GDPRに基づくEU代理人(UK代理人)とは?対応が必要なケースを解説
EU域内やイギリスの顧客に向けてサービスを展開する日本企業は、GDPR(一般データ保護規則)への対応が必要です。
GDPRにおける重要な対応のうちの一つがEU代理人(UK代理人)の選任です。近時、EU代理人/UK代理人を選任していないという理由で罰金が科されたケースがあります。
この記事ではGDPRにおけるEU代理人(UK代理人)について、日本企業に求められる対応と罰則を合わせて解説します。
なお本記事は、欧州データ保護会議のガイドライン及びJIPDECが提供する日本語訳に準拠して執筆しております。
1. EU代理人(UK代理人)とは、役割と要件
GDPRに基づく代理人とは
GDPR第27条によると、ある一定のEU域外企業に対して、EU域内に設置することが求められる代理人(representative)のことをEU代理人と言います。一部例外はあるものの、GDPRが適用されるEU域外企業には一律に適用され、以下の対応が求められます。
【GDPR 27条が求める対応】
- EU(UK)所在の代理人を選任
- プライバシーポリシーに明示
イギリス(以下、UKと表記)に対しても、GDPRとほぼ同じ内容のUK-GDPRを根拠に、一定の域外企業はUK代理人を設置する義務を負います。したがって、UK-GDPR(UK代理人)に関しても、基本的に同様の扱い・対応という認識で問題ありません。以下ではGDPR(EU代理人)に表記を統一して解説します。
EU代理人の役割
EU代理人はデータ取扱いに関連するあらゆる問題について、特に監督機関やデータ主体と対話をするため、データ管理者や取扱者とともに(もしくはその代わりに)、データ管理者又は取扱者によって文書で権限を委任されている必要があります。
代理人はGDPR 30条に基づいてデータ処理記録を取り、データ主体の要求に応じてその記録を監督機関に提供します。
EU代理人の選任要件
欧州データ保護会議(EDPB)の ガイドライン 3/2018によると、EU加盟国いずれかに1人の代理人を指定すればよく、その代理人がすべての加盟国を担当することができるとしています。代理人の所在地にかかわらず、代理人はすべての加盟国のデータ対象者にアクセスすることが可能です。
したがって、データ主体の多くの割合が、あるEU加盟国を所在としている場合、その国に代理人を置くのが良いでしょう。
2. 適用される要件と適用除外になるケース
2-1. 代理人の任命が必要となるケース
EU域内に拠点を持たない企業で、以下のいずれかの場合、GDPR第27条に従ってEU域内の代理人を指定し、書面で明示する義務があります。
- EU域内の個人に商品やサービス(無償提供も含む)を提供している
- EU域内の個人の行動を監視している
例えば、以下のような場合は適用されると考えられます。
- EUの言語に対応したウェブサイトがある
- EUへの商品やサービスの配送に対応している
- ユーロでの支払いに対応している
- 運輸業や旅行業などの国際的な性質を持つ商品を取り扱う
- クッキーやデバイスフィンガープリントなどによりEU居住者を追跡している
- EUにおける臨床試験や市場調査を実施している(プロファイリング等含む)
- Webやスマホアプリを通じて、EU居住者の個人データを取得している
- EU居住者に行動ターゲティング広告や位置情報サービスを提供している
2-2. 適用外になるケース
GDPR第27条によると、以下の条件をすべて満たす場合、データ管理者または処理者は規則の対象外となります。
- 時折しか個人情報が取扱われず、体系的には行われない場合
- 特別な種類の個人情報または有罪判決及び犯罪と関連する個人情報の大規模な取扱いは含まれない場合
- データ処理によってもたらされるデータ主体の権利および自由へのリスクが低い場合
特に「時折しか個人情報が取り扱われない」という基準が厳しく、EU居住者の個人データを管理する事業者のほとんどの場合が、GDPRA第27条への対応(すなわち、EU代理人の選任)が必要となります。
以上がGDPR 27条に基づくEU代理人関連の要検討事項です。参考までに、GDPR 27条の条文を引用します。ご確認ください。
第 27 条 EU 域内に拠点のない管理者又は取扱者の代理人
第 3 条第 2 項が適用される場合、管理者又は取扱者は EU 域内の代理人(representative)を書面で明示しなければならない。
※第3条第2項
本規則は、EU 域内に拠点のない管理者又は取扱者による EU 在住のデータ主体の個人データの取扱いに適用される。ただし、取扱い活動が次に掲げる項目に関連しているものに限られる。
(a) EU 在住のデータ主体に対する商品又はサービスの提供に関する取扱い。この場合、データ主体に支払が要求されるか否かについては問わない。
(b) EU 域内で行われるデータ主体の行動の監視に関する取扱い。
当該義務は次に掲げるいずれかの場合には適用されない。
(a) 第 9 条第 1 項で定める特別な種類のデータの取扱い又は第 10 条で定める有罪判決及び犯罪に関する個人データの取扱いを大規模に含まず、取扱いの性質、文脈、範囲及び目的を考慮して自然人の権利又は自由に対するリスクが生じそうにない、散発的になされる取扱い。
(b) 公的機関又は団体。
代理人は、データ主体が居住し、当該データ主体への商品やサービスの提供に関連して当該データ主体の個人データが処理されるか、又は当該データ主体の行動が監視される加盟国の一つに拠点を持たなければならない。
代理人は、本規則遵守を確実にする目的のため、取扱いに関連するすべての問題について、管理者若しくは取扱者とともに又は代わりに、特に、監督機関及びデータ主体と対話をするため、管理者又は取扱者によって委任されなければならない。
管理者又は取扱者による代理人の任命は、管理者又は取扱者自身に対して取られる法的行為を妨げることはない。 引用:JIPDEC「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)」
3. 罰則
EU代理人を選任しなければならない義務があるにもかかわらず、対応がない場合には、以下のいずれか高い方の額の罰金が科せられる可能性があります。
罰金:最大1,000万ユーロ(約24億円)もしくは企業グループ年間売上高の2%
※実際に課されたケースがあります。
加えて、EU域内に所在を置く提携企業も、データ転送を停止せざるを得なくなる可能性があります。
EU代理人の連絡先情報は、プライバシーポリシーに明記する義務があるため、遵守していなかった場合は非常に目につきやすく、リスクが高いです。
しかし、EU代理人はさほど任命に手間はかからず、プライバシーポリシーの変更も1項目追加する程度です。EU代理人(UK代理人)に関連して疑問がございましたら、お気軽に弊社までご相談ください。
参考までに、罰則規定の条文を引用します。ご確認ください。
第 83 条 制裁金の一般条件
第4項 次に掲げる規定違反は、第 2 項に従って、最大 10 000 000 ユーロ、又は事業である場合、前会計年度の全世界年間売上高の 2%までの、どちらか高い方を制裁金として科すものとする。
(a) 第 8 条、第 11 条、第 25 条、第 26 条、第 27 条(EU代理人)、...(中略)による管理者及び取扱者の義務。
引用:JIPDEC「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)」
まとめ
この記事では、GDPRにおけるEU代理人(UK代理人)についてご紹介しました。
GDPR(UK-GDPR)の域外適用がある企業は、原則EU(UK)所在の代理人を選任した上で、プライバシーポリシーにて明示しなければなりません。
本メディアPriv Labでは、各種プライバシー関連法への対応やデータ活用に関する記事を配信しております。関心がある方は、ぜひ他の記事もチェックしてみてください。
GDPRで定められた事業者の義務は広範囲にわたります。自社のみでの対策が難しい場合には、ぜひ弊社のコンサルティングサービスのご活用もご検討ください。
>>Priv Techの「プライバシーコンサルティングサービス」はこちら
公開日:2022年12月14日