国境を越えたケースで各国のデータ保護当局が適用する行政手続きの一部を調整し、一般データ保護規則（GDPR）の協力および紛争解決メカニズムが円滑に機能できる

2023年07月07日、欧州委員会は、一般データ保護規則を国境を越えて施行する際のデータ保護当局（DPA）間の協力を効率化するための新法の提案を公表しました。

この公表に先立ち、2023年07月04日、欧州委員会は、一般データ保護規則（General Data Protection Regulation）を国境を越えて施行する際のデータ保護当局（DPA）間の協力を効率化するための提案を採択しました。

この採択された法律は、8週間（2023年07月07日〜2023年09月04日）にわたり意見を募集しています。寄せられた意見はすべて欧州委員会がまとめ、欧州議会および理事会に提出され、立法審議に反映されます。

このイニシアティブは、国境を越えたケースにおける一般データ保護規則（GDPR）の施行に際して、各国のデータ保護当局間の協力を効率化するものです。

そのために、国境を越えたケースで各国のデータ保護当局（DPA）が適用する行政手続きの一部を調整します。これにより、一般データ保護規則（GDPR）の協力および紛争解決メカニズムが円滑に機能することが期待されています。

新規則の概要

この新規則は、複数の加盟国に所在する個人に影響を及ぼすケースにおいて一般データ保護規則（GDPR）を適用する際の当局の具体的な手続き規則を定めるものです。

主管するデータ保護当局（DPA）が「重要事項の要約」を関係当局に送付する義務を導入し、調査の主な要素や案件に関する見解を明らかにすることで、関係当局が早期に見解を提供できるようになります。この提案は、プロセスの初期段階から当局間の意見の相違を減らし、合意を促進することに貢献するものです。

個人にとっては、新規則により、苦情を申し立てる際に提出する必要があるものが明確になり、そのプロセスに適切に関与できるようになります。企業にとっては、DPAがGDPR違反の可能性を調査する際の適正手続きの権利が明確化されています。

従って、この規則は、より迅速な事案解決をもたらし、個人にとってはより迅速な救済が達成され、企業にとってはより法的確実性を増加します。そして、データ保護当局にとっては、新ルールによって協力が円滑になり、執行の効率性が高まります。

新規則は、一般データ保護規則（GDPR）によって設立された協力や一貫性メカニズムの円滑な機能をサポートするための詳細な規則を規定し、以下の分野における規則を調整するものです。

• 申立人の権利

この提案は、国境を越えた申立が認められるための要件を調整して、異なる規則に基づくDPAによってもたらされる現在の障害を取り除くものです。また、苦情が全面的または部分的に却下された場合に、苦情申立人が聴取を受ける共通の権利を確立します。苦情が調査される場合、苦情に適切に関与するための規則を規定しています。

• 調査当事者（管理者および処理者）の権利 

本提案では、欧州データ保護委員会（EDPB）による事案解決時を含む、手続きの主要な段階において、調査当事者に意見を聴取する権利を提供し、管理ファイルの内容および当事者のファイルへのアクセス権を明確化するものです。

• 協力と事案解決の合理化 

この提案の下では、DPAは調査の早い段階で意見を述べ、共同調査や相互支援などGDPRが提供するあらゆる協力手段を利用できるようになります。

これらの規定により、国境を越えた案件に対するDPAの影響力が強化され、調査における早期の合意形成が促進され、後の意見の相違が減少します。

本提案は、GDPRの事案解決メカニズムの迅速な完了を促進するための詳細なルールを規定し、国境を越えた協力と事案解決に関する共通の期限を定めています。こうした手続き面の調和は、タイムリーな調査の完了と、個人に対する迅速な救済措置の実現を支援するものです。

新規則の背景

現在の欧州委員会の一般データ保護規則（GDPR）は、データ主体の権利、データ管理者および処理者の義務、GDPRが定める個人データ処理の合法的根拠など、GDPRの実質的な要素には影響を与えません。

GDPRが施行されて以来、EDPBの事例登録には2,000件を超える「ワンストップショップ」事例が作成され、711件の最終決定が下されました。数億ユーロの罰金が課されたケースもあります。そして、GDPRの適用に関する次回の報告書は2024年に予定されています。

GDPRは、各国の裁判所だけでなく、独立した各国のDPAによって執行されています。複数の加盟国で行われる、または実質的にデータ主体に影響を及ぼす処理が含まれるケースでは、GDPRの「ワンストップ・ショップ」執行システムが適用されます。これは、調査対象の事業体が所在するDPAが一括して管理し、関係する他のDPAと協力して調査を実施することを意味しています。

GDPRの下では、DPAは国境を越えたケースにおけるGDPRの適用についてコンセンサスを得るように協力しています。DPAがコンセンサスを得られない場合、GDPRは欧州データ保護委員会（EDPB）による事案解決を規定しています。

GDPRを施行する際、DPAは各国の手続き規則を適用します。欧州委員会は、GDPRの適用に関する2020年の報告書の中で、DPAによって適用される手続き上の違いが、GDPRの協力および事案解決メカニズムの円滑かつ効果的な機能を妨げていると指摘していました。

2022年10月、EDPBは欧州委員会に対し、協力関係を強化し、データ主体への迅速な救済を実現するために、いくつかの手続き面を合理化・改善するための提案を盛り込んだ「希望リスト」を送付しました。

本日の提案は、加盟国だけでなく、EDPB、市民社会、企業、学界、法曹界の代表者など、幅広い利害関係者からの意見を反映したものです。2023年2月から3月にかけて、欧州委員会は証拠募集を行い、市民社会や業界団体を含むさまざまな利害関係者から意見を得たものです。

また、欧州委員会は、市民社会の代表者、各国当局、業界を代表する団体との間で、要請に応じて提案に関する二者間会合を開催し、提案に盛り込んでいます。

参考情報

資料１　一般データ保護規則の施行に関する手続き規則をさらに明記