MENU

GDPRのデータ保護監督機関

 

監督機関(SA:Supervisory Authority)って何?

GDPRでは、監督機関は、プライバシーや個人情報保護の状況を監督する、独立した公的機関と定義されています。

 

GDPRの条文を見ていると、例えば以下のように、監督機関への通知が必要な要件があります。
・個人データの侵害が発生した場合、管理者は、不当な遅滞なしに、可能であれば、侵害に気が付いてから72 時間以内に個人データの侵害を管轄監督機関に通知しなければならない(第33条)
・データ保護オフィサー(DPO)の詳細な連絡先を公開し、監督機関に通知しなければならない。(第37条)

 

でも、監督機関って具体的にはどこのことなのか、わからない方、多いのではないでしょうか?日本にはなく、EU各国に設置されているようなんですが。。
ということで、早速調べてみました。

 

データ保護監督機関(DPAs:Data Protection Authorities)って何?

What are Data Protection Authorities (DPAs)?

 

DPAsは、捜査や是正措置を通してデータ保護法の適用を監督する独立した公的機関です。
データ保護機関とか、データ保護監督機関、当局とかと訳されています。

 

DPAsの一般的な呼び方がSA(監督機関)ですので、DPAsとSAは同じと考えていいかと思います。

 

監督機関(SA、DPA)はどこにあるの?

Find your National Data Protection Authority online.
http://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm

 

DPAは、各EU加盟国に設置されています。
上のサイトで、各国のDPAが確認できますよ。

 

主管監督機関(リード・オーソリティ)については、ガイドラインもでています。
“Guidelines for identifying a controller or processor’s lead supervisory authority” (2017/4/5に確定)
JETROによって和訳もされています。
https://www.jetro.go.jp/ext_images/_Reports/01/9a90f1003bc16515/20170095.pdf

 

GDPRの原文から、監督機関の記述の部分を引用します。

 

定義

第4 条 定義
Article 4 Definitions

 

(21) 「監督機関」とは、第51 条により加盟国によって設立された独立した公的機関をいう。
(21) 'supervisory authority' means an independent public authority which is established by a Member State pursuant to Article 51;
(22) 「関係監督機関」とは、次に掲げるいずれかの事由により、個人データの取扱いに関係する監督機関をいう。
(22) 'supervisory authority concerned' means a supervisory authority which is concerned by the processing of personal data because:
(a) 管理者又は取扱者が当該監督機関の加盟国の領域内に存在する。
(a) the controller or processor is established on the territory of the Member State of that supervisory
authority;
(b) 当該監督機関の加盟国に居住するデータ主体が、当該取扱いによって実質的に影響を受けているか、又は実質的に影響を受け得る。
(b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or
(c) 当該監督機関に苦情が申し立てられている。
(c) a complaint has been lodged with that supervisory authority;

 

データ主体の権利

第3 章 データ主体の権利
CHAPTER III RIGHTS OF THE DATA SUBJECT
第1 節 透明性及び手続
SECTION 1 TRANSPARENCY AND MODALITIES
第12 条 データ主体の権利行使のための透明性のある情報、通知及び手続
Article 12 Transparent information, communication and modalities for the exercise of the rights of the data subject
4. 管理者がデータ主体の要求への対応を拒む場合、管理者は、データ主体に、その拒否の理由、及び監督機関に不服申立て並びに法的救済を求めることができる旨を、遅滞なく、遅くとも1カ月以内に通知する。
4. If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.

 

第2 節 情報及び個人データへのアクセス
SECTION 2 INFORMATION AND ACCESS TO PERSONAL DATA
第13 条 データ主体から個人データを収集する場合に提供される情報
Article 13 Information to be provided where personal data are collected from the data subject
(d) 監督機関に不服を申し立てる権利。
(d) the right to lodge a complaint with a supervisory authority;

 

第14 条 データ主体から個人データを取得しない場合に提供される情報
Article 14 Information to be provided where personal data have not been obtained from the data subject
(e) 監督機関に不服を申し立てる権利。
(e) the right to lodge a complaint with a supervisory authority;

 

第15 条 データ主体のアクセス権
Article 15 Right of access by the data subject
(f) 監督機関に不服を申し立てる権利。
(f) the right to lodge a complaint with a supervisory authority;

 

第 4 章 管理者及び取扱者
CHAPTER IV CONTROLLER AND PROCESSOR

 

第27 条 EU 域内に拠点のない管理者又は取扱者の代理人
Article 27 Representatives of controllers or processors not established in the Union

 

4. 代理人は、本規則遵守を確実にする目的のため、取扱いに関連するすべての問題について、管理者若しくは取扱者とともに又は代わりに、特に、監督機関及びデータ主体と対話をするため、管理者又は取扱者によって委任されなければならない。
4. The representative shall be mandated by the controller or processor to be addressed in addition to or instead
of the controller or the processor by, in particular, supervisory authorities and data subjects, on all issues related to
processing, for the purposes of ensuring compliance with this Regulation.

 

第28 条 取扱者
Article 28 Processor
8. 監督機関は第63 条で定める一貫性メカニズムに従って本条第3 項及び第4 項で定める事柄に関して標準契約条項を採択することができる。
8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

 

第30 条 取扱い活動の記録
Article 30 Records of processing activities
4. 管理者又は取扱者及び、該当する場合、管理者又は取扱者の代理人は要求に応じて記録を監督機関が入手可能にしなければならない。
4. The controller or the processor and, where applicable, the controller's or the processor's representative, shall make the record available to the supervisory authority on request.

 

第31 条 監督機関との協力
Article 31 Cooperation with the supervisory authority
管理者及び取扱者並びに、該当する場合、それらの代理人は要求に応じて監督機関の業務遂行において監督機関と協力しなければならない。
The controller and the processor and, where applicable, their representatives, shall cooperate, on request, with the supervisory authority in the performance of its tasks.

 

データ侵害時

第33 条 個人データ侵害の監督機関への通知
Article 33 Notification of a personal data breach to the supervisory authority

 

1. 個人データの侵害が発生した場合、管理者は、不当な遅滞なしに、可能であれば、侵害に気が付いてから72 時間以内に、第55 条に従って個人データの侵害を管轄監督機関に通知しなければならない。ただし、個人データの侵害により自然人の権利又は自由に対するリスクが生じ得ない場合を除く。監督機関への通知が72 時間以内になされない場合には、遅滞に関する理由と共に通知されなければならない。
1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.

 

2. 取扱者は、個人データの侵害に気付いた後、不当な遅滞なしに管理者に通知しなければならない。
2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach.

 

5. 管理者は、個人データ侵害に関わる事実、その影響及び取られた救済手段を含め、あらゆる個人データ侵害を文書で残さなければならない。当該文書は監督機関が本条の遵守を確かめられるようにしなければならない。
5. The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article.

 

第34 条 データ主体への個人データ侵害の通知
Article 34 Communication of a personal data breach to the data subject

 

4. 管理者が個人データ侵害をデータ主体に未だ通知していない場合、監督機関は、高リスクを起こし得る個人データ侵害の可能性を考慮し、管理者に通知することを要求するか又は第3 項で定めるいずれかの条件に合致することを決定できる。
4. If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met.

 

データ保護影響評価

第3 節 データ保護影響評価及び事前協議
SECTION 3 DATA PROTECTION IMPACT ASSESSMENT AND PRIOR CONSULTATION
第35 条 データ保護影響評価
Article 35 Data protection impact assessment

 

4. 監督機関は、第1 項によるデータ保護影響評価に関する要件に服する取扱い作業の種類の一覧を発行し、公開しなければならない。監督機関は第68 条で定める欧州データ保護会議に当該一覧を通知しなければならない。
4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.
5. 監督機関はデータ保護影響評価が求められない取扱い作業の種類の一覧を発行し、公開することができる。監督機関は欧州データ保護会議に当該一覧を通知しなければならない。
5. The supervisory authority may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required. The supervisory authority shall communicate those lists to the Board.
6. 第4 項及び第5 項で定める一覧の採択前に、管轄監督機関は第63 条で定める一貫性メカニズムを適用させなければならない。ただし、当該一覧が複数の加盟国におけるデータ主体への商品若しくはサービスの提供、若しくはデータ主体の行動の監視に関わる取扱い活動を含むものであるか、又はEU 内の個人データの自由な移動に実質的に影響を与えかねない場合に限る。
6. Prior to the adoption of the lists referred to in paragraphs 4 and 5, the competent supervisory authority shall apply the consistency mechanism referred to in Article 63 where such lists involve processing activities which are related to the offering of goods or services to data subjects or to the monitoring of their behaviour in several Member States, or may substantially affect the free movement of personal data within the Union.

 

第36 条 事前協議
Article 36 Prior consultation
1. 管理者は、第35 条に基づくデータ保護影響評価が管理者によるリスクを軽減する対策の非存在下で取扱いが高リスクを生じさせ得るとことを示す場合、取扱いの前に監督機関と協議しなければならない
1. The controller shall consult the supervisory authority prior to processing where a data protection impact assessment under Article 35 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk.
2. 監督機関が第1 項で定める所期の取扱いが本規則に違反すると考える場合、特に管理者のリスクの識別又は軽減が不十分である場合、監督機関は、協議の要求を受領してから8 週間を上限
とした期間内に、管理者及び、該当する場合、取扱者に書面による助言を提供するものとし、第58 条で定めるあらゆる権限を用いることができる。当該期間は、所期の取扱いの複雑性を考慮し、6 週間まで延長することができる。監督機関は、延長の理由とともに、協議の要請を受け取ってから1 カ月以内に当該延長について、管理者及び、該当する場合、取扱者に通知しなければならない。当該期間は、監督機関が協議の目的のため監督機関が要請した情報を入手するまで停止することができる。
2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.
3. 第1 項による監督機関の協議において、管理者は次に掲げる情報を監督機関に提供しなければならない。
3. When consulting the supervisory authority pursuant to paragraph 1, the controller shall provide the supervisory authority with:

 

DPO

第4 節 データ保護オフィサー
SECTION 4 DATA PROTECTION OFFICER
第37 条 データ保護オフィサーの指名
Article 37 Designation of the data protection officer

 

7. 管理者又は取扱者はデータ保護オフィサーの詳細な連絡先を公開し、監督機関に通知しなければならない。
7. The controller or the processor shall publish the contact details of the data protection officer and
communicate them to the supervisory authority.

 

第39 条 データ保護オフィサーの業務
Article 39 Tasks of the data protection officer
(d) 監督機関との協働。
(d) to cooperate with the supervisory authority;
(e) 取扱いに関する問題について監督機関との問い合わせ先となること。第36 条で定める事前協議、適切な場合、その他事項に関連する協議を含む。
(e) to act as the contact point for the supervisory authority on issues relating to processing, including
the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other
matter.

 

第5 節 行動規範及び認証
SECTION 5 CODES OF CONDUCT AND CERTIFICATION
第40 条 行動規範
Article 40 Codes of conduct
1. 加盟国、監督機関、欧州データ保護会議及び欧州委員会は、様々なデータ取扱い分野の具体的特徴並びに零細及び中小事業の具体的要望を考慮し、本規則の適切な適用に寄与することを意図した行動規範の作成を推奨しなければならない。
1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

 

(i) 監督機関への個人データ侵害の通知、及びデータ主体への当該個人データ侵害の通知。
(i) the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects;

 

4. 本条第2 項で定める行動規範は、第55 条又は第56 条による管轄監督機関の業務及び権限を侵害することなく、第41 条第1 項で定める団体が、行動規範の適用を約束した管理者又は取扱者による行動規範の規定の遵守に関して、必須の監視を実行可能にする仕組みを含まなければならない。
4. A code of conduct referred to in paragraph 2 of this Article shall contain mechanisms which enable the body referred to in Article 41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of supervisory authorities competent pursuant to Article 55 or 56.

 

5. 行動規範の準備又は既存の規範を修正若しくは拡張を意図する本条第2 項で定める組織又は他の団体は、規範の草案、修正又は拡張案を第55 条による管轄監督機関に送付しなければならない。監督機関は、規範の草案、修正又は拡張案が本規則を遵守しているか否か意見を述べるものとし、十分で適切な保護措置を提供していると判断した場合、規範の草案、修正又は拡張案を承認しなければならない。
5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.
6. 規範の草案、修正又は拡張案が第5 項に従って承認され、関連する行動規範が複数の加盟国における取扱い活動に関わらない場合、監督機関は規範を登録及び発行するものとする。

 

6. Where the draft code, or amendment or extension is approved in accordance with paragraph 5, and where the code of conduct concerned does not relate to processing activities in several Member States, the supervisory authority shall register and publish the code.
7. 行動規範案が複数の加盟国における取扱い活動に関わる場合、第55 条による管轄監督機関は、規範の草案、修正又は拡張案を承認する前に、第63 条で定める手続きをもって、当該規範を、
欧州データ保護会議に送付しなければならず、当該会議は、規範の草案、修正又は拡張案が本規則を遵守しているか否か、又は第3 項で定める状況においては、適切な保護措置を提供しているか否か、意見を述べるものとする。
7. Where a draft code of conduct relates to processing activities in several Member States, the supervisory authority which is competent pursuant to Article 55 shall, before approving the draft code, amendment or extension, submit it in the procedure referred to in Article 63 to the Board which shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation or, in the situation referred to in paragraph 3, provides appropriate safeguards.

 

第41 条 承認された行動規範の監視
Article 41 Monitoring of approved codes of conduct
1. 第57 条及び第58 条に基づく管轄監督機関の業務及び権限を侵害することなく、第40 条による行動規範の遵守の監視は、規範の対象事項に関して適切なレベルの専門知識を有しており、当該目的に関して管轄監督機関によって認定された団体により、実施されてもよい。
1. Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, the monitoring of compliance with a code of conduct pursuant to Article 40 may be carried out by a body which has an appropriate level of expertise in relation to the subject-matter of the code and is accredited for that purpose by the competent supervisory authority.

 

第42 条 認証
Article 42 Certification
1. 加盟国、監督機関、欧州データ保護会議及び欧州委員会は、特にEU 規模において、管理者及び取扱者による取扱い作業に関する本規則の遵守を証明する目的で、データ保護認証メカニズ
ム、データ保護シール及びマークの確立を奨励するものとする。零細及び中小事業に特有の要望は考慮されなければならない。
1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

 

第43 条 認証機関
Article 43 Certification bodies
1. 第57 条及び第58 条に基づく管轄監督機関の業務及び権限を侵害することなく、データ保護に関して適切なレベルの専門知識を持つ認証機関は、必要な場合、第58 条第2 項(h)号による監督機関の権限の履行を許容するために監督機関に通知した後に、認証の発行及び更新をしなければならない。加盟国は当該認証機関が次に掲げるいずれか又は両方によって認定されていることを保証しなければならない。
1. Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, certification bodies which have an appropriate level of expertise in relation to data protection shall, after informing the supervisory authority in order to allow it to exercise its powers pursuant to point (h) of Article 58(2) where necessary, issue and renew certification. Member States shall ensure that those certification bodies are accredited by one or both of the following:

 

第 5 章 第三国又は国際機関への個人データ移転
CHAPTER V TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS

 

第46 条 適切な保護措置に従った移転
Article 46 Transfers subject to appropriate safeguards

 

2. 第1 項で定める適切な保護措置は、監督機関からの特定の認可を必要とせず、次に掲げるものによって講じられてもよい。
2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

 

(d) 監督機関によって採択され、第93 条第2 項で定める審査手続により欧州委員会によって承認された標準データ保護条項。
(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

 

3. 管轄監督機関からの認可に服する場合、第1 項で定める適切な保護措置は、特に次に掲げるものによって講じることができる。
3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:
(a) 管理者又は取扱者と第三国若しくは国際機関における管理者、取扱者又は個人データの取得者間の契約条項。又は、
(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or
(b) 公的機関又は団体間の行政上の取決めに挿入された執行力がありかつ効果的なデータ主体の権利を含む規定。
(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

 

4. 監督機関は、本条第3 項で定める場合において、第63 条で定める一貫性メカニズムを適用しなければならない。
4. The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the casesreferred to in paragraph 3 of this Article.
5. 指令95/46/EC の第26 条第2 項に基づいた加盟国又は監督機関による認可は、必要に応じて、監督機関によって修正、差し替え又は廃止されるまで有効とする。指令95/46/EC の第26 条第4 項に基づいた欧州委員会により採択された決定は、必要に応じて、本条の第2 項に従って採択された委員会決定によって修正、差し替え又は廃止されるまで有効とする。
5. Authorisations by a Member State or supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26(4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article.

 

第47 条 拘束的企業準則
Article 47 Binding corporate rules
1. 管轄監督機関は、次に掲げる場合、第63 条で定められた一貫性メカニズムに従い拘束的企業準則を承認しなければならない。
1. The competent supervisory authority shall approve binding corporate rules in accordance with the consistency mechanism set out in Article 63, provided that they:

 

第50 条 個人データ保護に関する国際協力
Article 50 International cooperation for the protection of personal data
第三国及び国際機関に関連して、欧州委員会及び監督機関は次に掲げる事項を目的とした適切な措置をとらなければならない。
In relation to third countries and international organisations, the Commission and supervisory authorities shall take appropriate steps to:

 

第6 章 独立監督機関
CHAPTER VI INDEPENDENT SUPERVISORY AUTHORITIES
第1 節 独立的地位
SECTION 1 INDEPENDENT STATUS
第51 条 監督機関
Article 51 Supervisory authority
1. 各加盟国は、取扱いに関する自然人の基本的権利及び自由を保護するため、及びEU 域内における個人データの自由な流通を促進するため、本規則の適用を監視する責任を持つ一つ又は複
数の独立した公的機関を設置しなければならない。
1. Each Member State shall provide for one or more independent public authorities to be responsible for monitoring the application of this Regulation, in order to protect the fundamental rights and freedoms of natural persons in relation to processing and to facilitate the free flow of personal data within the Union.
2. 各監督機関は、EU 全域での本規則の一貫した適用に寄与しなければならない。当該目的のため、これらの監督機関は第7 章に従い、互いに又欧州委員会と協力しなければならない。
2. Each supervisory authority shall contribute to the consistent application of this Regulation throughout the Union. For that purpose, the supervisory authorities shall cooperate with each other and the Commission in accordance with Chapter VII.
3. 加盟国内に複数の監督機関がある場合、当該加盟国は、欧州データ保護会議において当該複数機関を代表する監督機関を指名するものとし、第63 条で定める一貫性メカニズムに関連する
規則を他の監督機関が遵守することを確保する体制を確立しなければならない。
3. Where more than one supervisory authority is established in a Member State, that Member State shall designate the supervisory authority which is to represent those authorities in the Board and shall set out the mechanism to ensure compliance by the other authorities with the rules relating to the consistency mechanism
referred to in Article 63.

 

第52 条 独立性
Article 52 Independence
1. 各監督機関は、本規則に従った業務の遂行及び権限を行使する際、完全に独立して行動しなければならない。
1. Each supervisory authority shall act with complete independence in performing its tasks and exercising its powers in accordance with this Regulation.

 

2. 各監督機関のメンバー又はメンバーたちは、本規則に従った業務の遂行及び権限の行使において、直接又は間接を問わず、外部的影響を受けず、誰かに指示を求めることも、誰かから指示
を受けることもしてはならない。
2. The member or members of each supervisory authority shall, in the performance of their tasks and exercise of their powers in accordance with this Regulation, remain free from external influence, whether direct or indirect, and shall neither seek nor take instructions from anybody.
3. 各監督機関のメンバー又はメンバーたちは、その義務と相容れないあらゆる行動を控えなければならず、在任期間中、有給であるか否かを問わず、相容れない職業に従事してはならない。
3. Member or members of each supervisory authority shall refrain from any action incompatible with their duties and shall not, during their term of office, engage in any incompatible occupation, whether gainful or not.
4. 各加盟国は、欧州データ保護会議との共助、協力及び参加における文脈において実行されるものを含め、効果的な監督機関の職務遂行及び権限の行使に必要な、人的、技術的及び財政的資
源、施設並びにインフラが、監督機関に提供されるよう確保しなくてはならない。
4. Each Member State shall ensure that each supervisory authority is provided with the human, technical and financial resources, premises and infrastructure necessary for the effective performance of its tasks and exercise of its powers, including those to be carried out in the context of mutual assistance, cooperation and participation in the
Board.
5. 各加盟国は、各監督機関のメンバー又はメンバーたちの独占的指示に服する職員を当該監督機関が選択及び雇用できるよう確保しなければならない。
5. Each Member State shall ensure that each supervisory authority chooses and has its own staff which shall be subject to the exclusive direction of the member or members of the supervisory authority concerned.
6. 各加盟国は、各監督機関がその独立性に影響を与えない財務管理に服し、監督機関が別枠の公的年度予算を持つよう確保しなければならない。その予算は州又は国家予算の一部であってもよい。
6. Each Member State shall ensure that each supervisory authority is subject to financial control which doesnot affect its independence and that it has separate, public annual budgets, which may be part of the overall state ornational budget.
第53 条 監督機関のメンバーに関する一般的条件
Article 53 General conditions for the members of the supervisory authority
1. 加盟国は、監督機関の各メンバーが次に掲げるものによる透明性のある手続によって任命されることを規定しなければならない。
1. Member States shall provide for each member of their supervisory authorities to be appointed by means of a transparent procedure by:
加盟国の議会。
their parliament;
加盟国の政府。
their government;
加盟国の元首。
their head of State; or
加盟国の国内法に基づき指名権限が与えられた独立団体。
an independent body entrusted with the appointment under Member State law.

 

第54 条 監督機関の設置規則
Article 54 Rules on the establishment of the supervisory authority
1. 各加盟国は、すべての次に掲げる事項について法律で定めなければならない。
1. Each Member State shall provide by law for all of the following:
(a) 各監督機関の設置とその地位。
(a) the establishment of each supervisory authority;
(b) 各監督機関のメンバーとして指名されるために必要とされる資格及び適格条件。
(b) the qualifications and eligibility conditions required to be appointed as member of each supervisory authority;
(c) 各監督機関のメンバー又はメンバーたちの指名に関する規定及び手続。
(c) the rules and procedures for the appointment of the member or members of each supervisory authority;
(d) 4 年以上とする各監督機関のメンバー又はメンバーたちの任期。ただし、(本規則が効力を有した日)以降の最初の任命において、期間をずらした任命手続が監督機関の独立性を保護するために必要であるならば、短い期間がとられてもよい。
(d) the duration of the term of the member or members of each supervisory authority of no less thanfour years, except for the first appointment after … [the date of entry into force of this Regulation], part of which may take place for a shorter period where that is necessary to protect

 

(e) 各監督機関のメンバー又はメンバーたちの再任を認めるか否か。認めるのであれば何回認めるのか。
(e) whether and, if so, for how many terms the member or members of each supervisory authority is eligible for reappointment;
(f) 各監督機関のメンバー又はメンバーたち及び職員の義務、禁止行為、雇用期間中及び終了後の相容れない職業及び利益を決定する条件並びに雇用の停止を決定する条件。
(f) the conditions governing the obligations of the member or members and staff of each supervisory authority, prohibitions on actions, occupations and benefits incompatible therewith during and after the term of office and rules governing the cessation of employment.
2. 各監督機関のメンバー又はメンバーたち及び職員は、EU 法又は加盟国の国内法に従って、業務遂行又は権限行使中に知り得た機密情報に関して在任期間中及び終了後の両方で職業的守秘
義務を負う。在任期間中、当該職業的守秘義務は特に自然人による本規則違反の報告に適用されなければならない。
2. The member or members and the staff of each supervisory authority shall, in accordance with Union or Member State law, be subject to a duty of professional secrecy both during and after their term of office, with regard to any confidential information which has come to their knowledge in the course of the performance of their tasks or exercise of their powers. During their term of office, that duty of professional secrecy shall in particular apply to reporting by natural persons of infringements of this Regulation.

 

第2 節 管轄、業務及び権限
SECTION 2 COMPETENCE, TASKS AND POWERS
第55 条 管轄
Article 55 Competence
1. 各監督機関は、本規則に従って当該監督機関に対して割り当てられた業務の遂行及び当該監督機関に付与された権限の行使に関して当該監督機関の加盟国の領域上で管轄権を有するものと
する。
1. Each supervisory authority shall be competent for the performance of the tasks assigned to and the exercise of the powers conferred on it in accordance with this Regulation on the territory of its own Member State.
2. 取り扱いが公的機関又は第6 条第1 項(c)号若しくは(e)号に基づき行動する民間団体によって実行される場合、関連する加盟国の監督機関は管轄権を有するものとする。この場合、第56条は適用されない。
2. Where processing is carried out by public authorities or private bodies acting on the basis of points (c) or (e) of Article 6(1), the supervisory authority of the Member State concerned shall be competent. In such cases Article 56 does not apply.
3. 監督機関は裁判所の司法権限における裁判所の取扱い作業の監督には管轄権を有しないものとする。
3. Supervisory authorities shall not be competent to supervise processing operations of courts acting in their judicial capacity.
第56 条 主監督機関の管轄
Article 56 Competence of the lead supervisory authority
1. 第55 条を侵害することなく、主たる事業所又は管理者若しくは取扱者の単一の事業所の監督機関は、第60 条に規定される手続に従い、当該管理者又は取扱者によって実行される越境取
扱いに関する主監督機関としての活動に管轄権を有するものとする。
1. Without prejudice to Article 55, the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the crossborder processing carried out by that controller or processor in accordance with the procedure provided in Article 60.
2. 第1 項の例外として、各監督機関は監督機関への不服申立て又は発生し得る本規定違反の処理に管轄権を有する場合があり、対象事項が監督機関の加盟国内にある事業所にだけ関係してい
るか、又は対象事項が実質的に監督機関の加盟国内にあるデータ主体だけに影響を及ぼしていることを条件とする。
2. By derogation from paragraph 1, each supervisory authority shall be competent to handle a complaint lodged with it or a possible infringement of this Regulation, if the subject matter relates only to an establishment in its Member State or substantially affects data subjects only in its Member State.
3. 本条第2 項で定める場合、監督機関は当該事項に関し主監督機関に遅滞なく通知するものとする。通知されてから3 週間以内に主監督機関は第60 条に規定された手続に従って事案を処理
するか否か決定するものとし、その際、通知した監督機関の加盟国内に管理者又は取扱者の事業所があるか否か考慮するものとする。
3. In the cases referred to in paragraph 2 of this Article, the supervisory authority shall inform the lead supervisory authority without delay on that matter. Within a period of three weeks after being informed the lead supervisory authority shall decide whether or not it will handle the case in accordance with the procedure provided in Article 60, taking into account whether or not there is an establishment of the controller or processor in the Member State of which the supervisory authority informed it.
4. 主監督機関が事案を処理することを決める場合、第60 条で規定された手続が適用されるものとする。主監督機関に通知した監督機関は主監督機関に決定に関する草案を送付することができる。第60 条第3 項で定める決定案の準備時に主監督機関は当該草案を最大限考慮するものとする。
4. Where the lead supervisory authority decides to handle the case, the procedure provided in Article 60 shall apply. The supervisory authority which informed the lead supervisory authority may submit to the lead supervisory authority a draft for a decision. The lead supervisory authority shall take utmost account of that draft when preparing the draft decision referred to in Article 60(3).
5. 主監督機関が事案を処理しないと決める場合、主監督機関に通知した監督機関は第61 条及び
第62 条に従って事案を処理するものとする。
5. Where the lead supervisory authority decides not to handle the case, the supervisory authority which informed the lead supervisory authority shall handle it according to Articles 61 and 62.
6. 主監督機関は、管理者又は取扱者によって実行される越境取扱いに関して当該管理者又は取扱者の唯一の担当窓口でなければならない。
6. The lead supervisory authority shall be the sole interlocutor of the controller or processor for the crossborder processing carried out by that controller or processor.

 

第57 条 業務
Article 57 Tasks
1. 本規則に基づいて規定されている他の業務を侵害することなく、各監督機関はその領域内で次に掲げる事項を行うものとする。
1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory:

 

(e) 要求に応じて、本規則に基づくデータ主体の権利行使に関するあらゆるデータ主体への情報の提供及び、適切であるならば、そのための他の加盟国の監督機関との協力。
(e) upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the supervisory authorities in other Member States to that end;
(f) データ主体又は第80 条に従って団体、機関若しくは協会によって申し立てられた不服の処理及び、適切な範囲に限った不服の対象事項の調査、並びに合理的期間内の調査進捗及び結果の申立人への通知(特に追加の調査又は他の監督機関との協力が必要な場合)。
(f) handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;
(g) 本規則の適用及び執行の一貫性を確実にする目的での他の監督機関との協力(情報の共有及び共助の提供を含む)。
(g) cooperate with, including sharing information and provide mutual assistance to, other supervisoryauthorities with a view to ensuring the consistency of application and enforcement of this Regulation;
(h) 本規則の適用における調査の実施。他の監督機関から監督機関へ受領される情報に基づく調査を含む。
(h) conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority;

 

2. 各監督機関は、第1 項(f)号で定める不服の申し出を促進しなければならず、その提出は電子的に完結することのできる不服申立て様式のような手段によってなされ、また他の通信手段を排除してはならない。
2. Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1, by measures such as a complaint submission form which may also be completed electronically, without excluding other means of communication.
3. 各監督機関の業務の遂行はデータ主体、該当する場合、データ保護オフィサーに対して無償でなければならない。
3. The performance of the tasks of each supervisory authority shall be free of charge for the data subject and, where applicable, for the data protection officer.

 

4. 要求が明らかに無根拠又は過度である、特に反復する性質による場合、監督機関は管理費用に基づいた適切な手数料を徴収するか、要求を拒否することができる。監督機関は、要求の明らかな無根拠又は過度な性質を証明する義務を負う。
4. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the supervisory authority may charge a reasonable fee based on administrative costs, or refuse to act on the request. The supervisory authority shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.
第58 条 権限
Article 58 Powers
1. 各監督機関は次に掲げるすべての調査権限を持つものとする。
1. Each supervisory authority shall have all of the following investigative powers:
(a) 管理者及び取扱者及び、該当する場合、管理者又は取扱者の代理人に、監督機関が業務遂行のために必要とするあらゆる情報を提供するように命令すること。
(a) to order the controller and the processor, and, where applicable, the controller’s or the processor’s representative to provide any information it requires for the performance of its tasks;

 

3. 各監督機関は次に掲げるすべての認可及び監督権限を持つものとする。
3. Each supervisory authority shall have all of the following authorisation and advisory powers:
(a) 第36 条で定める事前協議に従う管理者に助言すること。
(a) to advise the controller in accordance with the prior consultation procedure referred to in Article 36;
(b) 個人データの保護に関するあらゆる問題に関して、監督機関自身の主導又は要請により、国民議会、加盟国政府に対して意見を表明すること。又は加盟国の国内法に従って、その他機関及び団体並びに一般の人々対して意見を表明すること。
(b) to issue, on its own initiative or on request, opinions to the national parliament, the Member State government or, in accordance with Member State law, to other institutions and bodies as well as to the public on any issue related to the protection of personal data;

 

第7 章 協力及び一貫性
CHAPTER VII COOPERATION AND CONSISTENCY
第1 節 協力
SECTION 1 COOPERATION
第60 条 主監督機関とその他関係監督機関との協力
Article 60 Cooperation between the lead supervisory authority and other supervisory authorities concerned

 

第61 条 相互支援
Article 61 Mutual assistance

 

第62 条 監督機関の共同作業
Article 62 Joint operations of supervisory authorities

 

第2 節 一貫性
SECTION 2 CONSISTENCY
第63 条 一貫性メカニズム
Article 63 Consistency mechanism
EU 全域で本規則の一貫した適用に寄与するため、本節で定める一貫性メカニズムを通じて、各監督機関は互いに協力するものとし、関連があるならば、欧州委員会と協力するものとする。
In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section.
第64 条 欧州データ保護会議の意見
Article 64 Opinion of the Board
1. 管轄監督機関が次に掲げるあらゆる措置を採択する場合、欧州データ保護会議は意見を述べるものとする。そのため、管轄監督機関は、次に掲げる際に欧州データ保護会議に決定案を通知する。
1. The Board shall issue an opinion where a competent supervisory authority intends to adopt any of the measures below. To that end, the competent supervisory authority shall communicate the draft decision to the Board, when it:

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。