CNILが合意なき離脱の際の英国へのデータ移転等に関する最新の見解を公表


フランス監督機関(CNIL)が合意なき離脱の際のイギリスへのデータ移転等に関する最新の見解を公表

9月10日、フランス監督機関(CNIL)は公式ホームページで、イギリスのEUからの合意なき離脱におけるEUとイギリスとの間の個人データの取扱いについて、質疑応答形式で見解を表明した。現時点では、イギリスとEUとの新たな離脱合意や、離脱の延期が実現しない限り、2019年11月1日をもってイギリスは自動的にEUから離脱することになることから、合意なき離脱の事態を見越した対応を事前に周知することが目的であるとみられる。以下、見解のポイントについて紹介する。

〇 合意なき離脱の結果、イギリスへの個人データの流れはどうなるか?
離脱の延期が合意されるか、離脱合意がイギリスとEUの両者で批准されない限り、2019年11月1日をもってイギリスは第三国になる。その場合、EUからイギリスへの個人データの流れは「移転」とみなされる。したがって、EU離脱に合意がない場合、EU内の管理者と処理者は、イギリスへのデータ転送に対し、移転の監督とあわせて、十分かつ適切なレベルの保護を確保する必要がある。 合意なき離脱の場合、2019年11月1日の時点で、イギリスは欧州委員会による決定に基づく十分性を有する国とは見なされない。

〇 合意なき離脱に備えるための手順は何か?
1 イギリスへの個人データの転送に該当する処理活動を特定する。
2 最適な移転手段を決定する(標準契約条項(SCC)、企業拘束条項(BRC)等)。
3 2019年11月1日の時点で、移転手段を適用可能かつ有効になるようにする。
4 2019年11月1日の時点で、イギリスへのデータ移転を含む内部文書を更新する。
5 必要に応じ、EU及びEEA以外へのデータ転送に関係するデータ主体の情報を更新する。

〇 合意なき離脱の場合に、イギリスへの個人データの移転に利用できる手段は何か?
1 SCC:欧州委員会によって採用された個人データ移転契約のモデルであり、管理者間または管理者・処理者間のデータの転送を規制するもの。
2 アドホック契約:標準契約条項が適用されない、またはその変更が必要な場合に、データの転送を規制できるようにする個人データの転送に関する契約(ただしアドホック契約は、欧州データ保護委員会(EDPB)に相談後、CNILによって承認される必要あり)
3 BCR:企業グループ内でのデータ共有のため、EU域外に個人データを移転する際の規制条項。なお、ICOにBCR認可を求める管理者または処理者の取り扱いは以下のとおり。
・申請前の企業:欧州域内の最適なBCR主任監督機関を指定して申請
・申請が審査中の企業:欧州域内のBCR主任監督機関を指定。離脱後、主任監督機関が審査業務をICOから承継
・認可済みの企業:欧州域内のBCR主任監督機関を指定
4 行動規範と認証メカニズム:EU一般データ保護規則(GDPR)遵守のための行動原則に関する文書で、欧州データ保護委員会(EDPB)への相談が完了し、かつCNILによる承認を受けたもの。

〇 公的機関や団体も関係するか?
合意なき離脱の場合、イギリスへの個人データの移転はすべて、公的機関であっても適切な手段で実施されなければならない。

〇 合意なき離脱の場合、個人データ移転手段はいつまでに導入しなければならないか?
2019年11月1日までに導入しなければならない。

〇 合意なき離脱の場合で、データ移転への適切な保護手段がない場合、条件の緩和は可能か?
第三国が十分性を有すると認識されず、適切な保護手段がない場合、GDPR第49条による特定状況下の例外に基づいて移転が可能。ただし、GDPR第49条は、監督機関によって厳密に解釈されているため、例外をルールのように利用することはできない。

〇 合意なき離脱の場合、イギリスから受信したデータはどう取り扱われるか?
イギリスからEUに送信される個人データについては、追加的な保護手段は必要なく、イギリスからEUへのデータの自由な流れが許可される。ただし、イギリスの管理者または処理者から個人データを受け取った場合、その取扱いはGDPRまたは加盟国の国内法に準拠する必要がある。

CNILのニュースリリース
https://www.cnil.fr/fr/se-preparer-un-brexit-sans-accord-quelles-questions-quels-conseils-de-la-cnil

関連記事