クロアチア当局、顧客のアクセス権行使に対応しなかった銀行にGDPR法定上限の制裁金の可能性


クロアチア当局、顧客のアクセス権行使に対応しなかった銀行に制裁金

クロアチア監督機関AZOPは、クロアチアのザグレブに本店を置く信用機関(注:処分内容から銀行と推測される)に対し、データ主体のアクセス権に対応しなかったことを理由として制裁金を課すことを決定した。

制裁金の上限額2000万ユーロが適用の可能性

この銀行については、特にスイスフラン取引における信用協定に関連し、同行が処理する個人データについて顧客からのアクセス要求を拒否しているとの苦情がAZOPに提出されていた。そのためAZOPは同行に対し、データ主体たる顧客による個人データへのアクセス権行使に対応するよう、職権による行政命令を発したが、同行は顧客に処理対象の個人データを開示することを拒否し続けた。GDPRが施行された2018年5月25日から2019年4月にかけて、同行は個人データへのアクセス要求を約2500件受領していたものの対応を拒否したため、AZOPは最も厳しい処分である制裁金の賦課に踏み切った。なお、クロアチア監督機関からは具体的な制裁金額は示されていないが、処分書ではGDPRの規定により最大2000万ユーロの制裁金が課される可能性があると言及している。

長期にわたる故意かつ意図的な違反行為

制裁金額がGDPRの上限に達した理由として、長期に渡る違反期間や関係するデータ主体の数に加え、権利行使を申し立てている顧客数を同行が正確に把握していたことから、同行が故意かつ意図的に違反行為に及んでいたと判断されたことが挙げられる。処分でAZOPは、同行が違反に及んだ目的を、権利行使対応にかかる費用発生を回避するためとしている。また、制裁金額の算定にあたり、AZOPは同行の監督機関に対する協力の度合いも考慮したとしているが、規則上の最高金額が課せられたことを考慮すると、同行の協力は極めて低かったものとみられる。

当局非協力が制裁金額を増大か?

本処分により、監督機関はGDPR遵守に伴う費用発生を遵守しない、あるいは遵守できない理由とすることを明確に否定したと考えられる。また見方を変えれば、GDPR対応費用を惜しんだがために悪質性が高いと評価され、それがさらなる制裁につながった可能性もあると考えられる。ニュースリリースでは同行がデータ主体のアクセス権行使を拒否した直接的な理由は公表されていないが、同行の取引において、データ主体のアクセス権行使に対応することが不都合となる事情があった可能性も否定できない。

いずれにせよ、このような形で処分が決定・公表されることは、処分対象となる企業にとって重大な経営リスクとなることは明白である。業務上個人データを処理する場合は、データ主体に認められた権利行使には管理者あるいは処理者として誠実に対応するとともに、監督機関と協力して法令遵守態勢の強化に努めるべきであろう。

クロアチア監督機関による処分のニュースリリース
Rješenje kojim se izriče upravno novčana kazna zbog odbijanja dostave osobnih podataka ispitanicima
https://azop.hr/aktualno/detaljnije/rjesenje-kojim-se-izrice-upravno-novcana

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト