トピックス

2018.12.14
NEWS

【GDPR】「地理的適用範囲に関するガイドライン」の仮訳

(執筆者:渡邉雅之

European Data Protection Committeeがパブリックコメント中のGuidelines 3/2018 on the territorial scope of the GDPR (Article 3) - Version for public consultation(GDPRの地理的適用範囲に関するガイドライン3/2018(第3条)-パブリックコンサルテーション版)を仮訳いたしました。

GDPRの地理的適用範囲に関するガイドライン(仮訳)
Miyake newsletter GDPR ニュースNo.2:地理的適用範囲に関するガイドライン(仮訳)

(モデル例)
個人情報取扱規程(補完的ルール対応)
匿名加工情報取扱規程(補完的ルール対応)
GDPRプライバシーポリシー
(連載)
【GDPR】GDPRに基づくプライバシノーティス・プライバシーポリシー(モデル例も参考に)
【GDPR】十分性認定と個人情報保護委員会の補完的ルール(補完的ルールに基づく個人情報取扱規程・匿名加工情報等取扱規程のモデル例も)
【GDPR】日本企業のGDPRに対する対応(総論)
【GDPR】GDPRにおける個人データ
【GDPR】「地理的適用範囲に関するガイドライン」の仮訳

(仮訳)
本仮訳は、European Data Protection Boardが公表しているGuidelines 3/2018 on the territorial scope of the GDPR (Article 3) - Version for public consultation
https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial-scope-gdpr-article-3_en)の仮訳です。
意味を分かりやすくするために、一部意訳している部分もあり、正確性は保証しないことにご留意ください。本仮訳を利用する場合には事前に下記にご連絡ください。
 
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
電話:03-5288-1021(代表)
Eメール:m-watanabe@miyake.gr.jp
 
 
GDPRの地理的適用範囲に関するガイドライン3/2018(第3条)
-パブリックコンサルテーション版
 
2018年11月16日適用

目次
 
イントロダクション
1 事業所基準の適用- 第3条第1項
2 ターゲット基準の適用- 第3条第2項
3  国際公法によりEU加盟国の国内法が適用される場所の管理者による個人データの処理
4  EU域内に設立されていない管理者または処理者の代理人
 
ヨーロッパデータ保護委員会は、GDPR(個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016 年4 月27 日の規則(EU) 2016/679)第70条第1項(e)に鑑みて、以下のガイドラインを採択した。
 
イントロダクション
 
一般データ保護規制(GDPR)[1]の地理的適用範囲は、GDPR第3条によって判断されるが、EUデータ保護指令(指令95/46 / EC)[2]で定義されていた枠組みと比較して、EUデータ保護法の重要な進化を示している。GDPRは、EUデータ保護指令(指令95/46 / EC)の文脈で欧州議会と欧州司法裁判所(CJEU)が採択したものを部分的に確認している。しかしながら、重要な新しい要素が導入された。 最も重要なのは、EUデータ保護指令第4条の主目的は、どの加盟国の国内法が適用可能かを定義することであったが、GDPR第3条は、直接適用可能な地理的適用範囲を定義する。さらに、EUのデータ保護法の範囲内で、「EU域内に事業所がない」管理者を適用されるための基礎として、EU指令第4条でEU域内での「機器の使用」が要件とされているが、GDPR第3条においてはこのような要件は規定されていない。
GDPR第3条は、EU域内のデータ主体の権利を包括的に保護し、世界的なデータの流れの中で、EU市場で活躍する企業のための平等な競争の場を確立するという立法者の意図を反映している。
GDPRの第3条は、2つの主な基準に基づいて規制の地理的適用範囲を定義している。第3条第1項に基づく「事業所」基準、第3条第2項に基づく「ターゲット」基準である。これら2つの基準のいずれかが適用される場合、GDPRの関連条項は、関係する管理者または処理者による個人データの処理に適用される。さらに、第3条第3項は、GDPRの適用が、EU加盟国の法律が国際公法によって適用されることを確認している。
本ガイドラインは、EUのデータ保護当局による共通の解釈を通じて、管理者または処理者による特定の処理が新しいEUの法的枠組みの範囲内にあるかどうかを評価する際に、GDPRの一貫した適用を確保するよう努めている。本ガイドラインでは、EDPBは、GDPRの適用範囲を決定するための基準を設定し、明確にしている。この一般的な解釈は、GDPRに準拠する必要があるかどうかを評価するために、EU内外の管理者と処理者にも不可欠である。
EU域内に事業所がないが、第3条第2項に該当する処理活動を行っている管理者または処理者は、EU域内に代理人を指定する必要がある。本ガイドラインは、第27条に基づく代理人の指名手続およびその責任と義務についても明確化している。
 一般的に、EDPBは、個人データの処理がGDPRの範囲内にある場合、GDPRのすべての規定が当該処理に適用されると考える。しかしながら、本ガイドラインは、処理活動の種類、当該処理活動を実施する主体、またはそのような主体の位置に応じて、発生する可能性がある様々なシナリオを特定し、各状況に適用される規定について詳述している。したがって、管理者と処理者、特に国際レベルで商品やサービスを提供する管理者と処理者は、個人データの関連する処理がGDPRの範囲内にあるかどうかを判断するために、処理活動の慎重かつ具体的な評価を実施することが不可欠である 。
 
1 事業所基準の適用- 第3条第1項
GDPR第3条第1項は、「GDPRは、EUでの処理の有無にかかわらず、EU域内の管理者または処理者の事業所の活動の状況における個人データの処理に適用される」と規定している。
GDPR第3条第1項は、規制当局の設立だけでなく、処理者の設立についても言及している。その結果、処理者による個人データの処理は、EU内に設置された事業所を有する処理者によってEU法の対象となる可能性がある。
以下の章では、GDPRにおけるEU内の「事業所」の定義を明らかにし、第一に、「第三者の活動の文脈における処理の意味」を検討することによって、「事業所」基準の適用を明確にする。EUにおける「事業所」、そして最終的には、この事業所の活動の文脈で実施された処理がEUで行われるかどうかにかかわらず、GDPRが適用されることを確認することによって行われる。
第3条(1)は、GDPRが、実際の処理場に関係なく、EU域内のその管理者または処理者の事業所の活動に関連して行われた管理者または処理者による処理に適用されることを保証する。
したがって、EDPBは、個人データの処理が第3条第1項に基づきGDPRの範囲内に入るかどうかを決定する際に、3つのアプローチを推奨する。
 
a)考察1:「EU域内における事業所」
「EU域内における事業所」が何を意味するのかを検討する前に、与えられた処理活動のために管理者または処理者が誰であるかを特定することがまず必要である。
GDPR第4条第7項の定義によれば、管理者とは、個人データの処理の目的と手段を他者と単独で、または共同で決定する自然人または法人、公的機関、代理人その他の団体です。 処理者とは、GDPR第4条第8項に基づき、「管理者の代わりに個人データを処理する自然人または法人、公的機関、代理店またはその他の団体」である。
関連するCJEU判例法および旧29条委員会ガイダンス[3]により確立されているように、企業がGDPRの目的で管理者または処理者であるかどうかの判断は、GDPRの個人データ処理自体への適用の評価における重要な要素である。
 第4条第16項に「主要な事業所」という概念が定義されているが、GDPRは、第3条の目的のための「事業所」の定義を規定していない[4]。 しかし、前文22項[5]は、「事業所は、安定した体制による活動の効果的かつ実践的な行使を意味する」ことを明確にしている。そのような体制の法的形式は、支店や法的人格を持つ子会社を問わず、その点で決定要因ではない。
この用語は、EUデータ保護指令(指令95/46 / EC)の前文19項に規定されているものと同じであり、企業が登録されている場所にのみ設立されるという形式的アプローチから出発し、「事業所」という用語の解釈を広げているいくつかのCJEU判決で参照されている[6]。たしかに、CJEUは、事業所という概念は、「安定した体制」によって行使された実質的かつ効果的な活動(たとえ最小限のものでさえ)にも及ぶと判旨している[7]
EU加盟国に拠点を置く事業体がEU加盟国に事業所を有するかどうかを判断するためには、経済活動の具体的性質と関連するサービスの提供の観点から、当該加盟国における安定性の程度とそのEU加盟国における効果的な行使の両方を考慮しなければならない。これは、特にインターネット上でのみサービスを提供する事業体に当てはまる[8]。管理者の活動の中心がオンラインでのサービスの提供に関係する場合、「安定した体制」[9]の閾値は実際にはかなり低くなる可能性がある。
その結果、状況によっては、非EU事業体の従業員または代理人の存在が、その従業員または代理店が十分な程度の安定性をもって行動する場合、「安定した体制」を構成するのに十分である可能性がある。
データ処理の責任を負う非EU事業体が加盟国に支店または子会社を持たないという事実は、EU加盟国のデータ保護法の意味においてそこに事業所を有することを排除するものではない。
事業所の概念は広いが、それは制限がないわけではない。事業体のウェブサイトがEU内でアクセス可能であるため、非EU企業がEU域内に事業所を有していると結論付けることは不可能である[10]
 
具体例1:
米国に本社を持つ自動車製造会社は、ブリュッセルに完全所有の支店と事務所を構え、マーケティングや広告など、ヨーロッパのすべての事業を監督している。
ベルギー支店は、自動車製造会社が行う経済活動の性質に照らして、実際に効果的な活動を行う「安定した体制」と考えることができる。したがって、ベルギー支店は、GDPRの意味で、EUにおける事業所とみなすことができる。
 
EU内に管理者または処理者が設置されていると判断された場合には、第3条(1)の規定が適用されるかどうかを決定するために、この事業所の活動の文脈で処理が実行されるかどうか判断される。
EU域外に設置された管理者または処理者が、法的形式(例:子会社、支店、事務所など)にかかわらず、「安定した体制」を通じて、EU加盟国の領域において「最小かつ有効な活動」を実施した場合、この管理者または処理者は、その加盟国に設立されたものとみなすことができる[11]。 したがって、個人データの処理が前文22項で強調されている事業所の「活動の文脈において」行われるかどうかを検討することが重要である。
 
b)考察2:事業所の「活動の文脈において」行われた個人データの処理
第3条第1項は、問題の処理が関連するEU設立そのものによって「実行される」必要はないことを認めている。管理者または処理者は、その処理が関連する事業所の「活動の文脈で」実行されるときはいつでも、GDPRに基づく義務を負う。EDPBは、EUに拠点を置く事業体が第3条第1項の目的のための管理者または処理者の設立とみなされるべきかどうかの決定は、具体的にはケースバイケースで行われ、分析に基づいて行われることを推奨する。各シナリオは、ケースの特定の事実を考慮して、それ自体のメリットについて評価されなければならない。
EDP​​Bは、第3条第1項の目的のために、「管理者または処理者の事業所の活動の文脈における処理」の意味は、関連する判例法に照らして理解されるべきであると考えている。一方では、効果的かつ完全な保護を確保するという目的を達成するために、「事業所の活動の文脈において」という意味は制限的に解釈することはできない[12]
他方、GDPRの意味での事業所の存在は、非EU企業のデータ処理活動とほとんど関連性がないEU域内の事業所の存在があることをもって、処理がEUのデータ保護法の適用の範囲内であると解する上で十分である、というようにあまりにも広範に解釈されるべきではない。EU加盟国内の非EU事業者が行う商業活動の中には、当該事業者の個人データの処理からかけ離れており、EU域内の商業活動の存在は、EUのデータ保護法の適用範囲というには十分でない場合もある[13]
 
i)EU域外のデータ管理者または処理者とEU域内の現地事業所との関係
EU加盟国における現地の事業所の活動およびEU以外の地域に設立されたデータ管理者または処理者のデータ処理活動は、密接に関連している可能性があり、その結果、EU域内の事業所が実際にデータ処理の役割を担っていない場合であってもEU法が適用される可能性がある[14]。事実を事例ごとに分析した結果、EU域内の事業所の活動と非EUの管理者が実施したデータの処理との間に密接不可分なつながりがあることが示された場合、EU域内の事業所がそのデータの処理において何らかの役割を果たしているかどうかに関わらず、非EU事業者によるその処理にEU法が適用される[15]
 
ii)EU域内において収入を上げていること
EU域内の事業所がEU域内で収入を上げた場合、そのような活動がEU域外の個人データの処理と「密接不可分に関連している」とみなされる範囲で、 非EU管理者または処理者による処理は「EU域内の事業所の活動の文脈において」実施されていると推測され、そのような処理にEU法を適用するのに十分な場合がある[16]
EDPBは、非EU事業者が、まず、個人データが処理されているかどうかを判断し、次に、個人データが処理されている活動とEU域内にある事業者の何らかの事業所の活動との間の潜在的な関連性を特定することによって、その処理活動の評価を行うことを推奨する。
このような関連性が特定された場合、この関連性の性質は、GDPRが処理自体に適用されるかどうかを判断する上において重要であり、上記の要素に照らして評価されなければならない。
 
具体例2:
中国に拠点を置く企業が運営する電子商取引のウェブサイトは、データ処理活動は専ら中国国内で行われているが、EU市場に向けた商業的探査とマーケティングキャンペーンを主導して実施するために、欧州事務所をベルリンに設置した。
この場合、ベルリンの欧州事務所の活動は、EU市場への商業的な売り込みとマーケティングキャンペーンが電子商取引ウェブサイトが提供するサービスを収益性のあるものにするのに顕著に役立つものである限り、中国の電子商取引ウェブサイトによって行われる個人データの処理と密接に関連していると考えることができる。したがって、中国企業による個人データの処理は、EU域内の事業所の活動との関連で、EU域内における事業所として実行されるものとみなすことができ、したがって、第3条1項に基づきGDPRの適用を受ける。
 
具体例3:
南アフリカのホテルとリゾートチェーンは、英語、ドイツ語、フランス語、スペイン語で提供されているウェブサイトを通じてパッケージを販売している。同社は、EU域内に事務所、代表者、または安定した体制がない。
この場合、EU域内にホテルおよびリゾートチェーンの代表者や安定した体制が存在しない以上、南アフリカのこのデータ管理者に関連する事業体は、GDPRにおける意味における事業所の要件を満たすものはない。したがって、第3条第1項に基づきGDPRの適用を受けることはない。
しかしながら、第3条第2項に基づき、EU以外の地域で設立されたこのデータ管理者によって実行される処理がGDPRの対象となるかどうかを具体的に分析する必要がある。
 
c)考察3:処理がEU域内で行われるか否かを問わず、EU域内の管理者または処理者の事業所に対してGDPRの適用をすること
 
第3条第1項に従い、EU域内の管理者または処理者の事業所の活動の文脈における個人データの処理は、関連するデータ管理者または処理者に対するGDPRおよび関連する義務の適用がなされる。GDPRは、EU域内の事業所の活動の文脈における処理に関して「EU域内で処理されるかどうかに関係なく」適用される。これは、EU内のデータ管理者または処理者が事業所を通じて存在し、GDPRの処理活動への適用を惹起するこの事業所の活動の文脈において処理が行われるという事実である。したがって、処理の場所は、EU域内の事業所の活動の中で行われた処理がGDPRの適用の範囲かどうかを判断することには関係しない。
 
具体例4:
フランスの企業は、モロッコ、アルジェリア、チュニジアの顧客専用のカーシェアリングアプリケーションを開発した。このサービスは、これらの3カ国でのみ利用可能であるが、すべての個人データ処理活動は、フランスのデータ管理者によって実行される。
個人情報の収集は非EU諸国で行われるが、この場合の個人データのその後の処理は、連合におけるデータ管理者の設立活動のコンテキストで行われる。したがって、第3条第1項に基づき、処理がEU域内にないデータ主体の個人データに関係していても、GDPRの規定はフランス企業によって行われる処理に適用される。
 
具体例5:
ストックホルムに本社を持つ製薬会社は、シンガポールに所在する支店の臨床試験データに関して、すべての個人データ処理活動を行っている。会社の構成によると、支店は法的に異なる事業体ではなく、ストックホルムの本部は、シンガポールに所在する支店が行うデータ処理の目的と手段を決定する。
この場合、処理活動はシンガポールで行われているが、その処理はストックホルムの製薬会社、すなわち連合に設立されたデータ管理者の活動との関連で行われる。したがって、GDPRの規定は、第3条1項に基づき、そのような処理に適用される。
 
GDPRの地理的適用範囲の決定において、以下の事業所の場所に関して、地理的場所は第3条1項の下で重要である。
 
  • 管理者または処理者自体(管理者または処理者はEU域内で設立されたか否か)
  • 非EU管理者または非EU処理者の事業の存在(非EU管理者・処理者はEU域内に事業所があるか否か)
 
しかしながら、地理的場所は、処理が行われる場所に関して、またはデータ主体自体の場所に関して、第3条第1項の目的上重要ではない。
第3条第1項は、EU域内に属する個人の個人データの処理にGDPRの適用を制限していない。したがって、EDPBは、EU域内の管理者または処理者の事業所の活動の文脈における個人データ処理は、個人データが存在するデータ主体の場所または国籍にかかわらず、GDPRの範囲に該当すると考えている 処理されている。
このアプローチは、GDPRの前文14項(「この規則によって与えられる保護は、個人データの処理に関して、その国籍または居住地がどこであれ、自然人に適用されるべきである。」)によってもサポートされる。
 
d)事業所基準の管理者および処理者への適用
第3条第1項の範囲内の処理活動に関しては、EDPBは、EU内での事業所の活動の文脈に関連して処理活動が行われている管理者および処理者に適用されると考えている。管理者と処理者の間の関係[17]を確立するための要件が、管理者または処理者の事業所の地理的場所によって変化しないと考えられるが、GDPRの適用によって惹起される様々な義務の識別については、各事業者による処理を別々に考慮する必要があるとEDPBは考えている。
GDPRは、データ管理者または処理者に適用されるさまざまな専用の規定または義務を規定しているため、データ管理者または処理者が第3条第1項に従ってGDPRの対象となる場合、関連する義務はそれぞれ別々に適用される。
これに関連して、EDPBは、EU域内の処理者が処理者としての地位があるがために第3条第1項によって、データ管理者の事業所と考えるべきではないと明らかにみなしている。管理者と処理者の間の関係の存在は、これら2つの事業体のうちの1つがEU域内において設立されていない場合、GDPRの適用を必ずしも両方に対して行う必要はない。
別の組織(クライアント企業)の代わりに個人データを処理する組織は、クライアント企業(管理者)の処理者として活動する。処理者がEU域内に設立された場合、GDPRによって処理者に課される義務(「GDPRの処理者の義務」)を遵守する必要がある。
処理者に指示をする管理者がEU域内にも位置する場合、管理者はGDPRによって管理者に課せられた義務(「GDPRの管理者の義務」)を遵守する必要がある。
 
  1. GDPRの対象外の処理者を使用するEU域内の管理者による処理
GDPRの対象となる管理者がGDPRの対象外の処理者を使用することを選択した場合、管理者はGDPRに従って処理者がデータを処理することを契約やその他の法的行為によって保証する必要がある。
第28条第3項は、処理者による処理は、契約またはその他の法的行為によって規制される。したがって、管理者は、第28条第3項に定められたすべての要件に対処する処理者との契約を確実に確立する必要がある。
さらに、「処理が規制の要件を満たし、データ主体の権利を保護するような方法で対策を実施するための十分な保証を提供する処理者のみを使用する」という第28条第1項に基づく義務を確実に遵守するために、管理者は、GDPRの対象となる処理者にGDPRが課す義務を契約により課すことを検討する必要があるかもしれない。
すなわち、管理者は、GDPRの対象外の処理者が、第28条第3項に規定されたEUまたはEU加盟国の法律に基づく契約またはその他の法的行為によって管理される義務を遵守することを保証することになる。
したがって、GDPRの対象とならない処理者は、第28条の契約に基づき、GDPRの対象となる管理者によって課せられた義務の一部を間接的に受けることになる。さらに、GDPRの第5章の規定が適用される場合がある。
 
具体例6:
フィンランドの研究機関がサミ族に関する研究を行っている。この研究所は、ロシアのサミ人にしか関心のないプロジェクトを立ち上げる。 このプロジェクトでは、研究所はカナダに事業所がある処理者を使用している。
GDPRはカナダの処理者に正式には適用されないが、フィンランドの管理者は、処理がGDPRの要件を満たし、データ主体の権利の保護を確実にするような方法で適切な措置を実施するのに十分な保証を提供する処理者のみを使用する義務を負う。
フィンランドの管理者は、カナダの処理者とデータ処理契約を締結する必要があり、処理者の義務は当該契約において規定される。
 
  1. EU域内における処理者の事業所の活動の文脈における処理
判例法は、EU加盟国の管理者の事業所の活動の文脈に関連して行われている処理の効果を明確にしているが、処理者のEU域内の事業所の活動の文脈において実施される処理の効果については明確ではない。
EDPBは、管理者と処理者を別々に設置することを検討することが重要であることを強調している。
第一の問題は、管理者自身がEU域内に事業所を有しているかどうかであり、その事業所の活動の文脈で処理しているかどうかである。管理者は、EU域内における自らの事業所の文脈において処理していると考えられないとすると、第3条(1)(これは第3条第2項に拘束されるかもしれないが)によるGDPR管理者の義務の対象とならない。
他の要因が影響を及ぼさない限り、処理者のEU域内の事業所は管理者の事業所とはみなされない。
次に、処理者がEU域内における事業所の文脈で処理しているかどうかという別個の質問が生じる。その場合、処理者はGDPR処理者の義務を負うことになる。しかし、これにより、非EU管理者はGDPR管理者の義務を負うことにはならない。すなわち、「非EU」の管理者(前述のように)は、EU域内で処理者を使用することを選択しただけでは、GDPRの対象にはならない。
EU域内の処理者に指示することによって、GDPRの対象外の管理者は「EU域内の処理者の活動の文脈で」処理を実行しない。処理は、管理者自身の活動の文脈で実行される。処理者は、管理者の活動に「密接に関連していない」処理サービス[18]を提供するだけである。
上述したように、データ処理者がEU域内に設立され、EU域外で設立されたデータ管理者のために処理をする場合であって、GDPR第3条第2項の対象とならない場合は、EDPBは、 データ管理者の処理活動をEU域内に設立された処理者によって代わりに処理されたという理由だけで、GDPRの地理的適用範囲に該当するとはみなさない。ただし、データ管理者がEU域内において設立されておらず、第3条第2項のGDPRの規定の適用を受けない場合であっても、データ処理者は、EU域内に設立されているので、第3条第1項に基づくGDPRの関連する規定の適用を受けることになる。
 
具体例7:
スペインにおいて設立された処理者は、顧客の個人データを処理するため、メキシコの小売企業であるデータ管理者と契約を結んでいる。メキシコの会社は、そのサービスをメキシコ市場に限定して提供している。その処理は、EU域外にあるデータ主体のみに関係する。
この場合、メキシコの小売企業は、商品やサービスの提供を通じてEUの領域内の人を対象にしたり、EUの領域内の人の行動を監視したりしない。 従って、EU域外で設立されたデータ管理者による処理は、第3条第2項に従うGDPRの対象ではない。
GDPRの規定はデータ管理者には適用されないが、データ処理者はスペインで設立された処理者として、その活動の文脈で実行される処理に関する規制によって課される処理者としての義務を遵守する必要がある。
 
EU域外において設立されたデータ管理者に代わって処理を行い、第3条第2項に基づきGDPRの地理的適用範囲に該当しないデータ処理者に関しては、当該処理者はデータ処理者に直接適用される関連する以下のGDPRの規定に従うことになる。:
  • 第28条第2項から第6項に基づきデータ処理契約を締結することにより処理者に課せられる義務。ただし、データ管理者がGDPRに基づく(管理者の)義務を遵守している場合を除く。
  • 第29条及び第32条第4項の規定に基づき、処理者と、管理者または処理者の権限の下で行動する個人データにアクセスする人は、EUまたはEU加盟国の法律で要求されていない限り、管理者からの指示を除いてこれらのデータを処理してはならない。
  • 処理者は、第30条第2項に従って、適宜管理者に代わって実行されるすべての種類の処理の記録を保持しなければならない。
  • 処理者は要求に応じて、適宜、第31条に従って、その業務の遂行において監督当局と協力しなければならない。
  • 処理者は、第32条に従って、リスクに適切なレベルのセキュリティを確保するための技術的および組織的措置を実施するものとする。
  • 処理者は、第33条に従って、個人データの違反を認識した後、不当に遅滞なく管理者に通知するものとする。
  • 処理者は、適宜、37条および38条にしたがい、データ保護オフィサーを指定するものとする。
  • 第5章に従い、個人データを第三国または国際機関に移転する規定
 
さらに、このような処理がEU域内における処理者の事業所の活動の文脈で実施されるため、EDPBは、処理者が、EU法または国内法に基づく他の義務に関して、その処理が合法であることを保証しなければならないことを求める。
第28条第3項は、「処理者は、その見解において、指示がGDPRまたその他のEUまたは加盟国のデータ保護の条項に違反する場合、直ちに、そのことを管理者に通知するものとする。」と規定している。
EDPBは、29条委員会によって以前に採択された方針に沿って、例えば、処理が許容できない倫理的問題[19]を伴う場合には、EUの領域を「データ・ヘイブン」として使用することはできないとの見解を示し、EUのデータ保護法、特に公共秩序に関する欧州および国内法の適用は、いかなる場合においても、データ管理者の場所にかかわらず、EU域内に設立されたデータ処理者によって尊重されなければならない。この検討においては、EUの法律を実施することにより、GDPRおよび関連する国内法から生じる規定は、EUの基本権憲章の対象となるという事実も考慮されている。 しかしながら、これは、第3条第2項のGDPRの地理的適用範囲に該当しないEU域外の管理者に対する追加の義務を課すものではない。
 
2 ターゲット基準の適用- 第3条第2項
EU域内における事業所が存在しないということは、必ずしも、第三国において設立されたデータ管理者または処理者がGDPRの適用範囲から除外されるこということを意味しない。第3条第2項は、GDPRが、その活動に応じて、EU域内に設立されていない管理者または処理者に適用される状況を規定しているためである。
この文脈において、EDPBは、EUにおける事業所が存在しない場合、GDPR第56条に規定されたワンストップショップの仕組みを享受できないことを確認する。実際、GDPRの協力と一貫性のメカニズムは、欧州連合(EU)内に1つの事業所(複数の事業所)を持つ管理者と処理者にのみ適用される[20]
現在のガイドラインは、GDPRの地理的適用範囲を明確にすることを目指しているが、EDPBはまた、管理者と処理者が他の適用可能なEUや加盟国の分野別法律や国内法などを考慮する必要があることを強調したい。
GDPRのいくつかの条項は、加盟国が実際に特定の地域または特定の処理状況に関連して、追加の条件を導入し、特定のデータ保護の枠組みを国レベルで定義することを可能にしている。
したがって、管理者および処理者は、加盟国ごとに異なるこれらの追加の条件と枠組みを認識し、それに従うことを確実にしなければならない。
各加盟国に適用されるデータ保護条項のそのような変更は、第8条(情報社会サービスによるデータの処理に関して子供が有効な同意を与える年齢は13歳から16歳の間で異なることを規定している)、第9条(特定の種類の個人データの処理に関すること)、第23条(制限)、または第9章に含まれる条項(表現と情報の自由; 公式文書への公衆アクセス。 国民識別番号; 雇用関係; 公的利益、科学的または歴史的研究目的または統計的目的でアーカイブ目的のための処理; 秘密; 教会や宗教団体)の規定に関して特に顕著である。
GDPR第3条第2項は、「この規則は、連邦内にあるデータ主体の個人データの、EU域内に設置されていない管理者または処理者による処理に適用される。その処理活動は、(a) データ対象の支払いが必要か否かにかかわらず、EU域内内のそのようなデータ主体に商品またはサービスを提供する場合、または、(b)データ主体の行動がEU域内で行われる限り、当該データ主体の行動の監視する場合に関連するものである。」と規定している。
第3条第2項に規定するとおり、EUに所在するデータ主体に対する「ターゲティング基準」の適用は、EU域内において事業所がない管理者または処理者によって実行される2つの異なる代替的な種類の活動によって適用される可能性がある。 EU域内に事業所がない管理者または処理者にのみ適用可能であることに加えて、ターゲティング基準は主に「処理活動」が「関連する」ものに焦点を当てており、ケースバイケースで検討する必要がある。
したがって、EDPBは、基準の適用条件を評価する際に、第1にその処理が、EUに所在するデータ主体の個人データに関連していること、第2に、それが商品またはサービスの提供、またはEUにおけるデータ主体の行動の監視に関係するかどうかを判断するために、2段階のアプローチを推奨する。
 
  • 考察1:EU域内におけるデータ主体
第3条第2項の文言は、「EU域内に所在するデータ主体の個人データ」を指す。したがって、ターゲティング基準の適用は、個人データが処理されているデータ主体の市民権、居住地またはデータ主体のその他の種類の法的地位によって制限されない。前文14項は、この解釈を確認し、「この規則によって与えられる保護は、個人データの処理に関して、国籍または居住地が何であれ、自然人に適用されるべきである」と規定している。
このGDPRの規定はEUの一次法を反映しており、個人データ保護の権利はEU市民に限らず、基本的権利憲章第8条に規定されているが、"みんな"のためのものである[21]
EU域内におけるデータ主体の位置は、第3条第2項に基づくターゲティング基準の適用の決定要因であるが、EDPBは、連合に属するデータ主体の国籍または法的地位が、規制の地理的適用範囲を制限または制限することはできないと考えている。
データ主体がEU域内に所在するという要件は、関連する該当活動が行われた時点、すなわち、商品やサービスの提供の時点、または行動が監視されている時点において、それら提供または監視の期間にかかわらず評価されなければならない。
 
具体例8:
米国で設立されたスタートアップ企業が、EU域内において事業活動または事業所がなく、観光客のための都市マッピングアプリケーションを提供している。
アプリケーションは訪問した都市でアプリケーションを使用し始めると、アプリケーションを使用している顧客(データ主体)の場所に関する個人データを処理し、訪問先、レストラン、バー、ホテルの場所のターゲット広告を提供する。このアプリケーションは、ニューヨーク、サンフランシスコ、トロント、ロンドン、パリ、ローマを訪れる旅行者に利用可能である。
米国のスタートアップは、都市マッピングアプリケーションを通じて、EU(特にロンドン、パリ、ローマ)の個人にサービスを提供している。EUに所在するデータ主体の個人データの処理は、第3条第2項に基づきGDPRの範囲内に含まれる。
 
EDPBはまた、加盟国だけで個人の個人データを処理するという事実だけでは、EU域内に事業所がない管理者または処理者の処理活動にGDPRを適用するのに十分ではないことを強調したい。EU内の個人をターゲットとすることは、商品やサービスを提供したり、行動を監視したりすること(以下にさらに明確にする)の両方で、常に存在しなければならない。
 
具体例9: 米国市民が休暇中にヨーロッパを旅行している。 ヨーロッパにいる間、彼は米国企業が提供するニュースアプリをダウンロードして使用する。 このアプリは独占的に米国市場向けである。米国企業によるアプリ経由の米国観光客の個人情報の収集には、GDPRは適用されない。
 
さらに、第三国で行われるEU市民または居住者の個人データの処理は、EU域内の個人に向けられた特定の商品やサービスの提供や、EU域内での行動の監視に関連する処理ではない限り、GDPRは適用されないことに留意すべきである。
 
具体例10:台湾の銀行には、台湾に住んでいるがドイツの市民権を有している顧客がいる。この銀行の業務は台湾でのみ行われている。その活動はEU市場に向けられていない。ドイツの顧客の個人データの銀行による処理は、GDPRの対象ではない。
 
具体例11: カナダ入国管理局は、ビザ申請を検討する目的でカナダ領土に入る際、EU市民の個人データを処理する。この処理にはGDPRは適用されない。
 
  • 考察2a:データ主体の支払いが必要かどうかに関係なく、EU域内のデータ主体に商品またはサービスを提供すること
第3条第2項の適用がなされる第1の活動は、「商品またはサービスの提供」であり、EU法および判例法によってさらに言及されており、ターゲティング基準を適用する際に考慮されるべきである。サービスの提供には、指令(EU)2015/1535の第1条(1)(b)において「情報社会サービス、すなわち報酬、遠隔地、電子的手段、およびサービスの受領者の個々の要請のために通常提供されるあらゆるサービス」と定義されている情報社会サービスの提供も含まれる。
第3条第2項(a)は、データ主体による支払いが必要かどうかにかかわらず、商品またはサービスの提供に関するターゲティング基準が適用されることを規定している。EU域内に事業所がない管理者または処理者の活動が、商品やサービスの提供とみなされるかどうかは、提供される商品やサービスと引き換えに支払が行われるかどうかに依らない[22]
第3条第2項(a)の基準を満たすことができるかどうかを判断する際に評価されるもう1つの重要な要素は、商品またはサービスの提供がEU域内の個人に向けられているか、すなわち、管理者または処理者の一部は、EU域内に所在するするデータ主体に商品またはサービスを提供する意思を有しているかということである。実際にGDPRの前文23項は、「管理者または処理者がEU域内のデータ主体に商品またはサービスを提供しているかどうかを判断するために、管理者または処理者が、EU域内の1つ以上の加盟国のデータ主体にサービスを提供することを想定していることが明らかであるかどうかを確認すべきである」と規定している。
この前文ではさらに、「EU域内の管理者、処理者または仲介業者のウェブサイト、電子メールアドレスまたはその他の連絡先情報に容易にアクセスできること、または管理者が設置されている第三国で一般的に使用されている言語の使用していることだけでは、そのような意図を確認するには不十分であるが。他方、1つ以上の加盟国で一般的に使用される言語または通貨を使用して、その言語で商品やサービスを注文する可能性、またはEU域内にいる顧客またはユーザーの言及していることといった要因は、EU域内のデータ主体に商品やサービスを提供することを管理者が想定していることを明らかにするかもしれない」と規定している。
第3条第2項が適用される活動に「関連する」処理活動も、GDPRの地理的適用範囲に該当する。EDPBは、処理活動と商品またはサービスの提供との間に関連がある必要があると考えているが、直接的および間接的な関係は関連して考慮されるべきである。
前文23項に掲載されている要素は、管轄に関する規則第44/2001号に基づくCJEUの判例法、ならびに民事・商事の執行、特に第15条(1)(c)に沿ったものである。
裁判所は、Pammer v Reederei KarlSchlüterGmbH&CoおよびHotel Alpenhof v Heller(併合されたC-585/08およびC-144/09[23])において、規則44/2001号(ブリュッセルⅠ)第15条(1)(c)における「活動を指示していること」が何を意味するのかを明確にするよう求められたの(1)(c)。
裁判所は、ブリュッセルIの第15条(1)(c)において、商人が消費者の住居の加盟国にその活動を 「指示している」とみなすことができるかどうかを判断するためには、商人はそのような消費者との商業関係を確立する意思を明らかにしていなければならない、と判旨している。この文脈において、裁判所は、商人が加盟国に所在する消費者と取引を行うことを想定していることを証明する証拠を検討した。
「活動を指示していること」という概念は 「商品やサービスの提供」とは異なるが、EDPBはEUにおけるデータ主体に商品やサービスが提供されているかどうかを検討する際に、このPammer v Reederei KarlSchlüterGmbH&CoとHotel Alpenhof v Hellerの判例法(併合された事件、C-585/08 C-144/09)が役立つものであると考えている。
この場合の具体的な事実を考慮に入れると、とりわけ次の要因が考慮される可能性がある。
 
  • EUまたは少なくとも1つの加盟国が、提供された商品またはサービスに関して、明示されていること。
  • データ管理者または処理者は、EU域内の消費者によるサイトへのアクセスを容易にするために、インターネット参照サービスの検索エンジン事業者に支払いを行う。または管理者または処理者が、EU加盟国の顧客に向けられたマーケティングおよび広告キャンペーンを開始する。
  • 特定の観光活動など、活動自体の国際的な性質。
  • EU加盟国所在の顧客のための専用の住所やEU加盟国から掛けられる電話番号が記載されていること。
  • 管理者または処理者が設立されている第三国以外のトップレベルのドメイン名(例:".de")、または".eu"などの中立トップレベルドメイン名を使用していること。
  • 1つ以上のEU加盟国からサービスが提供される場所への旅行案内の説明。
  • 様々なEU加盟国に所在する顧客からなる国際的な顧客について言及していること。特に、当該顧客によって記載された口座の提示によって言及していること。
  • 商人の所在国で一般的に使用されている以外の言語または通貨、特に1つ以上のEU加盟国の言語または通貨の使用していること。
  • データ管理者が、EU加盟国における商品の送付サービスを提供すること。
 
既に述べたように、上記に列挙した要素のいくつかは、単独で採用された場合、EUのデータ主体に商品やサービスを提供するデータ管理者の意図を明確に示すものではない。しかしながら、データ管理者の商業活動に関連する要素の組み合わせが合わせて、EU域内のデータ主体向けの商品またはサービスの提供とみなされるかどうかを判断するためには、これらの要素は具体的な検討において考慮すべきである。
しかしながら、前文23項が、EU域内の管理者、処理者または仲介業者のウェブサイトへの単なるアクセス可能性、電子メールまたは地理的住所のウェブサイト上の言及、または国際コードのない電話番号といった要素自体だけでは、EU域内に所在するデータ主体に商品またはサービスを提供する管理者または処理者の意思を示すものとはいえない、ものと確認していることに留意することは重要である。
 
具体例12:
トルコで拠点を置き、管理しているウェブサイトは、個人化された家族写真アルバムの作成、編集、印刷、出荷サービスを提供している。このウェブサイトは英語、フランス語、オランダ語、ドイツ語で利用でき、支払いはユーロまたはスターリングで行うことができる。このウェブサイトによれば、写真アルバムは英国、フランス、ベネルクス諸国、ドイツの郵便でしか送達されないとされている。
この場合、個人化された家族フォトアルバムの作成、編集、印刷がEU法の意味でのサービスとなることは明らかである。ウェブサイトがEUの4つの言語で利用可能であり、フォトアルバムが6つのEU加盟国で郵送で送付可能であるという事実は、トルコのウェブサイトにおいて、EUの個人にサービスを提供する意向があることを示している。
したがって、トルコのウェブサイトがデータ管理者として行った処理は、EU域内のデータ主体へのサービスの提供に関連しており、したがって第3条第2項により、GDPRの義務と規定の対象となることは明らかである。
 
具体例13:
モナコに拠点を置く非公開会社は、給与支払の目的で従業員の個人データを処理する。 会社の従業員の多くはフランス人とイタリア人である。
この場合、会社が行う処理はフランスとイタリアのデータ主体に関連するが、商品やサービスの提供の文脈では行われていない。第三国企業による給与支払いを含む人事管理は、 第3条第2項の意味でのサービス提供とはみなされない。対象となる処理は、EU域内におけるデータ主体への商品やサービスの提供(行動の監視)にも関連せず、結果としてGDPR第3条の規定の適用を受けない。
この評価は、関係する第三国の適用法に抵触するものではない。
 
具体例14:
チューリッヒのスイス大学は、出願者が履歴書とカバーレターを連絡先の詳細とともにアップロードできるオンラインプラットフォームを提供することにより、修士号取得プロセスを開始している。 選考プロセスは、十分なレベルのドイツ語と英語を持ち、学士号を保持している学生が対象となっている。大学は、特にEU大学の学生に広告を出すのではなく、スイスの通貨のみで支払いを行う。
この修士号の申請および選考プロセスにおいて、EU域内の学生のための区別や仕様がないため、スイスの大学が特定のEU加盟国からの学生を対象とする意思を持っているということは証明できない。
ドイツ人と英語の十分なレベルは、スイスの居住者、連合国の人、第三国の学生のいずれの申請者にも適用される一般的な要件である。EU加盟国における学生をターゲットとすることを示す他の要素がないため、この処理自体がEU域内のデータ主体への教育サービスの提供に関連していることを証明することはできないため、この処理はGDPRの規定の適用を受けない。
また、スイス大学では国際関係のサマーコースを提供している。コースの受講者数を最大化にするため、ドイツとオーストリアの大学でこの出願の具体的な広告をしている。この場合、EU域内のデータ主体に対してサービスを提供するスイス大学からの明確な意図があり、GDPRは関連する処理活動に適用されることになる。
 
c)考察2b:データ主体の行動の監視
第3条第2項が適用される第2の種類の処理活動は、その処理活動がEU域内で行われるデータ主体の行動の監視である。
前文24項は、EU域内に設立されていない管理者または処理者によるEU域内のデータ主体の個人データの処理は、そのデータ主体の行動の監視に関連している場合には、GDPRの対象となると明確にしている。
GDPRが適用されることになる第3条第2項(b)に関しては、監視される行動は、まず、EU域内のデータ主体に関連しなければならず、かつ、監視される行動はEU域内で行われなければならない。
行動の監視と考えることができる処理活動の性質に関して、前文24項は、「処理活動がデータ主体の行動を監視することに該当するか否かを判断するためには、自然人をプロファイリングすることからなる、 個人データ処理技術(特に個人に関する決定を下すために、あるいは個人の個人的な嗜好、行動および態度を分析または予測するために使用することができるもの)の潜在的なその後の使用を含む自然人がインターネット上で追跡されているかどうかを確認すべきである。」と規定している。
第3条第2項(a)の規定とは対照的に、第3条第2項(b)、前文24項のいずれも、監視活動がGDPRの処理活動に該当するか否かを決定するために、データ管理者または処理者側で必要な程度の「(EU域内のデータ主体を)ターゲットとする意図」を必要とするものではない。データを処理するための管理者の目的、特に後続のデータを含む行動分析またはプロファイリング技術を考慮する必要がある。EDPBは、処理がデータ主体の行動の監視を含むかどうかを判断するために、プロファイリング技術の潜在的な使用を含むインターネット上の自然人の追跡が重要な考慮事項であることを示す前文24項の規定を考慮する。
したがって、データ管理者または処理者がEU域内にいるデータ主体の行動を監視する第3条第2項(b)の適用は、特に以下を含む幅広い監視活動を包含する可能性がある。:
 
  • 行動広告
  • 地理的ローカリゼーション活動、特にマーケティング目的
  • クッキーや指紋などのその他の追跡技術を使用したオンライン追跡
  • パーソナライズされたダイエットおよびヘルス分析サービスオンライン
  • 防犯カメラ
  • 個々のプロファイルに基づく市場調査およびその他の行動研究
  • 個人の健康状態のモニタリングまたは定期的な報告
 
具体例15:
米国に設立されたマーケティング会社が、Wi-Fiトラッキングを通じて収集された顧客の動向を分析して、フランスのショッピングセンターに小売レイアウトに関するアドバイスを提供する。
Wi-Fiトラッキングによるセンター内の顧客の動きの分析は、個人の行動を監視することになる。この場合、データ主体の行動は、ショッピングセンターがフランスにあるため、EU域内で行われる。したがって、データ管理者であるマーケティング会社は、このデータを第3条第2項(b)の通りに処理するという点で、GDPRの対象となる。
第27条に従って、データ管理者はEU域内に代理人を指定しなければならない。
 
例16:
EU域内に事業所がないカナダにおいて設立されたアプリ開発者は、EU域内のデータ主体の行動を監視しているため、第3条第2項(b)によりGDPRの対象となる。 開発者は、米国で設立された処理者を使用して、アプリの最適化と保守の目的で使用している。
 
この処理に関連して、カナダの管理者は適切な処理者のみを使用し、GDPRに基づく義務が第28条に従って米国の処理者との関係を規定する契約または法的行為に確実に反映される義務を負う。
 
3  国際公法によりEU加盟国の国内法が適用される場所の管理者による個人データの処理
第3条第3項は、 「本規則は、EU 域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。」と規定している。
大使館と領事館の定義と地位は、それぞれ、国際法であるに1961年の外交関係に関するウィーン条約と1963年の領事関係に関するウィーン条約定められている。
EDPBは、GDPRが第2条に定義されているGDPRの実体的適用範囲内にある限り、EU加盟国の大使館および領事館によって実施される個人データ処理にGDPRが適用されると考える。
加盟国の大使館または領事館は、データ管理者または処理者として、データ主体の権利、管理者と処理者に関する一般的な義務、第三国または国際機関への個人データの移転を含むGDPRの関連するすべての条項に従う。
 
具体例17:
ジャマイカのキングストンにあるオランダ領事館は、現地スタッフを募集するためのオンライン申請プロセスを開き、その管理事務を支援する。
オランダ領事館はジャマイカのキングストンには設立されていないが、EU加盟国の法律が公の国際法によって適用されるEUの領事館であるという事実は、第3条第3項に基づき、GDPRをその個人データの処理にGDPRが適用されることになる。
 
具体例18:
国際水域を旅しているドイツのクルーズ船は、クルーズ内のエンターテインメントの提供を目的に、乗客のデータを処理している。
船はEU域外の国際水域に位置しているが、そのクルーズ船がドイツに登録されたクルーズ船であるという事実は、公的国際法により、第3条(3)に基づき、GDPRが個人データの処理に適用される。
 
4  EU域内に設立されていない管理者または処理者の代理人
第3条第2項に基づきGDPRの対象となるデータ管理者または処理者は、EU域内において代理人を指名する義務を負う。EU域内に設立されていないが、GDPRに従わずにEU域内の代理人を指定していない管理者または処理者は、規制に違反している。
この条項は、指令95/46 / EC(EUデータ保護指令)において同様の義務を課されていたもので、全く新しいものではない。EUデータ保護指令の下で、本規定は、個人データの処理の目的で、自動化されたまたはその他の方法で、EU加盟国域内に置かれた機器を使用した、EU域内に設置されていない管理者に関するものであった。GDPRは、第27条第2項の免責基準を満たさない限り、第3条(2)の要件に該当する管理者または処理者に対して、EU域内の代理人を指名する義務を課す。本規定の適用を容易にするために、EDPBは、第27条に従い、EU域内における代理人の指定手続、設置義務および責任に関するさらなるガイダンスを提供する必要があると考える。
GDPR第27条に従い、EU域内に代理人を指定したEU域内に設置されていない管理者または処理者は、第3条第1項の範囲内にはないことに留意することは重要である。EU域内の代理人、第3条第1項に基づき管理者または処理者の事業所を構成しない。
 
a) 代理人の指名
前文80項は、「代理人は、本規則に基づく義務に関して、代理人または代理人が代理して行動するための書面による命令によって明示的に指名されるべきである。代理人の指定は、この規則に基づく管理者または処理者の義務や責任に影響を与えない。代理人は、この規則の遵守を確実にするために取られた措置に関して、管轄監督当局と協力することを含み、管理者または処理者から受領した命令に従って作業を実行すべきである。
前文80項で言及された書面による指名は、EUの代理人とEU域外で設立されたデータ管理者または処理者との間の関係および義務を規律するものであって、管理者または処理者の義務や責任には影響しない。EUの代理人は、GDPRに基づくそれぞれの義務に関して、EU域内に設立された自然人または法人で、EU域外で設立されたデータ管理者または処理者を代理することができる。
実際には、連合における代表者の役割は、個人または組織と締結されたコンサルタント契約に基づいて行使することができ、したがって、法律事務所、コンサルタント、 民間企業などがこれになるいことができる。ただし、そのような団体はEU域内に設立されなければならない。 一人の代理人は、複数の非EU管理者と処理者に代わって行動することもできる。
代理人の役割が法人または他の種類の組織によって行われる場合、代理人と当該代理人の責任者として1人の個人を指名することが推奨される。一般に、これらの点をサービス契約において明記することも有効である。
EDP​​Bは、EU域内の代理人の機能を、EUにおいて設置される外部のデータ保護責任者(「DPO」)の役割と互換性があるものとは考えられない。第38条第3項は、DPOが組織内で十分な程度の自主性をもって業務を遂行できるようにするための基本的な保証事項について定めている。特に、管理者または処理者は、DPOが「自分の仕事の行使に関する指示を受けていない」ことを確認する必要があります。前文97項は、DPOが「管理者の従業員であるかどうかに関わらず、独立した方法で任務を実行できる立場にある」[24]と規定している。データ保護責任者(DPO)の十分な自治性と独立性のためのこの要件は、管理者または処理者の命令の対象となり、その代理として、すなわちその直接の指示の下で行動するEU域内の代理人の役割と互換性がないものである[25]。さらに、この解釈を補完するために、EDPBは、29条委員会が強調していた「利益相反が生じる可能性は、たとえば、外部のDPOが、データ保護の問題を伴う場合に裁判所の前に管理者または処理者を代理するよう求められた場合にも生じる。」という考え方を思い起こす。EDPBは、執行手続の場合における義務と利益の衝突の可能性を考慮して、EU域内のデータ管理者の代理人の役割を、その同じデータ管理者のデータ処理者(データ保護責任者(DPO))の役割と互換性があるものと考えない。
GDPRは、代理人の指定について監督当局に通知するデータ管理者または代理人自身への義務があるとは規定していないが、EDPBは、第13条第1項aおよび第14条第1項aに従って、 その情報義務のうち、管理者は、データ主体に対して、EU域内の代理人の本人特定事項に関する情報を提供しなければならない。この情報は、例えば、データ収集の際にデータ主体に提供されるプライバシーノーティスまたは事前情報に含まれなければならない。EU域内に事業所がないものの第3条第2項に該当する管理者は、代理人の本人特定事項をデータ主体に知らせなかい場合には、GDPRの透明性原則に違反する。このような情報は、協力要請のための連絡体制を容易にするために、監督当局に容易にアクセス可能にすべきである。
 
具体例19:
トルコに拠点を置いて管理されている具体例12に記載のウェブサイトは、個人用の仕様にされたファミリーフォトアルバムの作成、編集、印刷、出荷サービスを提供している。このウェブサイトは英語、フランス語、オランダ語、ドイツ語で利用でき、支払いはユーロまたはスターリングで行うことができる。このウェブサイトによれば、写真アルバムは英国、フランス、ベネルクス諸国、ドイツにのみ郵送されるとされている。
このウェブサイトは第3条第2項 (a)に基づき、GDPRの対象となり、データ管理者はEU域内に代理人を指定しなければならない。代理人は、提供されているサービスが利用可能な加盟国(この場合は英国、フランス、ベルギー、オランダ、ルクセンブルグまたはドイツ)のいずれかに設置されなければならない。データ管理者の氏名と連絡先の詳細は、フォトアルバムを作成してサービスの利用を開始すると、データ主体にオンラインで提供される情報の一部でなければならない。また、ウェブサイトの一般的なプライバシーに関する通知に記載する必要がある。
 
b)代理人指定の義務の例外[26]
第27条第2項は、第3条第2項の適用により、EU域内の代理人をEU域外に設置された管理者または代理人に指定する義務について規定する一方、第27条第2項は、以下の2つの異なるケースにおいて、EUにおける代理人の強制指定の例外について規定している。
 
  • 第9条第1項で規定されているような特別な種類のデータの処理や、第10条にいう有罪判決や犯罪に関する個人データの大規模な処理を含んでいない場合、そのような処理は 「そのような処理は、処理の性質、文脈、範囲および目的を考慮して、自然人の権利と自由に危険をもたらす可能性は低い。」と規定している。GDPRは、「大規模な処理」とは何か規定していないが、29条委員会は、データ保護責任者(DPO)に関するWP24のガイドラインにおいて、特に、処理が大規模なもので実行されるかどうかを判断する際に、 「関係するデータ主体の数が特定の数または関連する人口の一定割合であるか否か」、「処理されるデータの量および/または異なるデータ項目の範囲」、「データ処理活動の持続時間または永続性」、「処理活動の地理的適用範囲」を考慮するものとされている。
  • 処理が公的機関や公的組織により行われる場合
 
c)個人データが処理されるデータ主体が、加盟国のいずれかに設立されていること
第27条第3項は、「代理人は、その個人データがその商品や役務の提供に関して処理されているか、行動が監視されている加盟国のいずれかに設立されるものとする」と規定している。 個人データが処理されるデータ主体のかなりの割合が特定のEU加盟国に所在する場合、EDPBは、その代理人が同じ加盟国に設置されることを推奨する。しかしながら、代理人が設置されていないもののサービスや商品が提供され、行動が監視されているEU加盟国のデータ主体が、代理人は容易にアクセス可能でなければならない。
EDPBは、EU域内の代理人の設置基準が、個人データが処理されているデータ主体の所在によることを確認する。処理の場所は、たとえ処理者が他の加盟国に設立されている場合であっても、代理人の設置場所を決定するための基準とはならない。
 
具体例20:
EU域内に事業所がないものの第3条第2項によりGDPRの対象となるインドの製薬会社が、ベルギー、ルクセンブルグ、オランダの研究者(病院)が実施した臨床試験について金銭的支援をしている。ベルギー、ルクセンブルグ、オランダの研究者(病院)が実施した臨床試験を後援します。臨床試験に参加している患者の大部分はベルギーに所在する。
インドの製薬会社は、データ管理者として、データ被験者としての患者が臨床試験に参加している3つのEU加盟国(ベルギー、ルクセンブルクまたはオランダ)の1つに設置されているEU域内の代理人を指定しなければならない。ほとんどの患者はベルギーの住民であるため、代理人はベルギーに設立されることが推奨される。この場合、ベルギーにおいて設置された代理人、オランダとルクセンブルクのデータ主体および監督当局に容易にアクセス可能でなければならない。
この特定のケースでは、EU域内の代理人は、治験に関する規則(EU)536/2014の第74条に基づき、EUにおけるスポンサーの法定代理人となることができる。ただし、当該代理人が3つの加盟国のいずれかに設置され、GDPRに基づく代理人と治験に関する規則に基づく法定代理人の両機能がそれぞれの法律を遵守して行使されることを前提とする。
 
d)代理人の義務と責任
EU域内の代理人は、GDPRに基づく管理者または処理者の義務に関して、代理する管理者または処理者に代わって行動する。これは、特にデータ主体の権利の行使に関連する義務を意味し、これに関して、既に述べたように、代理人の本人特定事項と連絡先の詳細は、第13条および第14条に従ってデータ主体に提供されなければならない。法定代理人は、データ主体の権利を遵守する責任を負わないが、データ主体の権利の行使を効率化するために、データ主体と代理人または代理人との間のコミュニケーションを促進しなければならない。
管理者または処理者の代理人は、第30条に基づき、特に、管理者または処理者の責任において処理活動の記録を保持しなければならない。EDPBは、この記録の保持は(管理者と代理人の)共同の義務であり、EU域内に設立されていない管理者または処理者は、記録が保持され、代理人によって利用可能となるように、すべての正確かつ最新の情報を代理人に提供しなければならないと考えている。
前文80項によって明らかにされているように、代理人は、GDPRの遵守を確実にするために取られた措置に関して管轄監督当局と協力することを含み、管理者または処理者から受領した委任に従って作業を実行すべきである。実際には、これは、監督当局が、EU域外において設立された管理者または処理者の遵守義務に関連する事項に関連して代理人に連絡することを意味する。代理人は、情報を要求する監督当局とEU域外において設立された管理者または処理者との間の情報交換または手続の交換を容易にしなければならない。
したがって、EU域内の代理人は、必要に応じてチームの助けを借りて、データ主体と効率的にコミュニケーションし、関係する監督当局と協力する立場になければならない。これは、このコミュニケーションが、監督当局および関係するデータ主体によって使用される一つまたは複数の言語で行われなければならないことを意味する。したがって、データ主体と監督当局EU域内に設置されていない管理者または処理者と簡単に連絡をとることができるように、代理人を利用することは不可欠である。
EU域内の代理人の指定は、前文80項と第27条第5項に規定するとおり、GDPRの下での管理者または処理者の責任と義務に影響を及ぼすものではなく、管理者または処理者に対して開始することができる法的措置を伴うものではない。
しかしながら、GDPR第3条第2項に該当する管理者または処理者に対するGDPRの実施を確実にする目的で、代理人の概念が導入されたことに留意すべきである。この目的のために、執行者が管理者または処理者と同じように代理人に対して執行措置を開始できるようにすることが意図されている。これには、行政上の罰金と罰則を課することや、代理人が責任を負う可能性も含まれている。
 
欧州データ保護委員会の議長(アンドレア ジェリンク)
議長
 
(アンドレア ジェリンク)

[1] 個人データの処理と関連する自然人の保護に関する、および、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016 年4 月27 日の規則(EU) 2016/679(一般データ保護規則)
[2]個人データの処理およびその自由な移転に関する、欧州議会及び理事会の1995年10月24日の指令95/46/EC
[3]2010年2月16日に採択された「管理者」および「処理者」の概念に関する2010年1号意見書(29条委員会第169号)
[4]「主たる事業所」の定義は、主にGDPR第56条に基づく関係監督当局の能力を決定する目的に関連する。管理者または処理者の主任監督当局を特定するための29条委員会のガイドライン(16 / EN WP 244)を参照のこと。
[5]GDPR前文22項:「EU域内の管理者または処理者の事業所の活動に関する文脈における個人データの処理は、処理自体がEU域内で行われるかどうかにかかわらず、この規則に従って行われなければならない。事業所とは、安定した体制による活動の効果的かつ実践的な行使を意味する。そのような仕組みの法的形式は、支店や法的人格を持つ子会社を問わず、その点で決定的な要素ではない。」
[6]特に、Google Spain SL, Google Inc. 対AEPD、Mario Costeja González (C-131/12),、Weltimmo 対NAIH (C- 230/14), Verein für Konsumenteninformation 対Amazon EU (C-191/15)およびWirtschaftsakademie Schleswig- Holstein (C-210/16)を参照のこと。
[7]Weltimmo判決第31項参照。
[8]Weltimmo判決第29項参照。
[9]Weltimmo判決第31項参照。
[10]2016年7月28日のCJEU判決のVerein für Konsumenteninformation 対Amazon EU Sarl, C事件191/15第76項(「Verein für Konsumenteninformation事件」)
[11]特に、Weltimmo判決の第29項を参照のこと。同判決においては、「設立」の概念の柔軟な定義を強調し、「他の加盟国における仕組みの安定性と活動の効果的な行使は、経済活動の特定の性質および関連するサービスの提供に照らして解釈されなければならない。」と判旨している。
[12]Weltimmo判決第25項およびGoogle Spain判決第53項
[13]2015年12月16日の 29条委員会第179号の更新 -CJEUのGoogle Spain判決を踏まえた適用法に関する意見書(2010年第8号)の更新
[14]CJEUのGoogle Spain判決C事件131/12号
[15] 2015年12月16日の 29条委員会第179号の更新 -CJEUのGoogle Spain判決を踏まえた適用法に関する意見書(2010年第8号)の更新
[16] これは例えば、販売事業所または他の事務所を有する外国の事業者にとっては、たとえその事業所が実際のデータ処理において何の役割も有していないとしても、潜在的に問題となる可能性がある。
[17] 第28条に従い、EDPBは、管理者に代わって処理者による処理活動は、EUまたはEU加盟国の法律に基づく文脈に関する処理者に拘束力のある契約またはその他の法的行為によって支配されることを念頭におき、管理者は、処理がGDPRの要件を満たし、データ主体の権利の保護を確実にするような方法で適切な措置を実施するのに十分な保証を提供する処理者のみを使用するものとする。
[18]この文脈における処理サービスの提供は、EU域内におけるデータ主体へのサービスの提供と考えることはできない。
[19]2010年2月16日に採択された「管理者」および「処理者」の概念に関する2010年1号意見書(29条委員会第169号)
[20]2016年12月13日に採択された管理者または処理者の主監督機関を特定するためのガイドライン(29条委員会第244号)
[21] 欧州連合基本権憲章第8条第1項「すべての人は、彼または彼女に関する個人情報の保護の権利を有する」。
[22]特に、CJEU判決1988年4月26日のBond van Adverteerders and Others対The Netherlands State(C-352/85)の第16項および 1993年のCJEU判決(C-109/92)のWirth Racc. I-6447第15項を参照のこと。
[23]2008年6月17日の欧州議会および理事会の規則(EC)593/2008号の「契約上の義務に適用される法律」(ローマI)第6条において、法の選択がない場合には、消費者の居住国への「活動を誘導する」というこの基準は、契約に適用される法律として消費者の居宅国の法律を指定するために考慮される。
[24]データ保護オフィサー(DPO)に関する29条委員会のガイドライン(29条委員会第243 号・第一改訂版)
[25]EU域内の代理人も兼任する外部のDPOは、例えば、自らがデータ主体に対してGDPRの規定に準拠していないと判断し、反対した管理者または処理者が取った決定または措置を通知するよう指示されるという状況に陥る可能性がある。
[26] 29条委員会ガイドライン第243号(データ保護責任者)に定める基準および解釈の一部は、指定義務に対する免除の判断のために用いることができる。