アイルランド監督機関が、適法根拠に関するガイダンスを公表


アイルランド監督機関が、適法根拠に関するガイダンスを公表

アイルランド監督機関は、個人データ処理の適法根拠に関するガイダンスを発表した。

このガイダンスは、EU一般データ保護規則(GDPR)が定める個人データ処理の適法根拠6種(データ主体の同意、契約の履行、死活的利益、法的義務の履行、公的任務の実施、正当な利益)のそれぞれについて、その意味や適法性の要件といった法的側面だけでなく、実際の個人データ処理の現場を想定したケーススタディ、適法根拠決定で考慮すべきポイントなども詳細に解説されている。例えば、「契約の履行」を適法根拠とする場合、管理者とデータ主体との間で実体的な契約が存在していることが条件であると解説している。このような「当然」といえる要点も丁寧に説明されていることが特徴である。

データ主体の権利行使については、適法根拠別に行使できる権利が表で整理されており、管理者が適法根拠別に対応すべきデータ主体の権利が一目で理解できる。

適法根拠に関連する公的文書については、旧一般データ保護指令第29条作業委員会(Art.29 WP)がまとめた「同意に関するガイドライン」が存在するが、本ガイダンスは監督機関レベルで適法根拠全般を網羅的に解説したものである。適法根拠の適用については、各国監督機関の解釈や判断の余地があるものの、GDPRの一貫性原則を考慮すると、本ガイドラインの内容は、アイルランド以外の各国においてもかなりの程度適用可能なものと考えられる。個人データ保護の実務者にとって、個人データ処理の適法根拠決定の参考となる資料だといえるだろう。

ガイダンス掲載ページ
https://www.dataprotection.ie/en/guidance-landing/guidance-legal-bases-processing-personal-data
ガイダンス本文
https://www.dataprotection.ie/sites/default/files/uploads/2019-12/Guidance%20on%20Legal%20Bases_Dec19_1.pdf

関連記事