デンマークで新データ保護法が成立


Bird&Birdによると、デンマーク議会でGDPR施行のためのデータ保護が可決され、成立した。主要なポイントは以下の通り。

企業の人事業務に関する個人データ処理
人事業務に関する現行法規制が追認された。企業の正当な利益を適法根拠として、人事管理におけるセンシティブデータの処理が許される。また、人事管理における個人データ処理の適法根拠として同意を用いることができることとされた。欧州委員会29条作業部会は、雇用関係のように管理者とデータ主体の力関係が不均衡な場合、同意の任意性が疑われるとする立場を表明していることと対象的である。

マーケティング目的での個人データ開示
ある企業から別の企業にマーケティング目的で個人データを開示する場合に関する現行法規制が追認された。GDPRとの関係で議論を呼びそうだ。

情報開示義務およびアクセス権に関する例外
GDPR第13,14条に基づく情報提供を受ける権利およびデータ主体によるアクセス権について、例外が規定された。例えば、企業の内部不正調査が行われる場合のように、管理者などの重大な利益がデータ主体の利益よりも優越する場合、情報提供によって企業機密の保護のために必要な場合、管理者は情報提供を遅延させることができるとされる。

社会保障番号
社会保障番号の処理に関する適法根拠が拡大された。

年少者の情報社会サービスの利用に伴う個人データ処理に関して保護者の承認が必要とされる年齢の上限
GDPRの本則16歳からデンマークでは13歳に引き下げられた。

死者の個人データ
デンマークでは死後10年間、死者のデータは個人データとされる。

センシティブな情報の域外移転禁止
デンマーク情報保護庁は、十分なレベルのデータ保護を提供しない第三国に対してセンシティブな個人データを移転することを禁止することができる。

マスメディアおよび言論の自由
データ保護とマスメディアを含む言論の自由との関係については、デンマークデータ保護法の規制対象としない。

https://www.twobirds.com/en/news/articles/2018/denmark/the-danish-data-protection-act-has-been-passed

関連記事