オランダ監督機関がGDPR制裁金の基準を公表


2019年3月14日付けにて、オランダの監督機関であるthe Autoriteit Persoonsgegevens(AP)はEU一般データ保護規則(GDPR)を含む管轄する法律による制裁金の算出基準を公開した。

GDPRに関しては4階層としており、表の通りである。それぞれのカテゴリーは、制裁金調整幅と基本制裁金が定められている。例えば、最も軽いカテゴリーIでは、基本制裁金10万ユーロを出発点とし、侵害の重大性によって、0から20万ユーロの間での制裁金が調整されることになる。

この調整幅を上下させる要因としては、次のものが挙げられている。

  1. 侵害の性質、重大さ、及び、継続期間
  2. 故意性、過失性
  3. 管理者または処理者によりとられた被害の軽減策
  4. 前歴
  5. 監督機関との協力
  6. 個人データのカテゴリー
  7. 監督機関へ自発的に通報したかどうか
  8. GDPR58条2項(是正権限)の遵守
  9. GDPR40条の承認された行動規範への協力
  10. その他の重大化・軽減化要因

また、GDPR83条4項、5項に記されている各条文への違反が、どのカテゴリーに対応するかを示すANNEXが付けられている。以下に、数例を示す。

  • 8条 子供の情報社会サービス II
  • 9条 特別カテゴリー IV
  • 13条 データ主体からの個人データ収集 III
  • 14条 データ主体からの間接的収集 III
  • 31条 監督機関への協力 III

最も重いカテゴリーIVにおいても、調整幅最大値が100万ユーロになっており、GDPR83条4項、5項が定める金額より低くなっているのが注目されるが、この調整幅が適切でない場合には、この調整幅の範囲外の制裁金が課されるとされている。

当局のリリース
https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-past-boetebeleidsregels-aan
基準書
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586.pdf

関連記事