法律の専門家は、欧州司法裁判所(ECJ)による「画期的」な判決が、GDPRに違反した組織に重大な財務上の影響を及ぼす可能性があると警告している。
昨日言い渡された判決は、ドイツの不動産会社Deutsche Wohnenに関するものだった。
同社は2019年、必要以上に長期間にわたり入居者データを保持していたとして、ベルリンのデータ保護監督官から当初1,450万ユーロ(1,570万ドル)の制裁金を科された。しかしその後、特定の個人または役員に責任を帰せられない限り同社は責任を負えないとする地元裁判所の判断により、2年後に取り消された。
ECJは実際にはDeutsche Wohnen側の主張を認め、侵害が故意または過失により行われた場合にのみ、組織に行政上のGDPR制裁金を科すことができるとした。だが、法の解釈を明確化する中で、この判決は将来、当局が制裁金を科しやすくする可能性があると、Clyde & Coのパートナーであるヤン・シュピットカ氏は主張した。
GDPRに関する記事を読む:WhatsApp、GDPR違反で550万ユーロの制裁金
同氏は、この判決は実質的に、経営陣の知識不足は抗弁にならず、組織は代表者、取締役、管理職が行った侵害だけでなく、組織の代理として行動するその他のあらゆる者が行った侵害についても責任を負うことを意味すると述べた。
組織が過失または故意で行動したかどうかに関して、裁判所はEUの競争法・独占禁止法の下で確立された基準を適用し、「GDPRの規定に違反していることを認識していたかどうかにかかわらず、その行為の違法性を認識していなかったはずがない」ことが十分であるとした、とシュピットカ氏は述べた。
これは、監督当局が制裁金を科すためのハードルを実質的に下げるものであり、さらに、組織の代理として行動する者であれば誰が行った侵害であっても組織が責任を負うようになった点も同様である。
「『Deutsche Wohnen』事件におけるGDPR行政制裁金に関する本日のECJの画期的決定は、法人に制裁金を科す要件を引き下げることで、EU GDPRの執行を強化する」とシュピットカ氏は主張した。
「この決定の全体的な文脈は、EU加盟国のデータ保護監督当局が法人を制裁することをはるかに容易にし、平均的に見ても大幅に高い制裁金につながる可能性が高い。」
制裁金が高額になる可能性があるのは、ECJが、違反した組織は自社の売上高だけでなく親会社の売上高に基づいても制裁金を科され得ると判断したためだ。
この判決は、EU域内で事業を行う組織だけでなく、米国や英国など域外の組織にも適用される。条件は、域内に子会社を有し、EU市民の個人データを処理している、またはEU域内で商品・サービスを提供していることである。
翻訳元: https://www.infosecurity-magazine.com/news/deutsche-wohnen-ruling-drive-up/
