家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

GDPRの概要

インターネット ガイドライン セキュリティ

General Data Protection Regulation
制定機関:欧州議会および欧州理事会
制定年月日:2016年4月27日(2018年5月25日より施行)

参考
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN

日本語訳

https://www.jipdec.or.jp/archives/publications/J0005075

 

概要
2018年5月25日よりEU域内の個人データ保護を規定する法として、GDPR(General Data Protection Regulation)が施行されました。GDPRは、1995年から適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わるものです。
GDPRでは、欧州経済領域内(EEA:European Economic Area)に住む人の「個人データ」について、「処理」「移転」を規制しています。

「個人データ」とは
「個人データ」はEEA内に在籍する個人に関する情報と定義されます。

  • 名前
  • 位置データ
  • メールアドレス
  • クレジットカード情報
  • IPアドレス
  • 身体、精神、文化、経済に関する要素 等

「処理」とは
「処理」とは、「個人データ」に対して行われるすべての操作と定義されます。

  • メールアドレスの収集
  • クレジットカードの情報保管
  • 連絡先情報の変更
  • 業務評価の閲覧
  • 名前等の個人情報を一覧で管理する 等

「移転」とは
「移転」とは第三者に個人データを閲覧可能にするための行為と定義されます。

  • 個人データを含んだ文書を郵便またはメールで送付
  • 従業員情報をEEA域外の拠点で閲覧

GDPRの章立て

第 1 章 総則1
第 1 条 対象事項と目的
第 2 条 実体的範囲
第 3 条 地理的範囲
第 4 条 定義

第 2 章 諸原則
第 5 条 個人データの取扱いに関する原則
第 6 条 適法な取扱い
第 7 条 同意の条件
第 8 条 情報社会サービスに関する子どもの同意に対して適用される条件
第 9 条 特別な種類の個人データの取扱い
第 10 条 有罪判決及び犯罪に係る個人データの取扱い
第 11 条 識別を要求しない取扱い

第 3 章 データ主体の権利
第 1 節 透明性及び手続
第 12 条 データ主体の権利行使のための透明性のある情報、通知及び手続
第 2 節 情報及び個人データへのアクセス
第 13 条 データ主体から個人データを収集する場合に提供される情報
第 14 条 データ主体から個人データを取得しない場合に提供される情報
第 15 条 データ主体のアクセス権
第 3 節 訂正及び消去
第 16 条 訂正の権利
第 17 条 消去の権利(忘れられる権利)
第 18 条 取扱い制限の権利
第 19 条 個人データの訂正若しくは消去又は取扱いの制限に関する通知義務
第 20 条 データポータビリティーの権利
第 4 節 異議を唱える権利及び個人に対する自動化された意思決定
第 21 条 異議を唱える権利
第 22 条 プロファイリングを含む自動化された個人意思決定
第 5 節 制限
第 23 条 制限

第 4 章 管理者及び取扱者
第 1 節 一般的義務
第 24 条 管理者の責任
第 25 条 データ保護バイデザイン及びデータ保護バイデフォルト
第 26 条 共同管理者
第 27 条 EU 域内に拠点のない管理者又は取扱者の代理人
第 28 条 取扱者
第 29 条 管理者又は取扱者の権限下での取扱い
第 30 条 取扱い活動の記録
第 31 条 監督機関との協力
第 2 節 個人データの保護
第 32 条 取扱いの保護
第 33 条 個人データ侵害の監督機関への通知
第 34 条 データ主体への個人データ侵害の通知
第 3 節 データ保護影響評価及び事前協議
第 35 条 データ保護影響評価
第 36 条 事前協議
第 4 節 データ保護オフィサー
第 37 条 データ保護オフィサーの指名
第 38 条 データ保護オフィサーの地位
第 39 条 データ保護オフィサーの業務
第 5 節 行動規範及び認証
第 40 条 行動規範
第 41 条 承認された行動規範の監視
第 42 条 認証
第 43 条 認証機関
第 5 章 第三国又は国際機関への個人データ移転
第 44 条 移転に関する一般原則
第 45 条 十分性決定に基づく移転
第 46 条 適切な保護措置に従った移転
第 47 条 拘束的企業準則
第 48 条 EU 法によって認められていない移転又は開示
第 49 条 特定の状況における例外
第 50 条 個人データ保護に関する国際協力

第 6 章 独立監督機関
第 1 節 独立的地位
第 51 条 監督機関
第 52 条 独立性
第 53 条 監督機関のメンバーに関する一般的条件
第 54 条 監督機関の設置規則
第 2 節 管轄、業務及び権限
第 55 条 管轄
第 56 条 主監督機関の管轄
第 57 条 業務
第 58 条 権限
第 59 条 活動報告

第 7 章 協力及び一貫性
第 1 節 協力
第 60 条 主監督機関とその他関係監督機関との協力
第 61 条 相互支援
第 62 条 監督機関の共同作業
第 2 節 一貫性
第 63 条 一貫性メカニズム
第 64 条 欧州データ保護会議の意見89
第 65 条 欧州データ保護会議による紛争解決
第 66 条 緊急手続
第 67 条 情報の交換
第 3 節 欧州データ保護会議
第 68 条 欧州データ保護会議
第 69 条 独立性
第 70 条 欧州データ保護会議の業務
第 71 条 報告
第 72 条 手続
第 73 条 議長
第 74 条 議長の業務
第 75 条 事務局
第 76 条 機密性

第 8 章 救済、法的責任及び制裁
第 77 条 監督機関への不服申立ての権利
第 78 条 監督機関に対する効果的な司法救済の権利
第 79 条 管理者又は取扱者に対する効果的な司法救済
第 80 条 データ主体の代理人
第 81 条 訴訟の一時停止
第 82 条 賠償請求権及び法的責任
第 83 条 制裁金の一般条件
第 84 条 罰則

第 9 章 特別な取扱い状況に関する条項
第 85 条 取扱いと表現及び情報の自由
第 86 条 取扱いと公式文書へのパブリックアクセス
第 87 条 取扱いと国民識別番号
第 88 条 職場における取扱い
第 89 条 公共の利益における保管目的、科学的若しくは歴史的研究の目的又は統計目的のための取扱いに関する保護措置及び例外
第 90 条 守秘義務
第 91 条 教会及び宗教組織の既存のデータ保護規則

第 10 章 委任行為及び実施行為
第 92 条 委任の行使
第 93 条 委員会の手続

第 11 章 最終条GDPR
第 95 条 欧州指令2002/58/ECとの関係
第 96 条 事前に締結されていた条約との関係
第 97 条 欧州委員会報告
第 98 条 データ保護に関するその他EU法の見直し
第 99 条 施行及び適用

GDPRで制裁を受けた事例 

www.secure-sketch.com