第27条は「EU域内に拠点のない管理者又は処理者の代理人」ということで、代理人についての条文となります。
なお、「代理人」の定義は第4条に記されていましたが、以下の通りです。
EU域内に拠点のある自然人又は法人であって、第27条に従い、管理者又は処理者から書面によって指名され、本規則に基づく管理者又は処理者のそれぞれの義務に関して管理者又は処理者を代理する者のことを意味する。
一般データ保護規則(GDPR)第4条(17)(個人情報保護委員会による仮日本語訳)
第27条:EU域内に拠点のない管理者又は処理者の代理人
1. 第3条第2項が適用される場合、管理者又は処理者は、書面により、EU域内における代理人を指定するものとする。
「第3条第2項が適用される場合」とは、簡単に言えば、「EU域内に拠点のない管理者または処理者が、EU域内のデータ主体に対して物品やサービスを提供したり、または行動を監視している場合」ということになります。
詳しくはこちらをご参照ください。
そのような場合、管理者または処理者は、書面にて、EU域内の代理人を指定しなければならないとされています。
2. 本条の第1項に定める義務は、以下には適用されない。
上記の第1項の規定、すなわち「EU域内のデータ主体に物品・サービス提供または監視をしていて、かつ、EU域内に拠点のない管理者・処理者は、EU域内に代理人を指定しなければならない」という義務は、以下の(a)または(b)に該当する場合には免除されます。
(a) 一時的なものであり、かつ、第9条第1項に規定する特別な種類のデータの取扱い又は第10条に規定する有罪判決及び犯罪行為と関連する個人データの取扱いを大量に含まず、かつ、その取扱いの性質、過程、範囲及び目的を考慮に入れた上で、自然人の権利及び自由に対するリスクが生ずる可能性が低い取扱い。又は、
以下の3つの条件を全て満たす場合、(a)に該当することになります。
- 処理が一時的
- 第9条第1項に規定する特別な種類のデータの取扱い、または第10条に規定する有罪判決および犯罪行為と関連する大量の個人データの取扱いをするものではない
- その性質、過程、範囲および目的を考慮に入れた上で、自然人の権利および自由に対するリスクが生じる可能性が低い取扱い
なお、医療データは「特別な種類のデータ」に該当するため、例えばEUにいる患者の治験(臨床試験)や安全性報告のデータ、臨床研究データ、リアルワールドデータ(RWD)などを日本から直接取扱う場合には、EU域内の代理人を指名しなければならないことになります。
(b) 公的機関又は公的組織。
その管理者または処理者が、公的機関または公的組織の場合。
3. 代理人は、データ主体に対する物品若しくはサービスの提供と関連してその個人データが取扱われるデータ主体、又は、その行動が監視されるデータ主体のいる加盟国中の1つに設けられる。
指名する代理人は、管理者または処理者が取扱っているEU域内のデータ主体がいる加盟国の中のいずれか1つに設ける必要があります。
4. 本規則の遵守を確保する目的のために、代理人は、取扱いと関連する全ての事項に関し、特に、監督機関及びデータ主体への対応のために、管理者又は処理者に加え、又は、それらの者の代わりとして、管理者又は処理者から委任を受ける。
代理人はGDPRが求める規制を遵守する上で必要となってくる監督機関やデータ主体への対応を、管理者・処理者と一緒に、または管理者・処理者から委任を受けて代理で実施することとなります。
5. 管理者又は処理者による代理人の指定は、管理者又は処理者自身を相手方として提起される訴訟行為を妨げない。
管理者または処理者が代理人を指定したからといって、管理者または処理者が訴訟の対象から免れるといったことはありません。
逆に言えば、代理人を指定していても、管理者または処理者を相手取って訴訟を起こすことが可能と言えます。
なお前文第80項によると、「管理者または処理者による違背行為が発生した場合には、指定された代理人は法執行の手続きに服さなければならない」とされており、代理人にも法的な責任が負わされていることが分かります。
(前略)そのような代理人の指定は、本規則に基づく管理者及び処理者の義務又は法的責任に影響を与えることはない。そのような代理人は、本規則の遵守を確保するために行われる全ての行為に関する職務権限をもつ監督機関との協力を含め、管理者又は処理者から受けた委任に従って、その職務を遂行しなければならない。指定された代理人は、管理者又は処理者による違背行為が発生した場合には、法執行の手続に服さなければならない。
一般データ保護規則(GDPR)の前文第80項
以上、第27条の「EU域内に拠点のない管理者又は処理者の代理人」でした。
