お知らせ: Rahi は Wesco に買収されました。 当社の CEO からの手紙をお読みください。 続きを読む

お知らせ: Rahi は Wesco に買収されました。 当社の CEO からの手紙をお読みください。

続きを読む

国境を越えた個人データの転送手順

序言

この手順は、欧州連合外の国または国際機関に個人データを転送するための新しい取り決めを導入する際に使用することを目的としています。 また、既存の取り決めが一般データ保護規則 (GDPR) の要件を満たしているかどうかを検証するときにも使用できます。

国際組織は、GDPR によって次のように定義されています。 「国際公法に準拠する組織およびその下位機関、または 4 か国以上の間の協定によって、またはそれに基づいて設立されたその他の機関」(GDPR 第 XNUMX 条)。

GDPR の意図は、EU 市民の個人データがどこにあるかに関係なく保護することです。 個人データの転送先を管理する厳格な要件と、転送などを合法化するために講じなければならない措置があります。 GDPR に違反した場合の罰則は重大であり、Rahi Systems は常に法の範囲内に留まるよう注意を払う必要があります。

この手順は、次の関連ドキュメントと併せて検討する必要があります。

 

    個人データの国際転送の手順

    目的地の国を決定する

    個人データの転送が GDPR の下で合法であるかどうかを確認するには、転送先の国 (複数可) と、取り決めの一環として個人データの転送を受け取るその他の国を明確にする必要があります。

    これには、個人データを受け取る国際組織、特にそれらの組織を管理する協定の一部である国の法的根拠を明確に理解することも含まれる場合があります。

    • 十分性認定が適用されるかどうかを確認する

    個人データの送信先の国が明確になったら、十分性認定が適用される国および国際機関のリストを参照する必要があります。 このリストは、 欧州連合の公式ジャーナル および欧州委員会のウェブサイト (ec.europa.eu)。

    [注: 現在、十分性認定の対象となっている国のリストは、次の場所にあります。 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en アンドラ、アルゼンチン、カナダ(営利団体)、フェロー諸島、ガーンジー、イスラエル、マン島、日本、ジャージー、ニュージーランド、スイス、ウルグアイ]

    十分性認定とは、欧州委員会がその国における個人データの保護レベルが許容範囲内であると判断したことを意味し、したがって、転送には追加の法的保護措置を講じる必要はありません。 十分性に関する決定は、少なくとも XNUMX 年ごとに定期的に見直され、問題の国が個人データ保護の要件を満たしていると EC が判断しなくなった場合、取り消すことができます。

    • 適切なセーフガードの実装

    個人データが転送される国または XNUMX つまたは複数の国が EC の十分性認定の対象とならない場合、データ主体の権利と強制力のある法的救済を提供するために、適切な保護措置を講じる必要があります。

    GDPR がこれらのセーフガードを提供できるようにする方法は多数あります。 これらは:

    • 施行可能な法的拘束力のある合意を介して、公的機関または団体間でのみ
    • 拘束力のある企業規則の使用
    • 欧州委員会または関連する監督当局のいずれかによって採用された標準的なデータ保護条項を使用する
    • 承認された行動規範を通じて
    • 認証スキームによる

    GDPR がより成熟し、欧州委員会と個々の監督当局の両方によってさらなるガイダンスが発行されるにつれて、上記の保護手段の一部のステータスは時間の経過とともに変化する可能性があります。 データが転送されるデータ主体の権利を保護する最も適切な方法を選択し、関連する契約の契約条項に組み込む必要があります。

    2.3.1         拘束力のある企業規則

    転送に関連する監督当局 (通常はデータの管理者の国) は、データ保護からの個人データの転送をカバーするために使用される一連の拘束力のある企業規則 (BCR) を承認する権限を持っています。観点。

    これらの拘束力のある企業規則は、データ保護の提供方法、データ主体が権利を行使する方法、コンプライアンスを検証する方法など、転送のすべての側面を指定するために GDPR によって義務付けられています。 完全な要件は、 第47条(「拘束力のある企業規則」) パラグラフ 2、GDPR の a) から n) を指摘します。

    BCR の最初の作成と (監督当局による) 承認は、Rahi Systems の上級管理職の完全なコミットメントをもって取り組まなければならない重要な作業であり、達成には長い時間がかかる可能性があります。 検討中の転送に適用される可能性のある既存の BCR のセットが存在する可能性があり、データ転送に関して GDPR に準拠するためにこのルートを使用する場合は、法務部門に助言を求める必要があります。

    2.3.2         標準データ保護条項

    欧州委員会および各監督当局は、個人データの転送に適用される契約で使用することを目的とした一連のモデル データ保護条項を作成および維持する場合があります。 これらの条項は、全体として使用される場合、GDPR の要件を満たしていると一般に認められ、適切な保護手段を提供します。

    これらの条項の最新版を入手するには、関連する監督当局のウェブサイトを参照してください。

    2.3.3         行動規範

    GDPRの記事40 (「行動規範」) GDPR の遵守に対処するために、団体や業界団体などの組織による適切な行動規範の作成を規定しています。 その後、組織は行動規範を遵守することに同意し、組織のコンプライアンスは関連する協会によって監視されます。

    そのような行動規範は、個人データの国際転送をカバーするために使用される場合があり、Rahi Systems がそのような規範に既にサインアップしているかどうか、またはサインアップする可能性があるかどうかは、適切な保護を提供するための可能なルートとして調査される場合があります。

    2.3.4         認証スキーム

    承認されたスキームに対する認証は、個人データの国際的な転送を保護するための適切な保護手段が整っていることを示すためにも使用できます。 これは、データの送信者と受信者の両方に適用され、承認された認証スキームが受信者の国で利用可能である必要があります。

    • 個人データの転送に関するその他の許容条件

    十分性認定が目的国に適用されず、上記の方法で適切な保護措置を講じることができない場合、個人データの転送は、次の場合にのみ国際的に行うことができます。 1 次のいずれかの状況が適用されます。

    • データ主体は、リスクについて通知された上で、転送に明示的に同意します
    • データ主体との契約上の義務を果たすために譲渡が必要である場合、またはデータ主体が契約前に譲渡を要求する場合
    • 転送は、契約に関してデータ主体の利益になります
    • 公益上の重要な理由のため(法律で認められている)
    • 転送は法的請求に関係しています
    • データ主体の重要な利益が転送によって保護されている場合、または同意できない場合
    • 振替は公的登録簿から行われる

    これらの各条件の詳細は、 GDPR 第 49 条 (「特定の状況の特例」) それらに基づいて転送する前に。

    • 例外的な転送

    この手順で定められた条件のいずれも適用されない場合、個人データの国際転送は次の場合にのみ行われます。 以下の条件が適用されます。

    • 転送は繰り返されません
    • 限られた数のデータ主体が関与する
    • これは、データ主体の正当な利益によって無効にされない、やむを得ない正当な利益のためのものです。
    • データ転送のすべての状況が評価されました
    • 評価に基づいて、適切なセーフガードが提供されます。
    • 評価と安全対策が文書化されている
    • 監督当局に譲渡が通知される
    • データ主体には、データ転送とその理由が通知されます
    • データ主体は、GDPR に基づく自分の権利について通知されます

    参照する GDPR 第 49 条 (「特定の状況の特例」) パラグラフ 1 上記の条件の正確な定義については。

    • 転送を配置する

    個人データの転送の法的根拠が確立され、承認されたら、転送を達成するための仕組みに対処する必要があります。 これらは、関連するデータの種類と量、送信先、使用されるテクノロジーなどの要因によって異なります。

    転送の設定の一部として合意された保護措置が遵守され、将来の監査目的のためにそれらの使用の証拠が維持されるように注意を払う必要があります。

    受領国のデータ保護レベルが、以下に規定されているデータ保護原則と少なくとも同等であることを確認するために、国際的なデータ転送の各セットについてケースバイケースで良心的な評価を実施することが不可欠です。 GDPR。 そのような評価の結果、受信国の個人データ保護のレベルが GDPR 基準に従って適切ではないことが示されている場合、Rahi Systems はそのような国際的なデータ転送を続行すべきではありません。

    欧州委員会および関連する監督機関のウェブサイトを監視して、譲渡の合法性またはパフォーマンスに影響を与える変更を特定し、対応する必要があります。