- 2024年 10月 29日
データ保護に関する一般規則(規則(EU)2016/679)(‘GDPR’)は、多額の罰金が科される可能性が あることや、データ漏洩に関するマスコミの取材の可能性が含まれていることから、ニュースに値 するように思われるが、すべての状況において明確であるとは限らなかった。 欧州データ保護会 議による GDPR の適用範囲に関するガイドライン 3/2018(第三条)(「ガイドライン」)は、2018 年 11 月に協議のために発行され、2019 年 11 月に改訂されて正式に採択されたものであり、企業に説 明を提供することを目的としている。DPR Group のマネージング・ディレクターである Tim Bell 氏 が、EU 代理人の任命に関する企業向けガイドラインの明確化と、この役割の責任と義務につい て議論している。
EU 域外に拠点を置く企業にとって、大きなニュースは常に域外への影響についてである。EU保護下にある個人データを処理する場合、データを処理する会社の一部分も EU 域内にない場合で あっても、EU は世界中のいかなる会社もその管轄下にあるとみなすという事実がある。本ガイド ラインは、EU 域内に設立されていない企業が GDPR の適用範囲に含まれるか否かに関する問 題を明確にする上で極めて有益である。すべてのケースに当てはまる万能のテストが存在しない ため、ある程度の不確実性は残ってしまう。したがって、各ケースはそれぞれの評価に基づいて 判断されるが、全体的な位置づけははるかに明確になる。
それでもやはり、EU 域外の企業の問題はあまり注目されていない。だがガイドラインで明確化さ れている問題は、GDPR 第 27 条に基づく EU 代理人の問題である。基本的には、EU 域内に拠点 を持たない企業は、データ管理者または処理者として行動するかどうかにかかわらず、EU 域内で 製品を販売したり EU 域内の人々を監視したりする場合 EU 代理人を任命する必要がある。例外 はあるが、原則として、EU にオフィスがなく、かつ EU の個人データを処理する場合は、EU 代理人が必要になる。第 1 版でのガイドラインには、EU 代理人の任命、運営、責任に関するいくつか の主要な原則を確立する上で非常に有益なことが書かれており、最終版では、残っていた空白部 分のいくつかについても追加されている。