GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(27)-その他処理の適法性根拠(GDPR第6条1項(c)~(e))/特別カテゴリーの個人データの処理(GDPR第9条)

 

今回は、前回までに解説した(一般の個人データの)同意・正当利益・契約に関連した必要性以外の処理の適法性と、「特別カテゴリーの個人データ」の処理の原則禁止とその処理の適法性の根拠に関し解説します。

 

 

【目  次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: (一般の個人データの)同意・正当利益・契約に関連した必要性以外の処理の適法性の根拠とは?

Q2: 特別カテゴリーの個人データの処理禁止とは?

Q3: 特別カテゴリーの個人データを例外的に処理できる場合は?

Q4: 一般の個人データの処理の適法性の根拠と比べると?

Q5: 他に一般の個人データと異なる法的取り扱いは?

Q6: 犯罪歴等の扱いは?

 

 

Q1: (一般の個人データの)同意・正当利益・契約に関連した必要性以外の処理の適法性の根拠とは?

A1: 以下の通りです。

(a)管理者が負う法的義務を遵守するため処理が必要なこと(6(1)(c))

この法的義務は、EUまたはEU加盟国の法令に基づく義務に限られる(6(3), 前文45)。この法令には、処理目的その他が具体的に定められていなければならない(前文45)。

【具定例】税額計算のための従業員給与データの処理。

(b)データ主体または他の個人の命等に係る利益を守るため処理が必要なこと(6(1)(d))

この”vital interests”に関し、前文46では命(life)に係わるものが挙げられている。 具体例としては、データ主体に意識がなく(unconscious)その同意を得ることができないが、緊急医療(urgent medical care)を施すためにその氏名等の個人データを処理する場合が考えられる。[従って、例えば、新型コロナウィルスの防止のためという理由だけで個人データ(特別カテゴリーの個人データを含む)の処理が適法とされることはない。[1]]

・前文46には更に以下の旨が述べられている:データ主体の個人データを「他人」の命等に係る利益を根拠として処理すること[例えば、そのデータ主体の血液型の情報を、緊急に輸血が必要な「他人」の命を救うために取得することが考えられる]は、原則として、他の根拠[例:データ主体の同意]に基づき当該処理を行うことができない場合のみ可能とされる。

・次のような場合は、データ主体の命等に係る利益と次の(c)の公益に基づく適法性の根拠の双方が適法性の根拠となり得る。

– 処理が、感染症とその広がりの監視等、人道上(for humanitarian purposes)の理由で処理が必要な場合

– 自然災害・人為的災害(natural and man-made disasters)の場合

(c)処理が、公的機関の権限行使または管理者に与えられた公的任務遂行に必要なこと(6(1)(e))

但し、この権限行使等はEUまたはEU加盟国の法令に基づくものに限られる(6(3), 前文45)。この法令には、処理目的その他が具体的に定められていなければならない(前文45)。公的機関の権限行使上の処理の根拠は議会(legislator)において[すなわち法律により]定めれられるべきであり、「正当利益」を根拠として行うことはできない(前文47)。

 

Q2: 特別カテゴリーの個人データの処理禁止とは?

A2: 次の通りです。

その性質上個人の基本的権利・自由との関係において特にセンシティブな個人データは、その処理が基本的権利・自由に対する重大なリスクを生じさせる可能性があるから特に保護されなければならない(前文51)。

具体的には、以下のいずれかを示す(reveal)個人データは「特別カテゴリーの個人データ」(special categories of personal data) とされ、その処理は、原則として禁止される(9(1))。

【特別カテゴリーの個人データ】人種(racial origin)/民族的出自(ethnic origin)/政治的意見(political opinions)/宗教(religious belief)/思想上の信念(philosophical belief)/労働組合加入(trade union membership)/遺伝データ(genetic data)または生体データ(biometric data)で個人識別目的のもの(for the purpose of uniquely identifying a natural person)/個人識別のための生体データ(biometric data)/健康(health)/性生活(sex life)/性的傾向(sexual orientation)

[各「特別カテゴリーの個人データ」の具体的意味については本Q&A第11回Q2を参照]

[新型コロナウィルスに関連して扱われる個人データは健康に関する個人データとして「特別カテゴリーの個人データ」に該当する場合が多いと思われる。]

 

Q3: 特別カテゴリーの個人データを例外的に処理できる場合は?

A3: 一般の個人データに関する適法性根拠(6)よりも更に厳格で、以下のいずれかの場合に「限定」(列挙)されています(9(2))。

(注)太字部分は、一般企業でも通常業務において、特別カテゴリーの個人データの処理の適法性の根拠とすることができると思われるもの。(*)は新型コロナウィルスに関連し公的機関または一般企業が特別カテゴリーの個人データの処理の適法性の根拠とすることができると思われるもの。

(a) データ主体の「明白な(explicit)」同意がある場合(但し、加盟国は国内法で同意を根拠とすることを禁止できる[2])。(*)

[一般の個人データの場合の同意は「曖昧さのない(unambiguous)」同意よりも厳格。但し、同意の自由意思性等GDPR4条22項の「同意」のその他の要件は両者共通。-本Q&A第22回Q2参照。]

(b) EUまたは加盟国の法令上の、雇用、社会保障等(social security and social protection)に関する管理者等またはデータ主体の義務履行または権利行使に必要な場合。(*)

(c)データ主体による同意が物理的・法的にできない(physically or legally incapable of giving consent)[意識不明、幼児等]がデータ主体または他の者の命等に係る利益(vital interest)保護のため処理が必要な場合。(*)

(d)処理が、政治・思想・宗教団体 [政党・協会等] または労働組合の正当な活動上行われる場合

(e)明らかに(manifestly)データ主体自身が公表した個人データ [政治的意見の公表等] を処理する場合。 [他の者による公表は例外とならない]

(f) 処理が法的権利の立証・行使・防御(establishment, exercise or defence of legal claims)のため必要な場合。または、処理が、裁判所が司法権を行使(acting in their judicial capacity)する上で必要な場合。

(g) 処理がEUまたは加盟国の法令に基づく重要な公益のために必要な場合。(*)

(h) 処理が以下のいずれかの目的のために必要で職業上の守秘義務を負う専門家[例:医師・看護師]等により行われる場合。(*)

– 疾病予防・産業医学(preventive or occupational medicine)/労働者の職務遂行能力評価 [例:薬物検査]/疾病の診断、医療・社会保障(social care or treatment)/医療・社会保障の制度・サービスの管理

(i) 処理が、公衆衛生(public health)上の重大脅威への対応等の公益のために必要な場合。(*)

(j) 処理が、公益的アーカイブ目的、科学・歴史研究または統計のために必要であり、データ最小化・仮名化・匿名化等(89(1))を条件として行われる場合。

[なお、上記においては、詳細条件や、前文(51~55)に述べられていることは省略している。また、他のEUまたは加盟国の法令が言及されている部分については、それらの法令を確認する必要がある。]

 

Q4: 一般の個人データの処理の適法性の根拠と比べると?

A4: 上記Q3の反対解釈として、特別カテゴリーの個人データを、一般の個人データの処理の適法性の根拠として挙げられている、例えば、以下のような場合に処理することはできません。

(a) データ主体の単なる「曖昧さのない(unambiguous)」同意に基づく場合。

(b) 管理者とデータ主体の間の契約履行または契約締結前の手続に処理が必要な場合。

(c) 管理者または第三者が得ようとする正当利益のため処理が必要な場合。

 

Q5: 他に一般の個人データと異なる法的取り扱いは?

A5: 特別カテゴリーの個人データについては、上記の他、以下のような特別の扱いがなされています。

(a) 特別カテゴリーの個人データに基づく完全自動意思決定は、一般の個人データに基づく完全自動意思決定よりも厳しく制限される(22(4))(後の回で解説)。

(b) 以下に例示する事項の判断における一要素となる(後の回で解説)。

-EU域内の代理人の選任義務(27(1))

-記録義務の免除要件(30(5))

-データ保護影響評価義務(35)

-データ保護監督者(data protection officer: DPO)の選任義務 (37(1))

 

Q6: 犯罪歴等の扱いは?

A6: 有罪判決および犯罪に関する個人データは、特別カテゴリーの個人データには含まれておらず、その処理は、別途GDPR第10条で、次のいずれかの場合のみ行うことができると規定されています(10第一文)。一般企業が適法に扱える場面はあまりないと思われます。

(i)  処理が公的機関の管理下で行われる場合

(ii) 処理を行うことがEUもしくは加盟国の法令(*)上許される場合

(*) 具体的には、「法執行当局データ保護指令」(LEDP指令)(警察その他法執行当局が行う個人データの処理における個人の保護に関する指令)に基づく加盟国国内法等を意味する(前文19)。

有罪判決の包括的記録(comprehensive register)は公的機関の管理下で保管されなければならない(10第二文)。

 

Q7: 特別カテゴリーの個人データを適法に処理するための明白な」同意の取得方法は?

A7: 特別カテゴリーの個人データを処理するための根拠の一つであるデータ主体の「明白な(explicit)」同意の表明方法としては、「同意ガイドライン」[3]で次の例が示されています。

– 同意書への署名

– 電子フォームへのインプット

– 同意の旨の電子メール送信

– 同意書に署名しスキャンの上アップロード

– 電子署名(electronic signature)

– 同意の二段階検証(Two stage verification)

(第1段階)管理者からの電子メールでの同意要請に対し「同意する」旨返信

(第2段階)その後管理者からメール送信された同意再確認用リンクをクリック

 

 

今回は以上です。次回から、データ主体に対する情報提供(透明性)(GDPR第13条・第14条)の解説に入ります。

 

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー

 

【著者の最近の個人情報保護関連書籍】

​NEW!! Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

GDPR関連資格CIPP/E準拠 詳説GDPR  (上) – GDPRとCookie規制」 2019年11月

GDPR関連資格CIPP/E準拠 詳説GDPR  (下) – GDPRとCookie規制」 2019年11月

[4]

                                 

【注】

[1] 【新型コロナウィルスとGDPR上の個人データの処理】 EDPB(EUの個人データ保護監督機関の連合体)が次の声明を出している: EDPB “Statement on the processing of personal data in the context of the COVID-19 outbreak” 19 March 2020.

[2] 【特別カテゴリーの個人データの処理について加盟国国内法で同意を根拠とすることを禁止している例】 以下の参照資料によれば、スペインでは次のいずれかの特別カテゴリーの個人データの処理をデータ主体の同意に基づいて行うことを認めていない。:民族的出自/宗教上または思想上の信念/労働組合加入/性生活に関する個人データ。(参照資料)Penningtons Manches Cooper LLP “UNITED WITH DIFFERENCES: KEY GDPR DEROGATIONS ACROSS EUROPE” 26/03/2019.

[3] 【同意ガイドライン】 GDPR上の同意について、WP29(現在のEDPBの前身である監督機関の連合体)が2018年4月10日に採択した“Guidelines on Consent under Regulation”。PPC(日本の個人情報保護委員会)による和訳(英文併記). この後、EDPB自身が、2020年5月4日付けで“Guidelines 05/2020 on consent under Regulation 2016/679(Version 1.1)”したが、これは、主に以下の点を明確化したものである。① いわゆる「Cookie Wall」を使用してGDPR上の有効な同意を得ることはできないこと。②Webページを「スクロール」または「スワイプ」等するだけではGDPR上の有効な同意とならないこと。 (参考) (1)GTG Advocates – Terence Cassar, Bernice Saliba and Dr Sean Xerri de Caro “The European Data Protection Board adopts new Guidelines on Consent”. (2) Stevens & Bolton LLP – Beverley Flynn, Nick Schippers and Emily Hocken “EDPB updates guidelines on consent” June 24, 2020

 

[4]

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】

浅井 敏雄  (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP  (International Association of Privacy Professionals) 会員、CIPP/E  (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

関連記事

More from my site

to top