MENU

GDPRの罰則規定・制裁金(罰金・違反金・課徴金)は?

 

GDPRの罰則規定はとても厳しいんです。
違反してしまうと、高い制裁金(罰金)が要求されます。

 

GDPRには、制裁金が軽度の違反の場合と、権利侵害などの違反の2段階で明記されています。

 

一つ目の軽度の方の罰則

一つ目の軽度の違反は、データ管理者の義務違反などの場合に適用されます。

 

この場合の制裁金の金額は、1,000万ユーロと全世界年間売上高の最大2%まで、のいずれか大きい方を上限とする。(GDPR第83条 4項)

とのことです。

 

現時点(2018/3)の為替レートでは、1ユーロ=130円なので、
1,000万ユーロといえば、約13億円にあたります。

 

二つ目の重い方の罰則

二つ目の重い方の罰則は、主に「本人の同意を得る」といったGDPRのデータ処理の基本原則に違反した場合などに適用されます。

 

制裁金の金額は、2,000万ユーロと全世界年間売上高の最大4%まで、のいずれか大きい方を上限とする。(GDPR第83条 5項)

とされています。

 

2,000万ユーロは、現在のレートで約26億円になります。
びっくりするほどの、高額ですね。
中小企業だと、もし罰則が適用されてしまったら、もう一瞬で会社がつぶれてしまいますよね。。。

 

大企業の場合でも、かなり厳しいと思います。
制裁金は、「2,000万ユーロと全世界年間売上高の最大4%まで、のいずれか大きい方」となっていますが、全世界年間売上高の最大4%は相当厳しい罰金です。
利益ではなく、売上高の4%です。
利益率の低い会社だったら、とても払うことができないのでは、と思います。

 

ちなみに、マイナンバー制度の罰則は、一番厳しいものでも、「4年以下の懲役か200万円以下の罰金又はこれらの併科」となっています。

 

GDPRの方が、桁違いに厳しいですね。
個人情報に対する意識に、やはり日本とヨーロッパでは大きな違いがあるんでしょうね。
この高い制裁金も、個人情報の保護をしっかりやってほしい、GDPRの考え方が世界に浸透してほしい、という意識の表れだと思います。

 

個人情報を取り扱っている方は、今一度、業務フローや、プライバシーポリシーの見直しが必要ですね。
基本的に、きちんと個人情報を管理しているのであれば、重箱の隅をつつくような小さなミスに対して、制裁金が要求されることはまずないと思います。

 

ですが、悪質な業者には、実際に見せしめとして、この罰則が適用される可能性は高いと思います。規制が始まって早々に制裁の例を示すのではないかとの観測もされています。
今のうちにきちんと準備を行いましょう。

 

余談ですが、この罰金、英語ではfineですが、日本語に訳すといろいろな言葉があるんですね~。
制裁金、違反金、課徴金って。罰科金というのもありました。
同じことを指しているのに、文章を書く方によって、違う言葉が使われています。
日本語って難しいですね。特に法律用語は難しいですね~。

 

制裁金 1000万ユーロか売上の2%

4. 次に掲げる規定違反は、第2 項に従って、最大10 000 000 ユーロ、又は事業である場合、前会計年度の全世界年間売上高の2%までの、どちらか高い方を制裁金として科すものとする。
4. Infringments of the following provisions shall, in acccordance with paragraph 2, be subject toadministrative fines up to 10 000 000 EUR, or in the case of an undertaking, up to 2 % of the total worldwide annual turnover of the preceding financial year, whichever is higher:
(a) 第8条、第11条、第25条、第26条、第27条、第28条、第29条、第30条、
第31条、第32条、第33条、第34条、第35条、第36条、第37条、第38条、第39条、第42条及び第43条による管理者及び取扱者の義務。
(a) the obligations of the controller and the processor pursuant to Articles 8, 11, 25, 26, 27, 28, 29, 30,31, 32, 33, 34, 35, 36, 37, 38, 39, 42 and 43;
(b) 第42条及び第43条による認証機関の義務。
(b) the obligations of the certification body pursuant to Articles 42 and 43;
(c) 第41条第4 項による監視団体の義務。
(c) the obligations of the monitoring body pursuant to Article 41(4).

 

制裁金 2000万ユーロか売上の4% ①

5. 次に掲げる規定の違反は、第2 項に従って、最大20 000 000 ユーロ、又は事業である場合、前会計年度の全世界年間売上高の4%までの、どちらか高い方を制裁金として科されるものとする。
5. Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher:
(a) 第5条、第6条、第7条及び第9条による基本的取扱い原則(同意の条件を含む)。
(a) the basic principles for processing, including conditions for consent, pursuant to Articles 5, 6, 7 and 9;
(b) 第12条から第22条によるデータ主体の権利。
(b) the data subjects’ rights pursuant to Articles 12 to 22;
(c) 第44条から第49条による第三国又は国際機関の取得者への個人データ移転。
(c) the transfers of personal data to a recipient in a third country or an international organisation pursuant to Articles 44 to 49;
(d) 第9 章に基づき採択された加盟国の国内法による義務。
(d) any obligations pursuant to Member State law adopted unter Chapter IX;
(e) 第58条第2 項による監督機関による取り扱いに関する命令若しくは一時的若しくは最終的制限又はデータ流通の中止の不遵守、又は第58条第1 項違反のアクセス提供の不履行。
(e) non-compliance with an order or a temporary or definitive limitation on processing or the suspension of data flows by the supervisory authority pursuant to Article 58(2) or failure to provide access in violation of Article 58(1).

 

制裁金 2000万ユーロか売上の4% ②

6. 第58項第2項で定める監督機関による命令不遵守は、本条第2項に従って、最大20 000 000ユーロ、又は事業である場合、前会計年度の全世界年間売上高の4%までの、どちらか高い方を制裁金として科されるものとする。
6. Non-compliance with an order by the supervisory authority as referred to in Article 58(2) shall, in acccordance with paragraph 2 of this Article, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher.

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。