Loading…
Article 27 GDPR は、EU域内の人々に商品やサービスを提供する、またはEU域内の人々の行動を監視するEU域外の管理者および処理者に対し、当該データ主体が所在するEU加盟国のいずれかに設立された代理人を書面により指定することを義務付けています。代理人は、監督機関およびデータ主体に対する単一の連絡窓口となります。
適用除外は2つに限定されています。(1) 特別カテゴリーデータおよび犯罪歴データを含まない、随時的かつ低リスクの処理、(2) 公的機関および公的団体です。これらの適用除外を誤解することが、EU域外の事業者が犯す最も高くつく誤りです。
代理人を指定しないことは Article 83(4) のカテゴリー4違反にあたり、1,000万ユーロまたは全世界の年間売上高の2%のいずれか高い方を上限とする制裁金の対象となります。複数の監督機関(CNIL、ハンブルク州データ保護機関、スペインのAEPD)が2021年以降、これを積極的に執行してきました。
Article 27(1) GDPR は次のように規定しています。
「Article 3(2) が適用される場合、管理者または処理者は、域内における代理人を書面により指定しなければならない。」
この短い一文が、重大な運用上の義務を生み出します。Article 3(2)(域外適用範囲の条項)は、処理が次のいずれかに関係する場合に常に適用されます。(a) EU域内のデータ主体への商品またはサービスの提供、または (b) EU域内のデータ主体の行動の監視です。
したがって代理人は、EU域外の処理に構造的に付随する存在です。すなわち、域内のメールボックス、連絡窓口、そして説明責任の接点です。代理人は、お客様のEU域外の事業とEUの27の各国監督機関との間に位置します。
次の4つの条件をすべて満たす場合、代理人が必要です。
実務上、2つの明確化が重要です。
Article 27(2) は2つの限定的な適用除外を定めています。
(a) 随時的であり、(b) Article 9 の特別カテゴリーデータまたは Article 10 の犯罪歴データを大規模に含まず、かつ (c) 性質、状況、範囲、目的を考慮して自然人の権利および自由に対するリスクを生じさせるおそれが低い処理は、適用除外となります。
3つの条件すべてを満たす必要があります。EDPB ガイドライン 3/2018 は「随時的」について厳格であり、それは一回限りまたは散発的なものを意味し、通常の事業運営は決して含みません。継続的なトラッキング、反復的なアナリティクス、または継続中のデータフローはほとんど該当しません。
公的機関および公的団体は、代理人を指定する必要はありません。この適用除外が営利事業者に適用されることはまれですが、外国政府機関、中央銀行、国際機関には関連します。
Article 27(4) は代理人の役割を次のように定義しています。
「代理人は、本規則の遵守を確保する目的で、処理に関するすべての事項について、特に監督機関およびデータ主体から、管理者または処理者に加えて、もしくはこれに代わって、連絡を受けることを管理者または処理者から委任されるものとする。」
重要な点として、代理人はDPO の代替ではありません。両者の役割は異なる当事者が担うことができ、DPO の義務(Art. 37)は異なる基準によって発動されます。
Article 27(3) は、代理人が個人データを処理されるデータ主体が所在する加盟国のいずれかに設立されることを求めています。実務上は柔軟性があります。EUユーザーが複数の加盟国に分散している場合、お客様の事業形態に最も適した監督機関を有する加盟国を選択できます。
よく選ばれる選択肢:アイルランド(英語圏でテック業界に好意的)、ドイツ(調整すべき監督機関は多いが厳格)、オランダ(英語に堪能な規制当局)、フランス(CNIL は強力な執行で知られる)、スペイン(積極的に執行する AEPD)。
具体的な手順:
代理人の身元および連絡先は、データ主体に伝達されなければなりません(Article 13(1)(a) および 14(1)(a))。具体的には、代理人の氏名、住所、連絡先メールアドレスを次に記載することを意味します。
代理人を公表しないこと自体が透明性義務(Article 12)の違反であり、Article 83(4) に基づく下位区分の制裁金の対象となります。
Article 27(5) は明確です。代理人の指定は、管理者または処理者自身に対して提起されうる法的措置に影響を与えません。代理人は、管理者の基礎となる違反に対する責任を負いません。
ただし、代理人は自身の義務(記録の提供、監督機関への協力、連絡可能であること)に関連する執行措置の対象となる場合があります。委任された機能を果たさない代理人は、選任した管理者による委任停止、および代理人サービス市場における評判の毀損のリスクを負います。
代理人を指定しないことは Article 27 自体の違反であり、Article 83(4) GDPR に基づくカテゴリー4違反にあたります。適用される制裁金の上限は次のとおりです。
執行は2021年以降、着実に行われています。注目すべき事例には、米国を拠点とするアドテク企業に対する CNIL の措置、外国のアナリティクス提供者に対するハンブルクの調査、国際的な広告ネットワークに対する AEPD の認定などがあります。制裁金の唯一の根拠でない場合でも、代理人の不在はより広範なコンプライアンス上の欠陥を示すことが多く、罰則を加重させます。
UK GDPR Article 27 はEUの義務を反映していますが、英国内の個人をターゲットとするUK域外の管理者および処理者に適用されます。2021年1月1日以降、EU代理人とUK代理人は別個の役割であり、両方をターゲットとする場合は両方が必要です。
運用上のヒント:多くの事業者は、整合した法的ビークルを通じてEUとUKの両方の代理を提供する代理人プロバイダーを選任し、漏えい報告、ICO/EDPB との連絡、データ主体からの問い合わせについて手続きの重複を回避しています。
いいえ。代理人はEU/EEA域内に設立されていなければなりません。スイスは(FADP の同等性があるにもかかわらず)この目的においてはEEA域外です。アイスランド、リヒテンシュタイン、ノルウェーは該当します。
原則として、対象となる処理を開始する前です。実務上、監督機関は、EUデータ主体の実質的な処理を開始する前に選任が整っていることを必要と扱います。遡及的な選任は、過去の不遵守に対する抗弁にはなりません。
事業体が Article 37~39 の独立性および専門性の要件を満たす場合に限り可能です。ほとんどの専門代理人プロバイダーは、利益相反を避けるため、両者を別々のチームによる別々のサービスとして提供しています。
後任を指定し、公表している通知を速やかに更新しなければなりません。EUデータ主体の処理を継続している間に代理人の対応に空白が生じることは違反にあたります。
いいえ。1名の代理人がEU/EEA全体の処理をカバーします。代理人は1つの加盟国に設立されます。どの加盟国を選ぶかは、お客様のデータ主体が主にどこに所在しているかによって決まります。
それ自体では発動しません。CDN プロバイダーは自身の義務を負う処理者です。問われるのは、お客様の基礎となる事業活動がEUユーザーをターゲットまたは監視しているかどうかです。ほとんどの場合は該当します。
RegulatoryBridge は、EU全27加盟国にわたる Article 27 EU代理人およびUK代理人サービスを提供します。単一の連絡窓口、多言語サポート、透明性のある固定価格、すべての監督機関への完全対応。