個人情報保護委員会はこのほど、欧州データ保護会議(EDPB)が2023年2月に採択したガイドライン「Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR Version 2.0」の仮日本語訳を公表しました。このガイドラインは、EU一般データ保護規則(GDPR)について実践的なガイダンスを提供するもので、第3条(地理的適用範囲)と第5章(第三国または国際機関への個人データの移転)を踏まえてどのようなケースに第5章の要件が適用されるのかを解説しています。
GDPRでは欧州経済領域(EEA)で取得した個人データをEEA域外へ「移転」することを原則禁止しています(十分性認定や標準契約条項=SCC=、拘束的企業規則=BCR=などの要件を満たす場合は許容されます)。一方、GDPRは「移転」について法的な定義を規定していません。ガイドラインは「移転」の解釈を明確にするのに役立ちます。
ガイドラインではまず、ある基準が満たされる場合、「移転」が存在し、GDPRの第5章が適用されるとしました。基準とは大まかにいうと、データを送る側がGDPRの適用対象であり、データの受け渡しがあり、データを受け取る側はEEA域外であることです。なお、第5章は個人データがEEA域外に移転された後も継続的な保護を確保することを目的としています。
次に、12の事例を挙げて第5章が適用されるか否かを解説しています。具体的には、第三国の管理者が域内のデータ主体より直接的にデータを収集する場合(域外の組織がEEAに住む個人から直接個人データを収集する)▽第三国の管理者が域内のデータ主体より直接的にデータを収集しかつ一部の取扱活動のために域外の処理者を使用する場合(データ処理する組織が域外)▽域内の管理者の従業員が出張で第三国に渡航する場合▽域内の子会社(管理者)が第三国のその親会社(処理者)とデータを共有する場合――などのケースが示されています。
