラク・ジャマ(Edyta Bielak-Jomaa)局長(ウエブサイトからダウンロード)

 　UODO局長であるエディタ・ビエラク・ジャマ博士は「情報管理者(controller)たる会社は、情報を提供する義務を認識していた。それ故に、この被告会社にこの金額の罰金を科すという決定を行った」点を強調した。

 　自身の個人データが被告会社によって処理されたことにつき多くの人々はこれを知らなかった。情報管理者はその処理についてデータ主体に通知しなかったため、一般データ保護規則（GDPR）の下で権利を行使する可能性を奪われた。この結果、データ主体は自身による修正または消去を要求するために自身のデータのさらなる処理に反対する可能性はなかった。同局長は、そのデータが会社によって処理され、基本的な問題 ー データの処理に関する情報ー に関連している人々の基本的権利と自由権に関係しており、この違反は極めて重大であると考え、情報管理者がGDPRに準拠していないことを理由に、罰金を科すことが必要であったと述べた。 

　UODOの分析戦略部長であるピョートル・ドロベック(Piotr Drobek)は、「被告会社は600万人以上の人々に関する情報提供義務を果たしていなかった。 同社による処理について知らされた約9万人のうち、1万2千人以上がデータの処理に反対した。これは、GDPRに準拠して被告会社が権利を有する人が権利を行使するために情報義務を適切に履行することがいかに重要であるかを示している」と説明した。

分析戦略部長ピョートル・ドロベック(Piotr Drobek)(ウエブサイトからダウンロード)

 　UODOの局長の決定は、公的に入手可能な情報源、特に「中央電子登録簿および経済活動に関する情報登録簿(Central Electronic Register and Information on Economic Activity：CEIDG)」(注3-5)から入手したデータ主体のデータを処理し、商業目的でデータを処理した会社の活動に関連する手続きに関するものである。UODOは、まず事業活動を行っている自然人（ 現在そのような活動を行っているか、または中断している起業家、および過去にそのような活動を行った起業家)に関する情報義務の遵守違反を検証した。管理者は EUのGDPRの第14条（1）項から（3）項(注4)の下で要求されている情報に関しEメールアドレスの破棄のみ情報義務を果たした。しかし、管理者はその他の人の場合、その運用経費が高いため、手続きの過程で説明したように、情報義務を遵守せず、そのウェブサイト上でのみ情報義務条項を提示しただけであった。

　局長の公式意見では「そのような行動は不十分であった。 特定の人への連絡先データを持っている間はかならず管理者はユーザーに関連して、①保有するユーザーのデータ、②そのデータの出所、③計画されたデータ処理の目的と保有期間、そして④GDPRの下でのデータ主体の権利といった情報義務を果たすべきである」と述べた。 

また、局長の公式意見では、「GDPRの規定第14条は、書簡でそのような通信を送る義務を管理者に課すものではなく、費用のかかる義務を履行しないことの言い訳として会社から反論が提起された。

　しかし、関連する場合には、被告会社はユーザーの住所と電話番号を持っていたので、データが処理されている人に情報を提供する義務を遵守することができた。したがって、この事件は、数年前にポーランドのDPAが決定した他の事件とは区別する必要がある」と述べた。

　さらに、同局長は、訴訟手続き中に制定されたため、関係者に直接情報を提供することの必要性を認識していたため、管理者のGDPR違反は意図的であると判断した。

　罰金を科す一方で、当局はまた管理者が規則違反を終わらせるためにいかなる措置も講じなかったという事実や、そうする意図を宣言しなかった点を考慮には入れなかった。

２．UODOの任務、権限、組織

　他のEU加盟国と同様ポーランドのUODOは、GDPR第6章 独立監督機関：第1節 独立的地位：第51条 監督機関(各加盟国は、取扱いと関連する自然人の基本的な権利及び自由を保護し、かつ、EU域内における個人データの自由な流れを促進するため、本規則の適用を監視する職責を負う１若しくは複数の独立の公的機関を定めるなければならない（「監督機関」）)以下の規定に基づく監督・監視機関である。

　その法的根拠については、2018年5月10日に成立した「個人データ保護法(Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych；ACT of 10 May 2018 on the Protection of Personal Data(以下、”Ustawa”という)」第7条で第4章～7章および第11章に基づくと明記する。(同法の非公式の英語版は以下のURLからリンク可)

　特に同法を詳しく読んだり、以下述べるとおりHPにおいてUODO局長の権限はかなりのものである。 

(1) 主な任務・権限

　GDPR第57条職務以下で具体的に列挙している。また、”Utawa”は第4章～第7章(第54条～74条)および第7章(第101条～第108条)で具体的な任務を明記している。具体的なHPでの広く教育・啓蒙、情報侵害にかかる苦情受付、企業等のデータ保護オフィサー等各種届出、データ侵害時のUODOやデータ主体への通知様式などにつき、詳しく解説している。

(ⅰ)GDPRの適用にかかる具体的情報

①第30条に定める管理者の取扱記録の保管義務(本項はポーランド語のみなので略す)

②リスクベースのアプローチの理解および適用

③”Ustawa”が必要とする処理作業の種類のリスト

 　GDPRの第35条第4項(注5)によると監督当局は、データ保護影響評価( Data protection impact assessment )の要件の対象となる種類の処理業務のリストを作成し公表するものとする。

　2018年5月10日のポーランドのデータ保護法(Ustawa)の54条に基づき上記リストは同法の施行後3ヶ月以内にUODO局長によって発表されされねばならない。

　UODO局長は、処理業務リストの最終提案を作成し、それをGDPRの手順に従って欧州データ保護会議に送付し、その内容は適切な発表で発表した。

 

UODOの組織図(URL: https://uodo.gov.pl/en/494)

 (ⅱ) GDPR第77条以下にもとづく自然人たるデータ主体、またはGDPR第80条に基づく代理人たる組織・団体等による異議申立て

　GDPRや欧州条保護指令(95/46/EC)に違反した場合、GDPR第77条に基づきデータ主体等はUODO局長に対し異議申し立てを行うことができる。また、データ主はGDPR第78に基づき司法救済を監督機関であるUODOに求めることができる。なお、代理人による委任状を伴う異議申立ての場合、その代理人は公益目的を有し、データ主体の権利と自由の保護分野で活発な法的目的をもっている非営利団体、協会または組織であること。(GDPR第80条第1項)(委任状は1960年6月14日ポーランド行政手続法第32～34条の要件を満たすこと)

＊書面による異議申立て

UODO局長あて提出する異議申し立ては次の内容を含むこと。

①申立人の声明および住所

＊書面による異議申立て

UODO局長あて提出する異議申し立ては次の内容を含むこと。

①申立人の声明および住所

②手書きの署名

③異議申し立ての対象となる団体名（団体名、本社の住所等）

④違反の詳細な事実

⑤申請書(申請者が監視当局に期待する行動内容：)例：データの削除、情報提供義務の履行、データの修正、データ処理の制限など。

 (注)個人データ保護に関する規定の違反に対する損害賠償は裁判所での解決手続きの対象となるのみで、監督当局の手続きによることはできない。また異議申立人は、異議申立てにより開始された訴訟において、管理人に行政罰を科すことは要求できない。行政罰を科す決定は、監督機関の局長の権限の範囲内のみ有効である。

＊電子形式での異議申立て(苦情)手続き

注：異議申立てはポーランド語で提出する必要がある。

 電子形式で提出された異議申立ては、従来の書面形式で提出された苦情の要件に加えて、以下の条件を満たす必要がある。

a.適格な電子署名、またはePUAP (注6) の信頼できるプロファイルによって確認された署名、または検証済みデータの出所と完全性を電子形式で確認する可能性を保証する方法で認証された署名があること。

b.申請者の電子アドレスを含めること。

　異議申立てが代理人によって電子的に提出される場合は、電子文書の形式の委任状に、資格のある電子署名、またはデータ主体によってePUAPの信頼できるプロファイルによって確認された署名を添付する必要がある。。委任状の写しまたはその承認を示す他の書類の写しが電子書類の形で作成されている場合、それらの認証は、適格な電子署名またはePUAPの信頼できるプロファイルによって確認された署名を用いて行われる。委任状の写しまたは電子的に認証された承認を示す他の文書の写しは、規則で指定されたデータフォーマットで作成されなければならない（公共の業務を遂行する事業体の活動の情報化に関する2005年2月17日の法律第18号参照）。

******************************************************************************

(注1)上がUODOのポーランド語版、下が英語版である。

 

(注2) ”Rödl＆Partner”は、監査、ビジネスプロセスアウトソーシング、税務コンサルティング、法務コンサルティング、コンサルティングの分野で総合的なプロフェッショナルサービスを提供する国際企業である。”Rödl＆Partner”は、世界51カ国に111のオフィスを展開している。 

 (注3) グジェゴシュ・ゲンボレック Grzegorz Gęborek 氏のプロファイル：

 弁護士：ドイツ・フランクフルト（オーダー）アム・マイン (Frankfurt am Main) のヴィアンドリーナ・ヨーロッパ大学(注3-2)を卒業し、 ドイツの刑法を専門とするドイツの学士号とポーランド法の修士号を取得。ポーランドとドイツの民法と民事訴訟を専門としている。彼は英語も堪能である。 

(注3-2)  Europa-Universität Viadrina Frankfurt (Oder) 大学：ドイツのポーランド国境に近いフランクフルト・アン・デア・オーダーに1991年に設立された比較的新しい大学ですが、学生の4割がドイツ以外の国籍を持つという国際性が際立った特徴があります。小規模な大学にもかかわらず、220もの提携校をもち、留学生の受け入れにも積極的です。当然のことながらドイツ語コースも充実していて、日常言語運用能力の向上から専門分野（法学・文化科学・経済学）の導入と知見の獲得までを視野に入れたプログラムが特徴的です。(上智大学の協定校)サイトから引用)

(注3-3) 3月28日のローファームBaker McKenzie のブログ記事「ポーランドの情報保護機関(DPA)DPAは、EU「一般情報保護規則」第14条違反を理由として22万ユーロの罰金を科した」および4月2日Hogan Lovells LLPブログが事実関係やGDPRとの関係も含め詳しく解説しているので併せて確認されたい。

(注3-4)  念のため筆者はBisnode者のサイトで「privacy and Data security at bisnode：Your data, carefully handled, controlled by you.」の内容を確認したが、今回のUODOの決定やその具体的対応に関する記述はなかった。

(注3-5) CEIDGの利用に関する解説部分を仮訳する。

ポーランドで経済活動を開始することができるようにするためには、自然人は中央登録および経済活動に関する情報（CEIDG）へのエントリーのための申請書を完成し、提出しなければならない。CEIDGへの参入の申請には、虚偽の陳述をすることに対する刑事責任を負う前提でなされた、申請者に関して明示された禁止の欠如に関する陳述を添付しなければならない。

起業家は、申請書の提出日よりも経済活動の開始後日をCEIDGへの参加申請書に記載する権利を有する。

(注4) GDPR第14条第1項から第3項の訳文を抜粋引用する。わが国の個人情報保護委員会の仮訳文から引用

第14条 個人データがデータ主体から取得されたものではない場合において提供される情報

1. 個人データがデータ主体から取得されたものではない場合、管理者は、データ主体に対し、以下の情報を提供する：

(a) 管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先

(b) 該当する場合は、データ保護オフィサーの連絡先

(c) 予定されている個人データの取扱いの目的及びその取扱いの法的根拠

(d) 関係する個人データの種類

(e) もしあれば、個人データの取得者又は取得者の類型

(f) 該当する場合は、管理者が個人データを第三国又は国際機関の取得者に対して移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46条若しくは第47条に定める移転の場合又は第49条第1項第2項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報

2. 第1項に定める情報に加え、管理者は、データ主体に対し、データ主体に関して公正かつ透明性のある取扱いを確保するために必要な以下の情報を提供する

(a) その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。

(b) その取扱いが第6条第1項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。

(c) 個人データへのアクセス、個人データの訂正又は消去、又は、データ主体と関係する取扱いの制限を管理者から得ることを要求する権利、又は、取扱いに対して異議を述べる権利、並びに、データポータビリティの権利が存在すること

(d) その取扱いが第6条第1項(a)又は第9条第2項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること

(e) 監督機関に異議を申立てる権利。

(f) どの情報源からその個人データが生じたか、及び、該当する場合は、公衆がアクセス可能な情報源からその個人データが来たものかどうか。

(g) プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、それが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報

3.管理者は、以下のとおりに、第1項及び第2項に定める情報を提供する。

(a) その個人データが取扱われる具体的な状況を考慮に入れ、個人データ取得後の合理的な期間内。ただ
し、遅くとも1 か月以内。

その個人データがデータ主体との間の連絡のために用いられる場合、遅くとも、当該データ主体に対
して最初の連絡がなされる時点において。又は

(c) 他の取得者に対する開示が予定される場合、遅くともその個人データが最初に開示される時点におい
て。

(以下、略す) 

(注5) GDPR第37条第4項「監督機関は、第1 項によるデータ保護影響評価の義務に服する取扱業務の種類のリストを作成し、これを公表しなければならない。監督機関は、第68 条に規定する欧州データ保護会議に対し、そのリストを送付するものとする。」

(注6) ”ePUAP”は(ePUAP)はポーランドの「公共サービスの電子プラットフォーム（Elektronicznej Platformy Usług Administracji Publicznej ：ePUAP）」の意味である。ポーランドのデジタル化大臣が管理者で、法的義務に基づく個人データの処理に関する情報条項（公共の業務を行う団体の行為の電子化に関する平成17年2月17日の法律に関連した処理）入力時に必要とされる。

**********************************************************************************************************

 Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．