第36条は「事前協議」です。
第36条:事前協議
1. そのリスクを軽減させるために管理者によって講じられる措置が存在しない状況下で、自然人の権利及び自由に対して高いリスクをもたらすおそれがあるということを第35条に基づくデータ保護影響評価が示している場合、管理者は、その取扱いを開始する前に、監督機関と協議しなければならない。
管理者によりリスクを軽減するための措置が講じられず、その取扱いが高いリスクをもたらすことが第35条に基づくデータ保護影響評価により示された場合、管理者は、取扱いを開始する前に監督機関と協議しなければなりません。
関連する説明が前文第94項にありますので、以下に引用します。
リスクを低減するための保護措置、安全管理措置及び仕組みを欠くときは、その取扱いが自然人の権利及び自由に対する高いリスクをもたらしうるということをデータ保護影響評価が示しており、かつ、利用可能な技術及びその実施費用の観点から合理的な手段によってはそのリスクを低減できないという意見をその管理者がもつ場合、監督機関は、取扱活動を開始する前に協議を受けるものとしなければならない。自然人の権利及び自由に対する被害又は妨害を現実に発生させうるような高度のリスクは、一定の種類の取扱い、取扱いの範囲及び頻度から生ずる可能性がある。監督機関は、所定の期間内に、協議の要求に対応しなければならない。ただし、当該期間内に監督機関から何らの応答もないことは、取扱業務を禁止する権限を含め、本規則に定める監督機関の職務及び権限に従った監督機関の介入を妨げない。その協議過程の一部として、監督機関に対し、問題となる取扱いに関して行われたデータ保護影響評価の結果、特に、自然人の権利及び自由に対するリスクを低減するために想定された措置に関する評価結果を提出しうる。
一般データ保護規則(GDPR)の前文第94項 個人情報保護委員会にる仮日本語訳
2. 第1項で定める予定されている取扱いが本規則に違反しうるとの見解を監督機関がもつときは、とりわけ、管理者がリスクの特定及び削減について不十分であるときは、その監督機関は、協議の要請を受理した時から8週間以内に、その管理者に対し、及び、該当する場合、処理者に対し、書面による助言を提供し、また、第58条に規定する権限中のいずれかを用いることもできる。この期限は、予定されている取扱いの複雑性を考慮に入れた上で、6週間まで延長できる。その監督機関は、その管理者に対し、及び、該当する場合は、処理者に対し、協議の要請を受領した時から1か月以内に、その遅延の理由を付して、そのような期限延長を通知するものとする。これらの期限は、監督機関が協議のために求めた情報を入手するまでの間、停止させることができる。
第1項で定めている協議に関して、意図されている取扱いが本規則に違反しうるとの見解を監督機関がもつ時、特に管理者によるリスクの特定および低減策が不十分である時は、監督機関は協議の要請を受領した時から8週間以内に管理者に対し(該当する場合は処理者に対しても)、書面による助言を提供するか、または第58条に規定する監督機関の権限を行使することができます。この期限は意図されている取扱いの複雑性を考慮に入れて、6週間まで延長できます。監督機関は管理者(該当する場合は処理者も)に対して、協議の要請を受領した時から1か月以内に、その遅延の理由をつけて期限延長を通知することとなっています。これらの期限は、監督機関が協議のために求めた情報を入手する間、停止することができます。
3. 第1項により監督機関と協議する場合、管理者は、監督機関に対し、以下の情報を提供しなければならない:
(a) 該当する場合、取扱いに関与する管理者、共同管理者及び処理者のそれぞれの責任。特に企業グループ内の取扱いに関連した責任;
(b) 予定されている取扱いの目的及び方法;
(c) 本規則によるデータ主体の権利及び自由を保護するために提供される措置及び保護措置;
(d) 該当する場合、データ保護オフィサーの詳細な連絡先;
(e) 第35条に定めるデータ保護影響評価;並びに、
(f) 監督機関から求められたその他の情報。
第1項により監督機関と協議する場合は、管理者は監督機関に対して、以下の(a)から(f)の情報を提供しなければなりません。
(a) 取扱いに関与する管理者、共同管理者及び処理者のそれぞれの責任。特に企業グループ内の取扱いに関連する責任(該当する場合)
(b) 予定されている取扱いの目的及び方法
(c) 本規則によるデータ主体の権利・自由を保護するために提供される措置及び保護措置
(d) データ保護オフィサー(DPO)の詳細な連絡先(該当する場合)
(e) 第35条に定めるデータ保護影響評価(DPIA)
(f) 監督機関が求めたその他の情報
4. 加盟国は、取扱いと関連して、国民議会によって採択される立法措置の提案を準備する間、又は、その立法措置に基づく法定の措置の提案を準備する間において、監督機関と協議するものとする。
加盟国は、立法措置、またはその立法措置に基づく規制措置を準備する間、取扱いに関して監督機関と協議しなければなりません。
参考までに、関連する前文を以下に引用します。
監督機関との協議は、予定されている取扱いの本規則への遵守を確保するため、及び、特に、データ主体のために内在するリスクを低減するため、個人データの取扱いを定める立法又は規制上の措置を準備する過程においても行われなければならない。
一般データ保護規則(GDPR)の前文第96項 個人情報保護委員会にる仮日本語訳
5. 第1項にかかわらず、加盟国の国内法は、社会保護及び公衆衛生と関連する取扱いを含め、公共の利益において管理者によって行われる職務の遂行のための管理者による取扱いに関し、監督機関と協議することを管理者に対して要求でき、また、監督機関から事前に承認を得ることを要求できる。
第1項にかかわらず、加盟国の国内法は、社会保護及び公衆衛生と関連する取扱いを含め、公共の利益において管理者によって行われる職務の遂行のための取扱いに関し、監督機関と協議することを管理者に対して要求でき、また、監督機関から事前に承認を得ることを要求できることになっています。
以上、第36条の「事前協議」でした。
