ドイツのデータ保護当局の共同調整機関DSKが、GDPR制裁金の計算モデルを開発


ドイツのデータ保護当局の共同調整機関DSKが、EU一般データ保護規則(GDPR)制裁金の計算モデルを開発

報道されるところによれば、ドイツのデータ保護当局の共同調整機関DSKがGDPR制裁金の計算モデルを開発し、今年6月のドイツDSK会議で採択され、ドイツにおける最近の制裁事例でも使用されているとのことである。ただし、詳細な計算モデルは公開されていない。

計算過程は概ね3段階に分かれている。
第1段階は「日次レート」の計算で、企業グループ全体の売り上げを365日で割った値を日次レートとし、制裁金計算の基礎数値にする。
第2段階は、違反の深刻度に応じた「乗数計算」で、深刻度に応じ

  • 軽度の侵害:1~4の乗数。
  • 平均的な侵害:4~8の乗数。
  • 重度の侵害:8~12の乗数。
  • 非常に重度な侵害:12から14.4の乗数。


を日次レートにかけ、計算された数値範囲の中央値を求める。さらに、以下の項目に基づき、最大16倍までの乗数の調整が行われる可能性がある(算定の詳細は未公開)。

  • 侵害の期間。
  • 違法な処理の性質、範囲、目的。
  • 処理に関係するデータ主体の数。
  • データ主体が被る危害の程度。

第3段階はGDPR第83条(2)による制裁の加重または軽減の検討である。意図的または過失、損害を軽減するための措置の開始、責任の程度、関連する過去の侵害の存在、監督当局との協力、侵害の範囲内で処理される個人データのカテゴリ、侵害の開示の種類、当局によって以前に命じられた措置の順守、および規則または認証の遵守状況を踏まえて、制裁金の最大金額がGDPRが定める上限以下になるように検討が行われる。

この計算モデルによる制裁金の決定判例はないと思われるが、このモデルはすでにEDPB(欧州データ保護会議)のタスクフォースに提案されていることから、制裁金決定の欧州標準となるかどうか注目される。

German DPAs push model for higher GDPR fines
https://iapp.org/news/a/german-dpas-push-model-for-higher-gdpr-fines/

関連記事