スペイン監督機関AEPDがGDPR違反(安全確保違反、適法根拠のない個人データ処理)に対する制裁2件を発表


スペイン監督機関AEPDがGDPR違反(安全確保違反、適法根拠のない個人データ処理)に対する制裁2件を発表

スペイン監督機関AEPDは、EU一般データ保護規則(GDPR)違反に対する制裁2件を発表した。

一つは、スペイン・マドリードの公共放送局CORPORACION DE RADIO Y TELEVISIONESPA?OLASAに対するもので、社員の氏名や社員番号、生年月日、職務の詳細などの個人データが記録された外部記憶媒体6点を紛失したものである。紛失した媒体には、労働組合への加入状況、健康情報、犯罪歴情報などの特別カテゴリーデータも含まれていた。AEPDは本件をGDPR第32条(取り扱いの安全性確保)違反による個人データ侵害と認定した上で、紛失した情報内容(氏名などの直接的に個人を特定できるデータ、特別カテゴリーデータの存在)を制裁の加重要素、事実の特定や事案発生後の教育・データ保護意識の啓発活動の実施を制裁の軽減要素として酌量し、同社に6万ユーロの制裁金を課すことを決定した。

もう一つは、サンチャゴ・デ・コンポステーラの水道会社VIAQUA XESTI?N INTEGRAL DE AUGAS DE GALICIA, SAに対するもので、契約者の了解や承認なく契約書に含まれる個人データの内容を変更したものである。市の条例では、貸借物件の水道料金などの公共料金は、一義的には物件の所有者に請求されるが、例外的に公共サービスの受益者が支払者になることもできる。本件では、何者かが同社に電話で、賃借人(受益者)の銀行口座情報の変更を通知したが、変更された銀行情報は本来の賃借人のものとは関係のない内容だった。賃借人はAEPDに対し、自分の個人データが同社により承認なく変更されたと申し立てた一方、同社は①市条例に基づき請求先に賃借人を設定できるので、賃借人の主張には法的根拠がない、②変更したのは受益者(賃借人)のデータであって、賃借人自身の個人データではない、と主張した。AEPDは裁決において、①本件は賃借人の個人データである銀行情報を賃借人の了解なく変更したものであり、適法根拠なく個人データを処理したGDPR第6条違反に該当する、②EU法優越の原則により、国内法規である市条例よりGDPRの規定が優先的に適用される、とした。その上で、同社が反復的に賃借人に未払い料金を請求し、賃借人が特定できていること、市条例の規定を主張してGDPR上の個人データ保護措置(銀行情報の変更に対する同意の確認、変更された銀行情報が賃借人のものと同一であるかの確認)を実施しなかったこと、賃借人の申立以降の是正措置をAEPDに通知しなかったことを制裁の加重要素とし、同社に6万ユーロの制裁金を課した。

この2件の決定では、以下の点が教訓として導かれる。
1 個人データ侵害発生後の適切な処置が制裁の軽減要素とされる(公共放送局の事例)。
2 EU法優越の原則を理解し、国内法上の義務の履行であっても個人データ保護措置を優先して実施する(水道会社の事例)。

公共放送局の決定文書
https://www.aepd.es/resoluciones/PS-00305-2019_ORI.pdf(リンク切れ)
水道会社の決定文書
https://www.aepd.es/resoluciones/PS-00233-2019_ORI.pdf(リンク切れ)

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト