ドイツ、GDPR国別例外条項の国内法で一番乗り


7月5日、ドイツでGDPR適用法が公布された。同法は、GDPRが認める加盟国法による例外を規定するのが目的で、GDPRと同じ2018年5月25日に施行される。GDPRの例外を規定する加盟国法としては初めて。今後加盟各国で同様の立法が行われる。

原文:Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680
https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*[@attr_id=%27bgbl117s2097.pdf%27]#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27%5D__1499736697878

今回の法律は9月の連邦議会選挙に間に合わせるため、予想されていた従業員の権利の拡充、オンラインサービスの利用に伴う個人データ保護について保護者の同意を必要とする年齢の引き下げなどは見送られたが、今後これらの項目についても改正が予想される。一方、データ主体の権利に関する例外については、すでに欧州委員会が批判的見解を表明しており、その有効性について訴訟で争われる可能性もある。主な内容は以下の通り。

– 従業員データの収集と利用
雇用関係における個人データ処理について加盟国法による例外を認めたGDPR第88条第1項を受け、GDPR適用法は、労働協約又は集団交渉による合意を個人データ処理の適法根拠とできること、「同意」は原則として書面によらなければならないことなどを規定した。

– 特別カテゴリーのデータ
健康、バイオメトリック、遺伝に関する個人データの処理について加盟国法による例外を認めたGDPR第10条第4項を受け、GDPR適用法は、予防医療、従業員の能力評価、診断、医療関係プロフェッショナルとの合意、公衆衛生などを根拠とする機微なデータの処理を許す規定を置いた。ただし、最新技術、処理によるリスクなどを考慮した適切で個別的なデータ保護措置をとることが条件とされる。

– 研究及び統計を目的とするデータの処理
科学的、歴史的、統計的調査のための個人データ処理について加盟国法による例外を認めるGDPR第9条第2項を受け、GDPR適用法では、このような目的がデータ主体の権利に優先し、適切かつ個別的なデータ保護措置をとることを条件にデータ主体の同意について例外を認めるとともに、調査統計の結果を公表する場合の条件を規定する。

– 新たな目的による処理
防衛、公安、犯罪防止・訴追など重要な公益の保護を理由とする加盟国法による例外を規定するGDPR第23条を受け、GDPR適用法では、これらの目的に必要な限度において個人データを当初取得した処理目的以外の目的のために処理することを許す規定を置いた。

– 個人の権利の制限
GDPR第23条に規定する防衛、公安、犯罪捜査、訴追などの重要な公益を目的とする加盟国法によるデータ主体の権利の制限について、GDPR適用法はいくつかの例外規定を置いた。例えば、データ主体に対する情報提供義務について、情報提供が民事的な権利の行使又は防御を妨げるなど一定の場合における例外、法令に基づく義務の遵守のみを目的として個人データを保持している場合におけるアクセス権の例外、自動化されていないデータ処理の場合における忘れられる権利の例外など。

– 監視カメラ
監視カメラによる監視が許されるのは、

1)公的業務の遂行のため、
2)家屋件(Hausrecht)行使のため、又は
3)データ主体の権利を侵害しないことが明らかな場合における厳密に定義された正当な利益の追求のため

に行われる場合のみに制限された。商業施設における監視カメラは上記2)の要件に依拠することになると考えられる。Hausrechtとは、私的空間の占有者が有する施設管理権のような概念である。
– データ保護役(DPO)の選任
DPO選任義務について加盟国法による例外を認めるGDPR第37条第4項を受け、GDPR適用法では、10人以上の従業員が自動化された個人データ処理に継続的に従事する場合、プライバシーリスクアセスメントを実施しなければならない場合、マーケットリサーチなど一定の商業的なデータ処理を実施する場合などにおけるDPOの義務的選任を規定した。

関連記事