第46条は「適切な保護措置に従った移転」です。
第46条は、十分性認定がない場合で域外への移転を認める場合に求められる適切な保護措置について説明しています。
GDPRに関心のある方なら耳にしたことがあるだろう、標準契約条項(SCC:Standard Contractual Clause)や拘束的企業準則(BCR:Binding corporate rules)などの移転方法が出てきます(拘束的企業準則については第47条でも詳細に規定しています)。
第46条:適切な保護措置に従った移転
1. 第45条第3項による決定がない場合、管理者又は処理者は、その管理者又は処理者が適切な保護措置を提供しており、かつ、データ主体の執行可能な権利及びデータ主体のための効果的な司法救済が利用可能なことを条件としてのみ、第三国又は国際機関への個人データを移転することができる。
第45条第3項の十分性の決定がない場合でも、管理者または処理者は、適切な保護措置を提供し、かつ、データ主体の執行可能な権利およびデータ主体のための効果的な司法救済が利用可能なことを条件として、第三国または国際機関に個人データを移転することができます。
このことは前文第114項にも説明されています。
欧州委員会が第三国における十分な水準のデータ保護についていかなる決定もしない場合、いかなる場合においても、管理者及び処理者は、データ主体が引き続き基本的な権利及び保護措置を享受するようにするため、データ主体のデータが移転されてしまっても、EUにおけるデータ主体のデータの取扱いと関連する執行可能かつ実効的な権利をデータ主体に提供する解決策を、利用できるようにしなければならない。
一般データ保護規則(GDPR)の前文第114項 個人情報保護委員会にる仮日本語訳
2. 第1項で定める適切な保護措置は、監督機関から個別の承認を必要とせず、以下のいずれかによって講じることができる:
(a) 公的機関又は公的組織の間の法的拘束力及び執行力のある文書;
(b) 第47条に従う拘束的企業準則;
(c) 第93条第2項で定める審議手続に従って欧州委員会によって採択された標準データ保護条項;
(d) 監督機関によって採択され、かつ、第93条第2項で定める審議手続に従って欧州委員会によって承認された標準データ保護条項;
(e) データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第40条による承認された行動規範;又は、
(f) データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第42条による承認された認証方法。
第1項の「適切な保護措置」を(a)~(f)のいずれかの方法で講じれば、監督機関からの個別の承認を得る必要はありません。
(a) 公的機関又は公的組織の間の法的拘束力及び執行力のある文書;
(b) 第47条に従う拘束的企業準則;
(c) 第93条第2項で定める審議手続に従って欧州委員会によって採択された標準データ保護条項;
(d) 監督機関によって採択され、かつ、第93条第2項で定める審議手続に従って欧州委員会によって承認された標準データ保護条項;
(e) データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第40条による承認された行動規範;又は、
(f) データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第42条による承認された認証方法。
前文第108項の説明も分かりやすいので、以下に引用します。
十分性認定がない場合、管理者又は処理者は、データ主体のための適切な保護措置という方法によって、第三国内におけるデータ保護の欠落を補う措置を講じなければならない。そのような適切な保護措置は、拘束的企業準則、欧州委員会によって採択された標準データ保護条項、監督機関によって採択された標準データ保護条項、又は、監督機関によって承認された契約条項によって構成されうる。それらの保護措置は、データ主体の執行可能な権利を利用できること、並びに、実効的な行政救済又は司法救済を得るためのもの及び損害賠償を請求するためのものを含む実効的な司法救済を利用できることを含め、EU域内における取扱いにとって適切なデータ保護上の義務の遵守並びにデータ主体の権利及び自由を、EU域内又は第三国内において確保するものでなければならない。それらは、特に、個人データの取扱いと関連する一般的な基本原則、データ保護バイデザインの原則及びデータ保護バイデフォルトの原則の遵守と関連するものでなければならない。公的機関又は公的組織は、確認覚書のような行政文書の中に挿入されたデータ主体のための執行可能で実効的な権利を定める条項に基づく場合を含め、第三国又は国際機関内において対応する職責及び権能をもつ公的機関又は公的組織との間で移転を行うこともできる。保護措置が法的拘束力のない行政文書によって定められている場合、所轄監督機関による承認を受けなければならない。
一般データ保護規則(GDPR)の前文第108項 個人情報保護委員会にる仮日本語訳
3. 所轄監督機関から承認を受けることを条件として、第1項で定める保護措置は、特に、以下の方法によっても講じることができる:
(a) 管理者又は処理者と第三国又は国際機関内の管理者、処理者又は個人データの取得者との間の契約条項;又は、
(b) 公的機関又は公的組織の間の取決めの中に入れられる条項であって、執行可能かつ効果的なデータ主体の権利を含むもの。
所轄監督機関から承認を受けることを条件に、第1項で定める適切な保護措置として、(a)または(b)の方法によっても講じることができます。
(a) 管理者又は処理者と第三国又は国際機関内の管理者、処理者又は個人データの取得者との間の契約条項
(b) 執行可能かつ効果的なデータ主体の権利を含む、公的機関または公的組織の間の取決めの中に含められるべき条項
4. 監督機関は、本条第3項で定める場合において、第63条で定める一貫性メカニズムを適用する。
第3項の方法を取る場合には、監督機関は第63条の一貫性メカニズムを適用しなければなりません。
5. 指令95/46/ECの第26条第2項に基づく加盟国又は監督機関による承認は、その必要に応じて、監督機関によって改正され、差し替え、又は、廃止されるまで、その有効性が維持されなければならない。指令95/46/ECの第26条第4項に基づき欧州委員会によって採択された決定は、必要に応じて、本条第2項に従って採択される欧州委員会決定により改正され、差し替え、又は、廃止されるまでその有効性が維持されなければならない。
データ保護指令の時代に許可された承認に関する経過措置に関する条文です。
以上、第46条の「適切な保護措置に従った移転」でした。
