第三国およびGDPRへの個人データの転送

サービス

個人データの処理およびそのようなデータの自由な移動に関する個人の保護、および指令95/46 / ECの廃止に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679 2016年4月27日の(GDPR)(Journal of Laws of the EU L No. 119、p。1)は、管理者によって処理された個人データが第三国または国際機関に転送される場合、管理者に追加の制限と義務を規定しています。見た目とは逆に、個人データの転送は、多くの起業家によって実行されます。たとえば、個人データをクラウドのディスクに配置したり、サーバーが第三国にある電子メールアカウントを使用したりします。起業家、EEA外に個人データを転送するときに覚えておくべきことを確認してください!

個人データの合法的な転送に関する一般規則

第三国または国際機関への転送後に処理される、または処理される予定の個人データの転送は、管理者と処理者がGDPRで指定された条件を満たしたときに行われます。これには、第三者からのデータの転送の条件も含まれます。国または国際機関から別の第三国または別の国際機関へ。

GDPRに従い、個人データの合法的な転送は、次の3つのモードのいずれかで行われる場合があります。

  • 妥当性の決定に基づく転送(GDPRの第45条)、

  • 適切な保護措置の対象となる転送(GDPRの第46〜47条)、

  • 特別な状況で例外的に転送する(第49条GDPR)。

決定に基づく個人データの転送

個人データの第三国または国際機関への転送は、欧州委員会が、この第三国、領土、特定のセクター、またはその第三国または特定の国際組織の特定のセクターが適切なレベルの保護を保証していると判断した場合に発生する可能性があります。このような転送には、特別な承認は必要ありません。

欧州委員会は、保護のレベルが適切であるかどうかを評価する際に、特に、法の支配、人権と基本的自由の尊重、関連する法律とその施行、個人データの保護に関する規則などの要素を考慮に入れます。職業の行使に関する規則、今後の転送に関する規則を含むセキュリティ対策、他の第三国または他の国際組織へのデータ、効果的かつ強制力のあるデータ主体の権利の存在、効果的な行政および司法上の救済、および存在と効果的な運用1つ以上の独立した監督当局の。 重要!
データ転送を合法化する基本的な前提は、特定の領域で適切なレベルの個人データ保護を確保するという欧州委員会の決定です。

この評価に続いて、欧州委員会は国固有の(地域)決定を発行します。これにより、追加の条件を満たす必要なしに、特定のエリアに個人データを転送することができます。ただし、特定の国による要件への準拠が監視されていることを覚えておく必要があります。これには、決定の適用の廃止、修正、または一時停止が伴う場合があります。

これは、セーフハーバーのデータ保護規則に基づく米国の場合でした。シュレムス事件(C-362 / 14)における2015年10月5日の欧州連合司法裁判所(CJEU)の判決の後、これらの原則は個人データの転送の効果的な基礎ではなくなりました。現在、米国への個人データの転送は、EU-USプライバシーシールドに基づいて可能です。

2018年7月の時点で、適切なレベルの個人データ保護を確保する決定が、アンドラ、アルゼンチン、オーストラリア、ガーンジー島、イスラエル、ジャージー、カナダ、ニュージーランド、米国、スイス、マン島、およびフェロー諸島に発行されました。 。

セキュリティの対象となる個人データの提供

欧州委員会の決定がない場合、管理者または処理者は、適切な保護手段を提供し、データ主体の強制力のある権利と効果的な救済策が整っている場合にのみ、個人データを第三国または国際機関に転送できます。

GDPRに従って、適切な保護手段を次の方法で確保できます。

  • 公的機関または団体間の法的拘束力のある強制力のある手段、

  • 拘束力のある企業ルール(GDPRの第47条)、

  • 欧州委員会によって採択された標準的なデータ保護条項、

  • 監督当局によって採用され、欧州委員会によって承認された標準的なデータ保護条項、

  • 承認された行動規範と、データ主体の権利に関するものを含め、適切な保護手段を適用するための第三国の管理者または処理者の拘束力のある強制力のある義務。

  • 承認された認証メカニズムと、データ主体の権利に関するものを含め、適切な保護手段を適用するための第三国の管理者または処理者の拘束力のある強制力のある義務。

あるいは、監督当局の承認を得て、管理者または処理者と、第三国または国際機関の個人データの管理者、処理者、または受信者との間に契約条項を適用することにより、適切なレベルの保護を確保することができます。したがって、この場合、個人情報の転送について同意を得る必要があります。

特別な状況での個人データの例外的な転送

欧州委員会の決定がない場合、または上記の適切な保護手段がない場合(つまり、拘束力のある企業ルールを含む)、個人データの1回限りまたは複数回の転送第三国または国際機関は、次の条件でのみ開催できます。

  • データ主体はそれらに明示的に同意し、提案された転送が彼に伴う可能性のあるリスクについて知らされています。

  • 転送は、データ主体と管理者との間の契約の履行、またはデータ主体の要求に応じて行われる契約前の措置の実施のために必要です。

  • 管理者と別の自然人または法人との間でデータ主体の利益のために締結された契約の締結または履行のために、譲渡が必要です。

  • 公益の重要な理由のために譲渡が必要です。

  • クレームを確立、追跡、または保護するために転送が必要です。

  • データ主体が物理的または法的に同意を与えることができない場合、データ主体または他の人の重大な利益を保護するために転送が必要です。

  • 譲渡は、EU法または加盟国法に従い、一般市民の情報源として機能し、一般市民または正当な利益を示すことができるすべての人がアクセスできる登録簿から行われます。所与の場合において、そのようなアクセスの条件を満たす範囲で、連合法または加盟国の法律に定められています。

上記の例外のいずれにも当てはまらない場合、第三国または国際機関への移管は、次の場合にのみ行うことができます。

  • ハンドオーバーは繰り返し可能ではありません。

  • 限られた数のデータ主体にのみ適用されます。

  • 管理者が追求する重要な正当な利益のために必要であり、データ主体の利益、権利、および自由が無効になることはありません。

  • 管理者は、データ転送のすべての状況を評価し、この評価に基づいて、個人データの保護のための適切な保護手段を確保しました。

その後、管理者は監督当局に譲渡について通知する義務があります。標準的な情報の義務に加えて、彼はまた、転送について、そして彼が追求する重要で正当な利益についてデータ主体に通知する必要があります。