英政府、GDPR施行法案の主旨説明を公表


英国政府デジタル・文化・メディア・スポーツ省は8月7日、近く議会に提出予定の新データ保護法案の概要について説明する主旨説明文書(Statement of Intent)を公表した。同文書では、来年5月のEU一般データ保護規則(GDPR)施行とともに英国現行データ保護法(1998)を廃止すること、イギリスがEUを離脱した後もGDPRと同等のデータ保護法制を維持してヨーロッパとの間の自由なデータ移動を確保することなどの政策方針が明らかにされるとともに、GDPRが認める加盟国法による例外規定の内容について概要を説明している。主旨説明文書で示されたGDPR例外規定の概要は次のとおり。

1. 年少者が個人データ処理に関し管理者に同意を与える場合において親権者の承認を必要とする年齢制限については、13歳未満とする方針であることが明らかにされた。
2. GDPRにおいては原則として公的権限を有する機関のみに限定されている有罪歴・犯罪歴に関する個人データの処理について、イギリスとしては現行法と同様、民間企業についても雇用主など特定の場合には認める方針を示した。
3. プロファイリングなど自動化された意思決定のみによってデータ主体に法的効果又は同等の重大な影響を生じさせる場合、データ主体は原則としてそのような意思決定に服さない権利があることをGDPRは規定するが、同時に加盟国法による例外措置を認めている。これについて、イギリス政府は銀行融資の審査など自動化された意思決定に依存する合法的な機能の存在を認め、一定の場合にはデータ主体の権利保護のための措置を講じた上で自動化された意思決定を認める方針だ。ただ、具体的にどのような場合をGDPRの例外とするかについては、この主旨説明文書では明らかにされておらず、今後議会に提出される法案本文を待つことになる。
4. 報道の自由と関連してGDPRが加盟国法による例外を認めることについては、イギリス政府は同国現行データ保護法(1998)第32条に基づく報道機関による公益目的のデータ処理について認められた規制の例外を新データ保護法案でも踏襲する方針だ。
5. 科学調査、歴史調査、統計などの目的のために行う個人データ処理に関してGDPRは加盟国法によりデータ主体の権利行使について制限を設けることを認めることについては、イギリスとしては、一定の調査、アーカイヴについてはデータ主体のアクセス権、訂正権、制限権、異議権などの行使を制限する方針を示したが、具体的な例外要件は主旨説明文書では明らかにされていない。

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/635900/2017-08-07_DP_Bill_-_Statement_of_Intent.pdf

関連記事