GDPR制裁金ガイドライン最終稿公表


EU加盟各国のデータ保護監督機関の代表などで構成される29条データ保護作業部会は、先週末までに制裁金に関するガイドライン (“Guideline on the application and setting of administrative fine for the purpose of the Regulation 2016/679”)を公表した。

同ガイドラインは各国監督機関がGDPR違反事案について管理者又は処理者に対して賦課する制裁金の額をどのように算定するかについての基準として、(違反の)内容、重大さ、期間、データ主体の権利に重大なリスクをもたらすかどうか、制裁金の賦課がデータ主体にとって均衡を欠く重荷とならないかどうか、違反事案が影響するデータ主体の数、データ処理の目的整合性(データ主体に告知した目的以外の処理かどうか)、データ主体がこうむった損害の大きさ、違反状態が続く時間の長さなどを示す。

違反が故意であるとみなされるのか、過失であるとみなされるかについても同ガイドラインは一定の考え方を提示している。組織の最高マネジメント層からの指示による違反が故意とされるのは当然だが、データ保護役の意見に従わなかった結果の違反行為も故意とされる可能性があり、その場合には高い制裁金が賦課されるとした。

制裁金算定の基準である企業グループ売上を算定する基礎となるグループの定義について、ガイドラインは、親会社とそれ以外の非支配企業によって構成される経済的単位であるとした。

IIJでは、先週末にかけて29条作業部会が公開した2篇のドラフトガイドライン(プロファイリングと自動処理、データ侵害通知)及びこの制裁金の適用に関するガイドライン最終版について、詳しい内容を11月に開催する「第5回実践的GDPR対応セミナー」で解説する。

http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47889

関連記事