「契約の履行に関するガイドライン」の最終版が採択される−IIJ White Paperも改訂−


「契約の履行に関するガイドライン」の最終版が採択される

欧州データ保護会議(EDPB)は、2019年10月8日〜9日に第14回総会を開催し、第9回の総会で草案が採択されパブコメに付された「GDPR(EU一般データ保護規則)6条1項b号の契約の履行に関するガイドライン」を採択した。今回採択されたガイドラインは、草案と比べて大きな変更点は見受けられない。当該ガイドラインの概略は以下の通りである。

① 個人データを処理する場合、6条1項各号の適法根拠が必要となるが、b号〜f号の適法根拠(つまり、同意以外の適法根拠)については、取り扱う個人データは必要最小限でなければならない原則(5条1項c号)を充足する必要がある。したがって、b号の契約の履行を適法根拠とする場合、当該処理がデータ主体との契約の履行に客観的に必要であること、またはデータ主体が要請する契約の前段階として客観的に必要であることという必要性が要件となる。

② ①の必要性の他、そもそも契約が存在すること、当該契約が国内法に従って有効であることも、契約の履行を適法根拠とする場合には必要な要件となる。

③ 契約の履行を適法根拠とすることができない場合であっても、他の適法根拠が適用される場合もある(もっとも、13条・14条に基づき適法根拠は事前に通知されている必要がある。)。

④ 「サービス改善」「不正防止」「オンライン行動広告」「コンテンツのパーソナライズ」のための個人データの処理は、場合によっては契約の履行を適法根拠とすることができるが、原則として契約の履行を適法根拠とすることはできない(ただし、「不正防止」のための個人データの処理は、6条1項f号の正当の利益を適法根拠とすることができる場合もある)。

EDPBのニュースリリース
https://edpb.europa.eu/news/news/2019/european-data-protection-board-fourteenth-plenary-session_en
「契約履行に関するガイドライン」最終版
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_en
White Paper(最終版): オンラインサービスで契約履行を適法根拠にできる場合の判断に関するEDPBガイドラインの概説および本文

関連記事