GDPRのお勉強(第30条:取扱活動の記録)

GDPR
2022.10.02
この記事は約5分で読めます。

 第30条は「取扱活動の記録」に関する規定です。

 個人情報保護法では、個人データの第三者提供や受領に関する記録の保管に関する規定がありますが、GDPRでは、第三者提供・受領に限らず、全ての取扱いについて記録し、監督機関が求めた場合にはその記録を提示できるようにしなければならないことになっています。

第30条:取扱活動の記録

1. 個々の管理者、及び、該当する場合、管理者の代理人は、その責任において、取扱活動の記録を保管する。その記録は、以下の情報の全てを含める:

 管理者(その代理人を含む)は、以下の(a)~(g)に関する記録を保管しなければなりません。

(a) 管理者、及び、該当する場合、共同管理者、管理者の代理人並びにデータ保護オフィサーの名前及び連絡先;
(b) 取扱いの目的;
(c) データ主体の類型の記述及び個人データの種類の記述;
(d) 第三国又は国際機関内の取得者を含め、個人データが開示された、又は、開示される取得者の類型;
(e) 該当する場合、当該第三国若しくは国際機関の識別を含め、第三国又は国際機関に対する個人データの移転、及び、第49条第1項第2副項に規定する移転の場合、適正な保護措置を示す文書;
(f) 可能なときは、異なる種類毎のデータの削除のために予定されている期限;
(g) 可能なときは、第32条第1項に規定する技術的及び組織的安全管理措置の概要。

 簡単に書くと、以下のような内容です。

  1. 管理者(共同管理者、代理人などを含む)のDPOの名前・連絡先
  2. 取扱いの目的
  3. データ主体の類型とデータの種類に関する記述
  4. (域外を含めた)移転先に関する情報
  5. 域外への移転の場合、移転について適切な保護措置がなされていることを示す文書
  6. (可能であれば)データの削除時期(保存期間)
  7. (可能であれば)技術的・組織的安全管理措置の概要

2. 個々の処理者、及び、該当する場合、処理者の代理人は、管理者の代わりに行われる全ての種類の取扱いの記録を保管する。以下の事項を含める:

 処理者(その代理人を含む)は、管理者の代わりに実施される、以下の(a)~(d)を含む全ての取扱いの記録を保管しなければなりません。

(a) 処理者及び処理者が代わりに活動している個々の管理者の名前及び連絡先、並びに、該当する場合、管理者又は処理者の代理人及びデータ保護オフィサーの名前及び連絡先;
(b) 個々の管理者の代わりに行われる取扱いの種類;
(c) 該当する場合、当該第三国若しくは国際機関の識別を含め、第三国又は国際機関に対する個人データの移転、及び、第49条第1項第2副項に規定する移転の場合、適切な保護措置を示す文書;
(d) 可能なときは、第32条第1項に規定する技術的及び組織的安全管理措置の一般的な記述。

 簡単に書くと・・・

  • 処理者と、その処理に関する管理者(代理人の場合はその代理人)とDPOの名前・連絡先
  • 管理者に代わって実施している取扱いの内容
  • 域外への移転の場合、移転について適切な保護措置がなされていることを示す文書
  • (可能であれば)技術的・組織的安全管理措置の概要

3. 第1項及び第2項に規定する記録は、書面によるものとし、電子的方式も含むものとする。

 第1項および第2項に規定された記録は、電子的な形式でも良いので、書面による必要があります。

4. 管理者又は処理者、及び、該当する場合、管理者の又は処理者の代理人は、要請に応じて、監督機関がその記録を利用できるようにする。

 管理者または処理者(代理人の場合は代理人)は、監督機関から要請があれば、監督機関がその記録を利用できるようにしなければなりません。

5. 実施する取扱いがデータ主体の権利及び自由に対してリスクを発生させる可能性がある場合、その取扱いが一時的なものではない場合、又は、その取扱いが第9条第1項に規定する特別な種類のデータを含んでおり、若しくは、第10条に規定する有罪判決及び犯罪行為と関連するものである場合を除き、第1項及び第2項に規定する義務は、従業者の数が250名未満の企業又は組織に対しては、適用されない。

 従業員数が250名未満の企業・組織の場合で、かつ、以下の条件に一つも当てはまらない場合は、第1項および第2項の義務は免除されています。

  • データの取扱いによってデータ主体の権利および自由にリスクを発生させる可能性がある場合
  • 取扱いが一時的ではない場合(恒常的に取扱う場合)
  • 取扱うデータが第9条第1項で規定された「特別な種類の個人データ」を含んでいる場合
  • 取扱うデータが第10条で規定された「有罪判決及び犯罪行為と関連するもの」である場合

 ただ、現実的に考えると、たとえ小規模な企業・組織でも従業員数は2名以上いることが普通です。
 従業員の情報は恒常的に保存する必要があることから、この規定が適用されることはほぼ無いと言えると思います。

 なお、前文第82項では、管理者と処理者は、監督機関が監督業務を実施できるよう監督機関と協力することにも言及されています。

本規則の遵守を証明するために、管理者又は処理者は、その責任において、取扱活動の記録を保管しなければならない。個々の管理者及び処理者は、監督機関と協力し、かつ、その要求に基づき、監督機関がその取扱業務の監視の任を果たしうるようにするため、それらの記録を監督機関が利用できるようにすることを義務付けられる。

一般データ保護規則(GDPR)の前文第82項 個人情報保護委員会にる仮日本語訳

 以上、第30条の「取扱活動の記録」でした。

GDPRのお勉強:一覧
医療データや治験データなどの健康医療関連データの取り扱いに特に注意を払いながらGDPRを勉強していきます。
jibun-no.work
タイトルとURLをコピーしました