欧州委員会は、越境案件における執行に取り組むデータ保護当局(DPA)間の協力を改善することを目的として、GDPRの変更案を提案した。
これらの規則は、DPA同士が今後の進め方で合意できない場合に紛争解決手続きを運用する欧州データ保護会議(EDPB)が、2022年10月に委員会へ送付した「要望リスト」の結果である。
それが最も有名な形で起きたのは今年初めで、アイルランドのDPAが、最終的に過去最高の12億ユーロ(13億ドル)の制裁金につながったMetaに対する案件をめぐり、他の各国当局と意見が対立したときだった。
GDPR案件についてさらに読む: WhatsApp、GDPR違反で550万ユーロの制裁金
GDPRには「ワンストップショップ」規則があり、主導DPAは、調査対象となる事業体が拠点を置くEU加盟国に基づいて選定される。
しかし、多くの米国テック大手がアイルランドに本社を置いているため、注目度の高い越境案件の一部では、アイルランドのデータ保護委員会(DPC)と他の各国DPAとの間に緊張が生じている。
GDPRの施行以来、EDPBの案件登録簿には2000件を超えるワンストップショップ案件が登録されている。
- 申立てが全部または一部却下される場合に、申立人が意見を述べる共通の権利を確立する
- EDPBの紛争解決を含め、手続の重要段階において、調査対象当事者に意見を述べる権利を付与する
- DPAが調査の早期段階で見解を示し、共同調査を実施し、「相互支援」を提供できるようにすることで、越境案件に対する影響力を高め、調査の早い段階で合意形成を進め、後の不一致を減らす
「独立当局は素晴らしい仕事をしていますが、より迅速かつより決定的に運用できるようにする時です。特に、1つの違反がEU全域で多くの被害者を生み得る重大な案件ではなおさらです」と、価値観・透明性担当の欧州委員会副委員長ヴェラ・ヨウロヴァは主張した。
「私たちの提案は、データ保護当局間の円滑な協力を保証する規則を定め、より強力な執行を後押しし、人々と企業の双方に利益をもたらします。」
リンクレーターズのTMT/IPパートナーであるソニア・シセは、GDPRが引き続き柔軟であることについて、企業は安心すべきだと述べた。
「この新たなGDPR執行の法案草案は、データ主体を再び中心に据え、苦情手続のプロセスにより深く関与する機会を与えるものです」と彼女は付け加えた。
「これは、最新の草案や規則に示された原則――個人に自らのデータに対するコントロールを取り戻させ、デジタル分野で見られる過剰に対して自らを守る手段を与える――と明確に一致しています。」
翻訳元: https://www.infosecurity-magazine.com/news/european-commission-tweak-gdpr/
