スペインのGDPR施行法 DPOの役割追加、職場のデータ処理規制などが特徴


スペインのGDPR施行法 DPOの役割追加、職場のデータ処理規制などが特徴

昨年12月6日、スペイン政府公報に「個人データの保護およびデジタル権利の保証に関する法律」(Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. 以下「LPDP」)が掲載され、12月7日に施行された。LPDPは、EU一般データ保護規則(GDPR)をスペインで施行するための国内法であり、GDPRが加盟国国内法に委任した適用要件、例外などを規定するものである。LPDPの重要ポイントを以下に解説する。

1.データ主体の権利行使
■代理人によるデータ主体の権利行使
GDPRで認められたデータ主体の権利(GDPR第12?23条)は、本人または代理人により行使することができる。管理者と処理者との間の契約で定められている場合、処理者は、管理者に代わってデータ主体の権利行使への対応を行うことができる。

■権利行使が過度に及ぶかどうかの判断基準
GDPR第12条第5項は、データ主体の権利行使請求が過度に及ぶ(excessive)場合、管理者は当該請求について手数料を要求し、または拒否することができると規定するが、LPDPは、正当な理由なく6ヶ月の期間中に複数回の権利行使請求をした場合、そのような請求は「過度に及ぶ(excessive)」という判断基準を規定した。

■異議権行使の場合のデータ主体識別情報の保持
GDPR21条第2項に基づき、ダイレクト・マーケティング目的の個人データ処理に対してデータ主体が異議権を行使した場合、将来にわたって当該請求者の個人データをダイレクト・マーケティング目的で処理しないことを確実にするため、管理者は当該請求者の識別情報を保持することが許されることをLPDPは規定した。

2.DPOの必置条件追加と役割追加
■DPO必置条件の追加
GDPR第37条第4項は、加盟国法によりDPOの必置要件を追加することを許している。LPDPでは、弁護士会などの専門職業団体、教育機関、大規模に個人データを処理するネットワーク事業者または電子通信サービス提供者、情報社会サービス(information society service。多くの商用Webが該当する)の提供者が大規模な顧客プロファイリングを行う場合、金融・保険・投資サービス事業者、電気・ガス事業者、信用調査事業者、広告・マーケティング事業者がプロファイリングを行う場合、健康・医療事業者、ゲーム事業者、警備事業者、未成年の個人データを処理するスポーツ団体などについて、DPOの選任を義務づけた。

■DPOの役割追加
データ主体から監督機関に苦情申立があった場合、スペインのデータ保護監督機関は、苦情案件を関係企業のDPOに伝達することができる。この場合、苦情の伝達を受けたDPOは、紛争処理に介入し、苦情受付から1ヶ月以内に回答しなければならない。

3.政党による個人データ処理
政党は、ウェブページなどだれでもアクセスできる情報源から取得した個人データを、選挙期間中の政治活動のために利用することができる。この規定については、政党による有権者のプロファイリングを許す可能性があるとの批判が高まった。これを受け、スペインのデータ保護監督機関は、政党が政治的意見に基づく有権者のプロファイリングを行うことは許されず、個人の政治的信条を導き出すためにビッグデータ解析やAI技術を利用することは許されないとの見解を示した。

4.雇用関係におけるデジタル権利
LPDPには、職場におけるプライバシー保護に関するいくつかの規定が追加された。たとえば、職場において利用するデジタルデバイスのプライバシー保護、職場での監視カメラ・録音機器の利用に関するプライバシー保護、職場での位置情報システム利用に関するプライバシー保護、集団交渉におけるデジタル権利などの規定が盛り込まれた。監視カメラの利用については、被用者の尊厳を損なうものであってはならず、利用方法はあらかじめ被用者代表に説明しなければならない。雇用者が被用者に利用させるデジタルデバイスから導き出されたデータに対して雇用者のアクセスが認められるのは、被用者が雇用契約上の義務を遵守していることを確認する目的、またはこれらのデバイスの機能維持の目的のために限定される。このようなデバイスの利用については、あらかじめ被用者に情報提供しなければならならず、利用ルールの決定には被用者の代表を参加させなければならない。デジタルデバイスによる被用者の監視やデジタル的接続は、勤務時間内に限定されること(デジタル切断の権利)、デジタル切断の権利の運用に関するルールを労使で作成すべきこと、デジタル切断の権利の行使については、労働協約に基づくべきことも規定された。

5.内部通報制度に関する規制
内部通報制度を運用する場合には、従業員、顧客、サプライヤーなどに対して内部通報制度の存在を通知しなければならない。内部通報された個人データは、内部通報担当者および内部通報制度の運用を支援する処理者限りの取扱いとされ、第三者への開示が許されるのは、関係者の処分、裁判等法的手続のために必要な場合に限られる。通報者・被通報者の個人データの秘密は厳守しなければならず、内部通報に関する個人データの保持期限は、通報内容についてさらに調査が必要かどうかを判断するために必要な期間に限られ、遅くとも通報から3ヶ月後には、法遵守を証明する目的で必要な場合以外、削除しなければならない。追加調査不要と判断された内部通報記録については、匿名化しなければならない。3ヶ月経過後は、通報内容は、懲戒処分の目的以外には利用できない。

今回のスペイン法は、職場における個人データ処理と内部通報制度について、重要な規制内容を含むものである。スペインで事業を展開する企業は、同法のオリジナルテキスト(以下のURL)を熟読し、対応を検討すべきである。
https://www.boe.es/buscar/act.php?id=BOE-A-2018-1667

関連記事