第26条は「共同管理者」です。
「管理者」の定義については下のページで説明しておりましたが、ここでは共同管理者(Joint controller)の内容となります。
また、管理者・処理者・共同管理者の概念と、臨床試験やヘルスケアアプリにおけるそれらの考え方については、こちらでも説明していますので、ご参考にしてください。
個人情報保護法には「共同利用」という考え方があり、「共同管理者」と近いニュアンスと感じられるかもしれませんが、全く異なる考え方のものとなります。
それでは、第26条「共同管理者」について見ていきましょう。
第26条:共同管理者
1. 二者以上の管理者が共同して取扱いの目的及び方法を決定する場合、それらの者は、共同管理者となる。管理者らが服すべきそれぞれの管理者の責任がEU法又は加盟国の国内法によって定められていない場合、その範囲内において、管理者は、本規則に基づく義務、とりわけ、データ主体の権利の行使に関する義務、並びに、第13条及び第14条に規定する情報を提供すべき管理者それぞれの義務を遵守するための管理者それぞれの責任について、管理者の間での合意により、透明性のある態様で定める。その合意においては、データ主体のための連絡先を指定できる。
2者以上が共同して個人データの取扱いの目的と方法を決定する場合は、その2者以上のものは全員が共同管理者という位置づけになります。
2者以上の管理者らが従わなければならない「管理者の義務」がEU法または加盟国法に定められていない場合は、管理者らの間で「管理者の義務」について取り決めなければなりません。
特に以下についてにの取り決めについて、管理者間の間の合意により、透明性のある形で定めることとされています。
・データ主体の権利の行使に関する義務
・第13条および第14条で規定しているデータ主体に対する情報提供の義務
この取り決めには、データ主体からの連絡先も含めることができます。
2. 第1項に規定する合意は、共同管理者各自とデータ主体とのそれぞれの間における役割及び関係を適正に反映するものとする。その合意の要点は、データ主体に利用可能なものとされる。
共同管理者間における義務・役割の規定の合意をもとに、データ主体との関係における義務・役割を担っていることになります。
その共同管理者間の合意の要旨にデータ主体はアクセスできるものとされています。
3. 第1項に規定する合意に定める条件にかかわらず、データ主体は、個々の管理者との関係において、及び、個々の管理者に対して、本規則に基づく自己の権利を行使できる。
共同管理者間での合意の内容に関わらず、データ主体は個々の管理者に対して自己の権利を行使できることとされています。
以上、第26条の「共同利用」でした。
