- 2024年 10月 21日
目次
1. EU代理人/UK代理人はどのような企業が選任しなければならないのか
1-1. 原則としてEU/UK所在の代理人を選任する義務が課される企業
1-2. プライバシーポリシーでの明示義務
1-3. EU代理人/UK代理人の選任義務があるにもかかわらず、選任しない場合の罰則
2. EU代理人/UK代理人は何をしなければならないのか
2-1. 30条処理記録の共有
2-2. データ主体/監督機関への対応
3. もしもEU代理人/UK代理人の選任を忘れてしまったら
3-1. EU代理人/UK代理人不選任に関する執行事例
3-2. EU代理人/UK代理人選任に関する欧州監督機関の今後の執行
4. まとめ
所属先の企業で、EUやUKに向けて製品やサービスを展開することになった場合、留意すべきリスクの1つとして、GDPR(EU一般データ保護規則)違反による高額な制裁金が頭に浮かぶのではないでしょうか。一方、実務においてGDPR対応として何をすればいいかがよくわからない、という方も多いと思います。 GDPR対応に関して重要な事項の1つがEU代理人(UKに対してはUK代理人)の選任です。本稿では、GDPR対策として、まず果たさなければならない重要な義務の1つである、EU代理人/UK代理人の選任について説明します。
1. EU代理人/UK代理人はどのような企業が選任しなければならないのか
EU代理人(EU Representative)とは、GDPRにより一定の域外企業に対してEU域内に設置することが求められる代理人のことです(GDPR27条)。UKにおいては、EUから離脱した後、GDPRとほぼ同じ内容のUK GDPRが定められており、UK GDPRにより一定の域外企業はUK代理人(UK Representative)を設置する義務を負います。以下、GDPR(EU代理人)にもとづいて説明しますがUK GDPR(UK代理人)に関しても同様の説明となります。
具体的に、EU代理人/UK代理人の選任義務を負う企業については次のとおりです。
1-1. 原則としてEU/UK所在の代理人を選任する義務が課される企業
GDPRにおいては、EUに拠点を有していなくても、以下のような一定の企業には、管理者または処理者のいずれもGDPRが域外適用されます(GDPR3条2項)。
①EU域内に物品またはサービスを提供している企業 ②EU域内の人々を監視(具体的には行動ターゲティング広告やロイヤリティ、位置追跡等)している企業 |
GDPRにおける管理者とは個人データの取扱いの目的および方法を決定する者をいいます(GDPR4条7項)。また、処理者とは、管理者の代わりに個人データを取扱う者をいいます(GDPR4条8項)。
そして、GDPR/UK GDPRの域外適用がある企業は、GDPRの適用される業務が一時的(通常の事業外)でない限り、原則としてEU/UK所在の代理人を選任する義務があります(GDPR27条)。
1-2. プライバシーポリシーでの明示義務
1-1で説明したとおり、EUに拠点を有しておらず、GDPRの域外適用がある企業は、原則としてEU代理人を設置する義務があります。そして、GDPRの域外適用のある管理者は、プライバシーポリシーにEU代理人を選任していることを明記する必要があります。
1-3. EU代理人/UK代理人の選任義務があるにもかかわらず、選任しない場合の罰則
GDPR/UK GDPRにおいて、EU代理人/UK代理人の選任義務があるにもかかわらず選任しない場合、罰則の対象となります(最大1,000万ユーロ、または世界全体売上の2%以下のいずれか大きい方の金額。GDPR83条4項)。
また日本企業において、GDPRに対応したプライバシーポリシーを掲示しているにもかかわらず、そこにEU代理人の記載がない場合は、例外的にEU代理人の選任が不要な場合(EUに拠点を有しているかまたは一時的な業務である場合)を除き、プライバシーポリシーへの記載漏れになります。上記の例外にあたらない場合、監督機関からEU代理人の選任義務違反が疑われることがあり得ます。
2. EU代理人/UK代理人は何をしなければならないのか
2-1. 30条処理記録の共有
EU代理人/UK代理人を置く管理者または処理者は、EU代理人に対して30条処理記録を共有しなければなりません。そして監督機関からの要請があった場合には当該30条処理記録を利用できるようにしなければなりません(GDPR30条)。
30条処理記録については、GDPR30条において、管理者・処理者は法に定めた内容を記載した取扱活動の記録をしなければならないとされています。
2-2. データ主体/監督機関への対応
データ主体または監督機関からの問い合わせに関し、EU代理人は速やかに対応しなければなりません。GDPR12条3項によると、データ主体からの権利行使に対して原則1ヶ月以内に管理者は応答しなければなりません。そしてEU代理人は管理者の代わりに応答する義務を負います(GDPR 27条4項)。また、GDPR31条により、EU代理人は監督機関の要求に応じて協力する義務を負います。
3. もしもEU代理人/UK代理人の選任を忘れてしまったら
3-1. EU代理人/UK代理人不選任に関する執行事例
2021年5月12日、オランダの監督機関が、人捜しサイトを運営するLocatefamily.comに対し、EU代理人の不選任(GDPR27条)を理由に、525,000ユーロ(当時約6,800万円)の罰金を科したと公表しました。
さらに、同監督機関は、Locatefamily.comに対し、EU代理人を選任しない間、2週間ごとに20,000ユーロかつ最大で120,000ユーロの罰金を科していましたが、結局同社から、EU代理人を選任した旨について監督機関への報告はありませんでした。よって最終的に645,000ユーロ(当時約8,300万円)の罰金がLocatefamily.comに科されました。
なお、このLocatefamily.comはカナダのwebホストを用いていたと推察されていますが、Locatefamily.comがどの国の主体に運営されていたかの確定的な証拠はなかったようです。つまり、オランダの監督機関は所在地不明であっても罰金による制裁を決定したということになります。
3-2. EU代理人/UK代理人選任に関する欧州監督機関の今後の執行
欧州委員会の2020年6月24日付け報告書 1 では、EU各加盟国の監督機関は、GDPRの域外適用がなされる第三国の企業に対して、代理人選任の観点も含めて効率的な執行を確保するとされています。また、域外企業であってもGDPRにもとづく責任から解放されない、という明確なメッセージを送るために、代理人選任にかかる執行はより活発に追求されなければならないとしています。
4. まとめ
日本企業がGDPRに対応するにあたっては、EU代理人/UK代理人の選任を忘れないよう気を付けなければなりません。GDPR/UK GDPRの域外適用がある企業は、原則EU/UK所在の代理人を選任する義務があります。そして、GDPR/UK GDPRの域外適用があり、EU代理人/UK代理人を選任した管理者は、その旨をプライバシーポリシーで明示する義務があります。
また近時、EU代理人/UK代理人を選任していないという理由で罰金が科された事例があります。GDPR/EU GDPRにおいて、EU代理人/UK代理人の選任義務があるにもかかわらず選任しない場合、最大1000万ユーロ、または世界全体売上の2%以下のいずれか大きい方の金額を支払う罰則の対象となります。
EU代理人/UK代理人はそれほど時間をかけずに選任が可能であり、またプライバシーポリシーの変更も1項目追加する程度で対応可能です。EU代理人/EU代理人の選任について疑問がありましたら、下記からお問合せください。