篠原 翼†
1. はじめに
新データ保護に関する連邦法に関連するオルドナンス(Nouvelle Ordonnance relative à la loi fédérale sur la protection des données, nOLPD)[1]は,連邦評議会(Conseil fédéral)によって2021年7月23日から2021年10月14日まで協議(consultation)が行われた[2]。そこで,本稿は,スイスにおけるデータ保護法の改正作業において,連邦法を補完する役割を果たすnOLPDの内容について簡単にまとめることにしたい[3]。
2. オルドナンスとは何か?
まず初めに,オルドナンスとは,連邦法(loi fédérale)の内容をより具体化するものであり,特に本法において重要な点は,技術的及び構造的措置(mesures technologiques et organisationnelles)の内容を具体化することにある。なぜならば,新データ保護に関する連邦法(Nouvelle loi fédérale sur la protection des données, nLPD )第8条は,個人データの安全性を保証するために,技術的および構造的措置を講じることを,取扱責任者[4]に課しているからである。nLPD第8条1項は,以下のように規定している。すなわち,「取扱責任者及び下請人は,発生するリスクに関連する個人データの十分な安全性を,適切な構造的および技術的措置によって,保証しなければならない」とする。本条に基づき,取扱責任者だけではなく,そのデータの取扱いを請け負った者(下請人,又はプロセッサー[5])にも,個人データの安全性の確保のために,構造的および技術的措置を講じなければならない。そのデータの安全性に関する最低限の要請に関する規定は,連邦評議会によって規定される(nLPD第8条3項)。このような規定に基づき制定されるものがnOLPDである。
3. nOLPDの基本構造
nOLPDは,全7章に分かれており,①一般規定,②取扱責任者及び下請人の義務,③該当者の権利,④私人による個人データの取扱いに関する特別規定,⑤連邦機関による個人データの取扱いのための特別規定,⑥データ保護および透明性に関する連邦職員(Préposé fédéral à la protection des données personnelles et à la transparence, PFPDT),⑦最終規定,で構成されている。特に,企業法務においては,第1章から第4章に関する規定が重要となるだろう。そのため,本稿では,第1章から第4章のみを扱うことにし,第5章から第7章については,別稿に譲ることにしたい。 nOLPDは,全7章に分かれており,①一般規定,②取扱責任者及び下請人の義務,③該当者の権利,④私人による個人データの取扱いに関する特別規定,⑤連邦機関による個人データの取扱いのための特別規定,⑥データ保護および透明性に関する連邦職員(Préposé fédéral à la protection des données personnelles et à la transparence, PFPDT),⑦最終規定,で構成されている。特に,企業法務においては,第1章から第4章に関する規定が重要となるだろう。そのため,本稿では,第1章から第4章のみを扱うことにし,第5章から第7章については,別稿に譲ることにしたい。
3.1. 一般規定
3.1.1. データの安全性
第1章では,❶データの安全性(sécurité des données),❷下請け(sous-traitance),❸外国への個人データの伝達について規定している。まず,データの安全性については,LPD第8条の義務を履行するために,取扱責任者およびその下請人は,技術的又は構造的措置がプライバシーの権利及び人格権の違反のリスクに適切に対応しているか否かについて,以下の基準を考慮する必要がある。すなわち,(a) データの取扱いに関する目的及び性質,規模,状況;(b) データの安全性に関する違反の可能性,及び該当者に対する潜在的影響;(c) 技術状態;(d) 実施費用,について検討しなければならない(nOLPD第1条1項)。
さらに,nOLPD第2条によれば,個人データに対する保護措置は,以下の保護目的を達成するができなければならない。すなわち,取扱責任者及びその下請人は,⑴データへのアクセス管理(contrôle de l’accès aux données),⑵場所及び施設へのアクセス管理(contrôle de l’accès aux locaux et installations),⑶データ記憶媒体の管理(contrôle des supports de données),⑷メモリーの管理(contrôle de mémoire),⑸使用管理(contrôle d’utilisation),⑹輸送管理(contrôle du transport),⑺データ入力の管理(contrôle de la saisie),⑻伝達管理(contrôle de la communication),⑼復元(restauration),⑽利用可能性(disponibilité),信頼性(fiabilité),データの完全性の担保(intégrité des données),(11)検出(détection),を可能とする構造的及び技術的措置を講じなければならない。
特に,大規模な注意を要するデータ(données sensibles à grande échelle)及び高リスクなプロファイリングを取り扱う場合には,取扱責任者及びその下請人は,それらの自動取扱い[6]に関する規則を定めなければならない(nOLPD第4条1項)。当該規則は,以下のことを規定する必要がある。すなわち,「a. 取扱目的;b. 該当者の分類及び取り扱われた個人データの分類;c. 個人データの保管期間又はその期間を決定するために用いられた基準;d. 内部機関;e. 個人データの出所及びその収集方法;f. データの安全性を保障する技術的又は構造的措置;g. アクセス許可,及びそのアクセスの性質及び範囲;h. データの最小化のための措置;i. データの取扱いに関する手続,特に,登録,訂正,伝達,保管,アーカイブ,仮名化,匿名化,削除,又は廃棄手続;j. 個人データのアクセス圏,又はその提供権又は転送権の行使に関する手続き」を規定する必要がある(nOLPD第4条2項)。私人は,当該規則を定期的に更新し,取扱責任者によって指名されたデータ保護アドバイザー(nLPD第10条1項)が理解可能な形式で用いることができるようにしなければならない(nOLPD第10条3項)。
3.1.2. 下請け
第2節では,nLPD第9条で規定されている下請人について,nOLPD第6条1項は,取扱責任者の責任の所在を明確にしている。本条では,「下請人に個人データの取扱いを委託する取扱責任者は,データ保護の責任を負い続ける」とし,そのデータが契約又は法律に従って取り扱われていることを保証」しなければならない。言い換えれば,取扱責任者は,下請人を注意深く選定し,管理しなければならない責任を有し続けることになり,下請人に業務を委託したことをもって,nLPDに基づく義務から解放されることを意味しない。その下請人がnLPDに従っていない場合には,取扱責任者は,その他の法規定が同等の保護を保障することを保障しなければならず,それもない場合,契約条項によってその義務を履行しなければならない(nOLPD第6条2項)。
3.1.3. 外国への個人データの伝達
nLPD第16条1項は以下のように規定する。すなわち,「個人データは,連邦評議会が,関連国家が十分な保護の水準を保証する立法を制定する,又は国際機関が十分な保護の水準を保障することを認めた場合に,外国に伝達され得る」と規定する。言い換えれば,連邦評議会が外国国家の個人データ保護に関する立法状況を不十分と判断した場合,又は国際機関が十分な保護の水準を保障していないと判断した場合には,何人もスイス国内にある個人データを外国国家に対して伝達することはできない。また,連邦評議会によるこの決定がない場合には,⑴国際条約,⑵取扱責任者又は下請人とその共同契約者との間の契約であり,事前にPFPDTに通知されたデータ保護に関する条項,⑶管轄連邦機関によって与えられ,事前にPFPDTに通知された特別保障,⑷PFPDTによって事前に承認,作成,又は認可されたデータ保護に関する標準条項,⑸PFPDT又は十分な保護の水準を保証する国家に関するデータ保護を担う当局によって事前に承認された拘束力のある社則によって適切な十分性基準が保障される場合に,個人データを外国に伝達することができる(nLPD第16条2項)。これらに違反する場合には,nLPD第61条a号に規定する注意義務違反(violation des devoirs de diligence)となり,nLPD第17条に規定される例外事由(dérogations)に該当しない限り,取扱責任者には,250,000スイスフランの罰金が課せられることになる。
nLPD第16条3項によれば,nLPDに規定されている保障以外の保障をnLPD第16条2項の範囲内で連邦評議会が規定することができる。これに基づき,nOLPD第3節は,その他の保障として,①外国又は国際機関の個人データに関する十分な保護の水準の評価(第8条),②契約のデータ保護条項及び特別な保障(第9条),③データ保護に関する標準条項(第10条),④拘束力のある社則(第11条),⑤行動規範および認証(第12条)について規定している。
まず初めに,nOLPD第8条によれば,取扱責任者は,「外国への個人データを伝達する場合には,特に,国家,領域,又は国内で定められる複数の部門,又は国際機関が十分な保護の水準を保障しているか否かについて評価するために,以下の基準を考慮しなければならない:a. 個人データの保護に関する国家又は国際機関の国際協定;b. 人権の尊重;c. データ保護に関する適用可能な立法,及びその履行やそれに関連する判例;d. 該当者の権利,及び法的手続きの実質的な保障;e. 関連国におけるデータ保護を担う一又は複数の独立した当局の実質的な機能,又は国際機関を規制下に置いている当局であり,十分な権限を用いることができる実質的な機能」という基準を考慮しなければならない。当該評価は,個人データ保護を担う国際機関や外国当局によって実施される判断評価(appréciations)を考慮することができる(nOLPD第8条2項)。特に,外国国家の十分性判断については,nOLPD附属文書1によって,連邦評議会によって十分性基準を満たしていると判断された国家が列挙されている[7]。したがって,nOLPD第8条では,nLPD第16条1項を具体化したものと考えることができるだろう。
次に,契約のデータ保護条項及び特別な保障につき,nOLPD第9条1項では,LPD第16条2項b号及びc号に規定される契約におけるデータ保護に関する特別条項及び特別な保障について,以下の点を少なからず記載することを明記している。すなわち,「a. 合法性の原則,信義則,比例性原則,目的性原則,正確性原則の適用;b. 伝達されたデータ及び該当者の分類;c. 個人データの伝達に関する種類及び目的; d. 名宛国の名称;e. 名宛人となる国際機関の名称;f. 個人データの保管,削除,及び廃棄に適用可能な条件;g. データを取り扱う権限を有する名宛人;h. 個人データの安全性を保障する手段;i. その他の外国国家,又は国際機関に対するデータの伝達に適用可能な条件;j. データの取扱いによって該当者に通知される名宛人の義務:k. 該当者の権利,特に1. その個人データへのアクセスを求めること,2. 個人データの取扱いに反対すること,3. 個人データの修正,削除,又は廃棄を求めること,4. 独立した当局に付託すること」である。また,「取扱責任者は,名宛人が契約におけるデータ保護条項,又は特別な保障を遵守することを保証するために十分な措置を講じなければならない」(nOLPD第9条2項)。一度これらがPFPDTに通知された場合,「取扱責任者の通知義務は,以下のすべての伝達について履行されたとみなされる。すなわち,a. 名宛人の分類,取扱いの目的,及び伝達されたデータの分類が同様である限り,同様の条項及び保証に基づく伝達,又はb. 提供される条項又は保障がデータの適切な保護を保証することができる限り,同様の法人又は企業,あるいは同グループ企業に属する企業間で実施される伝達」(nOLPD第9条3項)につき,取扱責任者の通知義務は,その契約条項及び特別な保障がPFPDTに通知された事実をもって,履行されたものとみなされる。
第3に,データ保護に関する標準条項(第10条)につき,「取扱責任者がnLPD第16条2項d号におけるデータ保護に関する標準条項によって外国に個人データを伝達した場合,取扱責任者は,名宛人が当該標準条項を遵守することを保証するために十分な措置を講じなければならない」としている(nOLPD第10条1項)。この点につき,PFPDTは,公式のデータ保護に関する標準条項のリストを公表する(nOLPD第10条2項)。
第4に,拘束力のある社則(第11条)につき,「nLPD第16条2項e号における拘束力のある社則は,同グループ企業に属するすべての企業に適用される」ものとし(nOLPD第11条1項),第9条1項にある点,及び以下の点について記載しなければならない。すなわち,「a. 企業グループ及び各企業の構造及び連絡先;b. 拘束力のある社則の遵守を保障するための企業グループ内で実施される措置」についてである(nOLPD第11条2項)。
最後に,nOLPD第12条1項によれば,「適切な保護水準が行動規範および認証によって保障される場合に,個人データは,外国に伝達され得る」と規定する。また,行動規範は,nOLPD第9条1項にある点を記載し,事前にPFPDTによって承認されなければならない(nOLPD第12条2項)。当該行動規範および認証は,その文書に含まれる措置を適用するために取扱責任者又は下請人によって締結された拘束力があり,かつ執行力のある協定に付されなければならない(nOLPD第12条3項)。
3.2. 取扱責任者及び下請人の義務
nOLPD第2章では,取扱責任者及び下請人の義務の履行方法を具体的に明記している。まず,nOLPD第13条は,通知義務の手段(modalités du devoir d’informer)について規定している。nOLPD第13条1項によれば,「取扱責任者及び下請人は,簡潔で,理解可能で,かつ容易に利用可能な方法で,個人データの収集についての情報を伝達する」と規定する。また,nOLPD第13条2項では,「その情報が絵文字と組み合わせている場合に,当該情報は,電子媒体によって表示されるならば,機械によって識別可能でなければならない」と規定する。
nOLPD第14条は,個人データの収集時の連邦機関の通知義務に関する特別規定であり,「該当者が情報を提供される必要がない場合,特にアンケートの方法で個人データの計画的に収集する連邦機関は,その回答の任意的性質を該当者に通知しなければならない」とする。また,
nOLPD第15条は,個人データの伝達時の情報について,「取扱責任者及び下請人は,個人データの現状,信頼性,及び網羅性を名宛人に示さなければならない。それらの情報が当該データ又はその状況に関連する場合は,この限りではない」と規定している。
nOLPD第16条では,個人データの修正,削除,又は廃棄,及びその取扱制限に関する情報につき,「取扱責任者は,個人データの修正,削除,又は廃棄,及びその取扱制限に関する個人データを伝達した名宛人に対して,無期限で通知しなければならない。通知が不可能,又は不均衡な努力を要する場合には,その限りではない」と規定する。
nOLPD第17条は,自動化された個人の意思決定について,「該当者の意見又は自然人による決定の再検査を主張することを求める自動化された個人の意思決定による該当者は,その事由に基づいて不利となり得ない」と規定する。
nOLPD第18条は,個人データの保護に関する影響評価の形式及び保管につき,「取扱責任者は,個人データの保護に関する影響評価を書面によって記録する。当該影響評価は,データの取扱い後,2年間保管される」と規定する。
nOLPD第19条は,データの安全性違反の通知(annonce des violations de la sécurité des données)について規定しているが,これはnLPD第24条でも規定されている。まず,nLPD第24条1項は,以下のように規定する。すなわち,「取扱責任者は,PFPDTに対して,できる限り早急に,該当者の人格権及び基本的人権に対する高リスクが生じるおそれのあるデータの安全性違反に関する事案を報告する。」としている。当該報告は,「少なくとも,データの安全性違反の性質,その結果及び講じられた,又は予想される措置をしめさなければならない」(nLPD第24条2項)。取扱責任者に加えて,「下請人は,取扱責任者に対して,できる限り早急に,データの安全性違反に関するすべての事案を報告しなければならない」(nLPD第24条3項)。該当者を保護するために必要である場合,又はPFPDTが求める場合には,取扱責任者は,該当者に通知する(第24条4項)。また,「取扱責任者は,以下の場合において,該当者の情報を制限,延期,又は放棄することができる。すなわち,a. nLPD第26条1項b号,又は同2項b号における事由,或いは情報を禁止する秘密保持に関する法的義務が存在する場合;b. 当該情報を提供することが不可能である場合,又は不均衡な努力を要する場合;c. 該当者の情報が公衆通信(communication publique)によって同等の手段で保障され得る場合」。
nLPD第24条1項に規定されているPFPDTに対する報告につき,nOLPD第19条がその具体的な内容について明記している。すなわち,「データの安全性に対する違反がある場合,取扱責任者は,PFPDTに対して,以下のことを報告する。すなわち,a. 違反の性質;b. 可能な限り,時期及び期間;c. 可能な限り,該当する個人データの分類及び概算数(nombre approximatif);d. 可能な限り,該当する個人データの分類及び概算数(nombre approximatif);e. 該当者についての可能性のあるリスクを含む結果;f. その不履行を回復する,又はその結果を軽減するために講じられる措置,又は予期される措置;g. 連絡人の氏名及び連絡先」(nOLPD第19条1項)。また,「データの安全性違反を発見した際に,取扱責任者が同時に同条第1項によって規定されるすべての情報をPFPDTに提供することができない場合に,取扱責任者は,過度な遅滞なく段階的にそれらの情報をPFPDTに提供することができる」(nOLPD第19条2項)。
3.3. 該当者の権利
3.3.1. アクセス権
nLPD第25条第1項では,「何人も,個人データが自らを取り扱っているか否かにつき,取扱責任者に対して請求することができる」と規定し,個人データの該当者のアクセス権を規定している。同条第2項では,「該当者は,以下のような必要な情報を受領することができる」と規定し,「a. 取扱責任者の身分および連絡先;b. 取り扱われた個人データ;c. 取扱目的;d. 個人データの保管期間,又は不可能な場合,その期間を定めるための基準;e. 個人データの出所に関する利用可能な情報(当該データが該当者に対して収集されなかった場合);f. 必要な場合には,自動化された個人の意思決定,及びその決定に基づく論理;必要な場合には,個人データが伝達された名宛人の分類,及びnLPD第19条4項に規定される情報」を受領することができる。特に,該当者の医療関連データについては,注意を要するデータ(données personnelles sensibles)であるため,該当者が指名した医療従事者を通じ,該当者の同意をもって,該当者に伝達することができる(nLPD第25条3項)。下請人によってなされた個人データの取扱いであっても,その取扱責任者は,請求のあった情報を提供する義務から解放されない(nLPD第25条4項)。より重要な点は,「何人も,アクセス権を自演に放棄することはできない」と規定され(nLPD第25条5項),該当者に対する外的圧力から該当者を保護する役割を果たしていると言えるだろう。このアクセス権の行使に対して,取扱責任者は,請求された情報を無料で提供しなければならないが,その請求によって取扱責任者にとって不均衡な努力を必要とする場合には,連邦評議会は,その例外を規定することができる(nLPD第25条5項)。その情報提供の期限は,30日以内である(nLPD第25条6項)。この点につき,nOLPD第23条は,同条1項で「情報の伝達が不均衡な努力を要する場合には,費用に合致する公平な関与を求められ得る」とし,「控除額は,最大で300スイスフランとなる」(nOLPD第23条2項)。また,「該当者は,金額を事前に通知され,10日間はその請求を撤回することができる」(nOLPD第23条3項)。
このアクセス権につき,nOLPD第20条では,アクセス権の行使方法について規定されている。すなわち,同条第1項では,「情報請求は,書面によって行われる。それは,取扱責任者の同意によって,口頭で行うこともできる」とし,該当者による取扱責任者に対する情報請求権の行使は,原則として書面で行われ,例外として,取扱責任者の同意がある場合には,口頭で行うことができる。また,その情報自体も,原則として,書面によって提供されなければならず(nOLPD第20条2項),提供される情報は,該当者によって識別可能でなければならない(nOLPD第20条3項)。取扱責任者は,その情報の伝達の際に,該当者の身元の保証,及び無許可の第三者によるアクセスから該当者のデータを保護のための十分な措置を講じなければならない(nOLPD第20条4項)。
個人データの取扱いのための取扱責任者が複数いる場合には,該当者は,その取扱責任者らに対してアクセス権を行使することができ,その取扱責任者のうちの一人が該当者による情報請求を取り扱う権限を有していない場合,当該情報請求を権限を有する取扱責任者に移転しなければならない(nOLPD第21条1項)。その情報請求が下請人によって取り扱われたデータを含む場合には,取扱責任者は,その情報提供を自ら行うことができない場合に,下請人に対して当該請求を移転する(nOLPD第21条2項)。
情報請求を受領した後,30日以内に,その情報を該当者に提供しなければならず,取扱責任者がアクセス権を拒絶,限定,又は延期する場合,取扱責任者は,当該権利を同期間で伝達する(nOLPD第22条1項)。その情報が30日以内に提供されない場合,その期間を該当者に示すことで,該当者にその情報を通知する(nOLPD第22条2項)。
3.3.2. 個人データの提供権又は転送権
アクセス権に加えて,nOLPD第24条は,個人データの提供権又は転送権につき,以下のように規定する。すなわち,「第20条1項,4項,及び5項,並びに第21条,第22条,及び第23条は,個人データの提供権又は転送権,並びにそれらに対する起こり得る制限に対して,類推によって適用される」と規定する。
3.4. 私人による個人データの取扱いに関する特別規定
nLPDでは,第30条から第32条において,私人による個人データの取扱いに関する特別規定を規定している。まず,LPD第30条では,人格権に対する侵害について規定し,同条1項では,「個人データを取り扱う者は,該当者の人格権に対する違法な侵害をもたらしてはならない」と規定している。人格権に対する違法な侵害を構成する事実は,①「第6条及び第8条に規定する原則に違反して個人データが取り扱われる場合」,②「該当者の明確な意思表示に反して個人データを取り扱う場合」,③注意を要するデータを第三者に伝達する場合」である(nLPD第30条2項)。もし該当者がその個人データをすでにアクセス可能にし,取扱いにつき明確に反対していない場合には,人格権に対する侵害を構成しない(nLPD第30条3項)。
人格権に対する侵害が認められる場合には,nLPD第31条に基づき,その違法な行為を正当化することができる。この点につき,nLPD第31条1項は,「人格権に対する侵害は,該当者の同意,優越的な私益又は公益,又は法律によって正当化されない限り,違法となる」と規定する[8]。
これに加えて,nLPD第32条1項は,「該当者は,以下の場合を除き,不正確な個人データを修正することを請求することができる」とし,その場合とは,①「法規定によって修正が禁止されている場合」,又は②「公益に合致するアーカイブを作成する目的でデータが取り扱われる場合」である。人格権の保護に関する訴訟は,民法典第28条,第28a条,第28g条から第28l条によって規定されている(nLPD第32条2項)。これらを用いる場合には,請求者は,⑴「個人データの定めれた取扱いの禁止」,⑵「第三者への個人データの定めれた伝達の禁止」,⑶「個人データの削除又は廃棄」を求めることができる。
nLPDの規定に対して,nOLPDは,第25条において,データ保護アドバイザーの役割について規定している。nOLPD第25条1項によれば,「私的な取扱責任者の個人データ保護アドバイザーは,以下の業務を行わなければならない。すなわち,a. 個人データの取扱い及びその請求を管理し,データの保護に関する規定に違反することが認められる場合にその措置を提案すること; b. 私的な取扱責任者がnLPD第23条4項に基づきPFPDTに協議することを放棄するすべての場合において,データ保護に関する影響評価の作成に協力し,それを確認すること」である。また,私的な取扱責任者は,❶「必要な資源をデータ保護アドバイザーに対する提供」,及び「その業務を履行するために必要となる取扱活動に関するすべての情報,書類,記録,及び個人データをデータ保護アドバイザーに提供」しなければならない(nOLPD第25条2項)。
nOLPD第26条は,「初年度に従業員数が250人以下の企業及びその他の機関,及び自然人は,以下の基準のうちの一つを満たさない限り,取扱活動を記録する義務から解放される。すなわち,a. その取扱いが大規模な注意を要するデータを対象とする場合;b. その取扱いが高リスクなプロファイリングにあたる場合」と規定する。
4. 結びに
本稿は,新しく発効することになるnLPDを補完する役割を果たすオルドナンスの内容について簡単に確認した。本稿で確認することができた点は,企業に関する規定のみであり,連邦政府に関する規定については,別稿で検討することにしたい。また,nLPD及びnOLPDを正確に理解するためには,これらの法律が発効したのちの裁判所の判例を随時確認し,新しい条文の解釈方法を知らなければならない。それによって,nLPD及びnOLPDの内容を正確に知ることができる。これらの点についての研究は,今後の課題としたい。
† 明治大学修士課程修了(LL.M),ローザンヌ大学修士課程修了(LL.M),ローザンヌ大学博士課程在籍(PhD)。
[1] すべてのスイスデータ保護法改正案に関する文書は,https://www.bj.admin.ch/bj/fr/home/staat/gesetzgebung/datenschutzstaerkung.htmlを参照せよ。
[2] Livio di Tria (2021), “Ouverture de la procédure de consultation de l’Ordonnance fédérale sur la protection des données”, _swissprivacy.com, publié au 23 juin 2021, disponible sur https://swissprivacy.law/81/.
[3] nLPDについての簡単な紹介は,以下を参照せよ。篠原翼「スイスにおけるデータ保護法の基本枠組みと改正法案について」,Swiss-Japanese Legal Research Blog, published on 30 August 2021, available at https://swissandjapanlegaltsubasa.com/2021/08/30/スイスにおけるデータ保護法の基本枠組みと改正/; また,連邦機関によるデータ保護に関する規定(nLPD第33条から第42条,nOLPD第27条から第36条)及びPFPDT(nLPD第43条から第59条,nOLPD第37条から45条)については,別稿で取り扱うことにしたい。また,nLPDとnOLPDの全訳については,随時公開予定である。
[4] 英語では,controllerと表記され,管理者(responsable du traitement)と訳されている場合があるが,フランス語では,responsable du traitementと表記されているため,スイスの公式言語であるフランス語に準拠し,「取扱責任者」と訳すことにする。
[5] 当該文言は,英語でprocessorと表記され,通常「処理者」と訳されているが,フランス語では,sous-traitantとされているため,「下請人」と訳出することにする。
[6] 自動化取扱い(traitement automatisé)の定義は,個人データの自動取扱いに関する個人の保護のための条約(Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel)第2条c号を参照。すなわち,自動化取扱いとは,「自動手段によって全体又は部分的に実施された以下の処理:データの登録,論理演算・算術演算データへの適用,その修正,削除,抽出又は流布」のことをいう(« traitement automatisé» s’entend des opérations suivantes effectuées en totalité ou en partie à l’aide de procédés automatisés: enregistrement des données, application à ces données d’opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion)。
[7] 現在,44カ国がスイス連邦評議会によってその個人データ保護立法の十分性を認められている。その国家は,以下の通りである。ドイツ,アンドラ,アルゼンチン,オーストリア,ベルギー,ブルガリア,カナダ,キプロス,クロアチア,デンマーク,スペイン,エストニア,フィンランド,フランス,ジブラルタル,ギリシャ,ガーンジー共和国,イスラエル,イタリア,ジャージー,ラトビア,リヒテンシュタイン,リトアニア,ルクセンブルク,マルタ,モナコ,ノルウェー,ニュージーランド,オランダ,ポーランド,ポルトガル,チェコ共和国,ルーマニア,イギリス,ハンガリー,マン島,フィオーレ島,アイルランド,アイスランド,スロバキア,スロベニア,スウェーデン,ウルグアイ。
[8] 特に,優越的な私益又は公益については,nLPD第31条2項によって具体化されている。
コメントを残す