EDPBがコロナウイルスパンデミック期のデータ主体の権利に関する声明を公表


EDPB(欧州データ保護会議)は開催中の第30回全体会議で、コロナウイルス蔓延(パンデミック)期におけるデータ主体の権利に関する声明を公表した。これは、パンデミックに対応する期間、GDPRの適用を停止するとしたハンガリー政府の方針に対するハンガリーのプライバシー保護団体からの書簡提出を受けた対応である。

 

声明の要旨

 

声明でEDPBは、パンデミックのような例外的な状況であっても、個人データの保護はすべての緊急措置において支持されるべきであり、個人データ保護はEUの基本である民主主義、法の支配、基本的権利の包括的価値の尊重に貢献するとの立場を明確にした。そして、パンデミック期であってもGDPRはなお適用されるとしている。

以上の原則を踏まえ、EDPBは以下の点に言及している。

  • (データ主体の)基本的権利を無効にする一般的、広範、または侵襲的な権利の制限は正当化できない。
  • 特定の条件下で、GDPR第23条は、そのような制限が基本的権利と自由の本質を尊重し、EUまたは加盟国の一般的な公共の利益の重要な目的を保護するために必要かつ比例的な措置である場合、特に公衆衛生において立法措置を通じてデータ主体の権利の制限を可能にする。
  • データ主体の権利は、データ保護に関する基本権の中核をなすものであり、GDPR第23条は、その適用が原則であることを念頭に解釈されるべきである。適用制限は原則に対する例外であり、適用制限は限られた条件においてのみ適用されるべきである。
  • (データ主体権利行使の)適用制限は、法律によって規定されなければならず、そのような適用制限を規定する法律は、データ管理者が適用制限を援用することを許される条件を市民が理解できる程度に十分明確でなければならない。さらに、適用制限は、その影響を受ける個人にとって予見可能でなければならない。(制限の)訴求適用や、条件が定められていない期間に課される制限は、予見可能性の基準を満たさない。
  • パンデミックまたはその他の緊急事態の存在だけでは、データ主体の権利に対するいかなる種類の制限の十分な理由にならない。むしろ、いかなる制限も、EUまたは加盟国の一般的な公共利益の重要な目的の保護に明確に貢献しなければならない。
  • パンデミックの流れで採択され、公衆衛生上の目的を保護するために厳密に必要かつ比例する限りにおいて制限が適用される場合、非常事態はデータ主体の権利の制限を正当化できる法的条件である。したがって、データ主体の権利の制限は、範囲内および時間内に厳密に制限する必要がある。さらに、GDPR第23条(2)に基づく保証は完全に適用されなければならない。
  • 非常事態の状況で採択された、データ主体の権利の適用を停止または延期する制限と、管理者および処理者に対する義務は、時間の明確な制限がない場合は、事実上権利の一括停止であり、基本的権利と自由の本質とは相入れない。

 

声明の意義

 

GDPR第23条は、特定の分野や条件において、加盟国はGDPRが定める各種の権利義務を制限できるとしている。しかし本声明は、コロナウイルスなどの疫病蔓延期であっても、GDPRが定めるデータ主体の権利は最大限に保護されなければならず、EU加盟国が国内法でその権利を不当に制限することは認められないというEDPBの姿勢を明確にしたものである。

本声明が発出された背景は、一義的にはハンガリー政府による行き過ぎたGDPR適用制限をEDPBが認めない姿勢であると考えられるが、あわせて個人データの管理者や処理者に対し、パンデミック期であってもデータ主体の権利を最大限保護すべきであるという考えを示したものであるともいえるだろう。

 

EDPB声明文

https://edpb.europa.eu/news/news/2020/thirtieth-plenary-session-edpb-response-ngos-hungarian-decrees-and-statement-article_en

 

関連記事