「GDPR」条文解説、“罰金2000万ユーロ”を科されないためにやるべきことは?:今からでも間に合う「GDPR」対策【第2回】(1/2 ページ)
EU一般データ保護規則「GDPR」の適用対象となるのは、どのような企業なのか。場合によっては2000万ユーロにもなる制裁金を科されないようにするには、何をすべきなのか。条文の内容を基に確認します。
前回「いまさら聞けない『GDPR』(一般データ保護規則)の真実 “罰金2000万ユーロ”の条件は?」は、欧州連合(EU)の一般データ保護規則、いわゆる「GDPR」(General Data Protection Regulation、以下GDPR)とは何かについて論じてきました。第2回となる今回は、GDPR適用の範囲と、GDPRで制裁金を科されないために必要な対策を考えていきます。
GDPR適用の範囲
GDPRの適用となるのは、どのような事業者でしょうか。GDPRは、個人データの処理行為の種類を基に、適用対象になるかどうかを規定しています。GDPR第3条第1項は、適用対象となる行為として「EU域内の事業所での活動に関連してなされる個人データの処理(the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union)」を挙げています(丸かっこ内の英文はGDPR原文の引用、以下同じ)。日本法人から見ると、EU域内に設立した子会社など現地拠点での個人データの処理が該当します。
EUに拠点がない事業者でも、EU在住の個人データを処理する場合にGDPR適用となる場合があります。GDPR第3条第2項(a)は「EU在住のデータ主体に対する商品またはサービスの提供(the offering of goods or services,<中略> to such data subjects in the Union)に関連した個人データの処理」をGDPR適用対象の行為として挙げています。これは日本法人からEU在住の人に対して、インターネット経由で商品の通信販売をしたり、サービスを提供したりしている場合が該当します。
ここでいう商品、サービスに関しては、対価の有無を問わないことになっています(irrespective of whether a payment of the data subject is required)。そのため無料のインターネットサービスを提供している場合でも、GDPR適用の対象となる可能性があります。さらに同項(b)によると、商品/サービスの提供の有無にかかわらず「EU域内で行われるデータ主体の行動の監視(the monitoring of their behaviour as far as their behaviour takes place within the Union)に関連した個人データの処理」もGDPR適用対象になると定めていることに注意が必要です。
併せて読みたいお薦め記事
連載:今からでも間に合う「GDPR」対策
GDPRについてもっと詳しく
GDPRの制裁金
自社がGDPRの適用対象になるとして、制裁金を科されないためには何をしたらよいのでしょうか。まず必要な対策について洗い出すことから始めます。条文上、管理者と処理者に制裁金が科される条項を確認すると、第83条(制裁金の一般条件:General conditions for imposing administrative fines)に記載があります。この内容をまとめたものが、以下の表です。
Copyright © ITmedia, Inc. All Rights Reserved.