詳細(4)
個人データの国際的な移動
第25条は、個人データの移動先相手国が「適切なレベルの保護を保障」している場合以外は、一般的に個人データのEEA外への移動を禁じている。 保護レベルの適切性は、データの本質、提案された処理作業の目的および期間、データの移転元の国および最終目的国、ある特定の国で遵守されている法的要求事項および職業上の基準といったさまざまな要因を考慮するものとする。 第三国において適切な措置がとられていない場合は、国家データ保護当局は、データの受取人が適切な水準の安全保障措置を講じることをデータの移動に関する契約書で規程することで納得した場合にのみデータの移動を許可する。
第26条では、以下のようなEEA以外の国への個人データの移動を第25条からの免除として取り扱っている。
- データ主体が明確な同意をした移動(これは個人データの受取国や受取人についての知識を含む)
- データ主体と管理者の間の契約の履行、あるいはデータ主体の要請による契約前の措置を必要とする移動
- データ主体のために管理者と第三国の間で締結された契約の作成あるいは履行のために必要とされる移動
- 重要な公衆の利益のため、あるいは法的請求の提起、行使または防御のために必要な移動
- データ主体の重要な権利を保護するために必要な移動
- 法律または規則に従って、公衆または正当な権利を有するすべての者が参照できるよう公開することを意図している登録から行われる移動
セクター特有の行動規約
第27条は、EU委員会と加盟国に、「加盟国が、さまざまなセクターに特有な特徴を考慮して、[EUデータ保護]指令にしたがって加盟国が採択する国内規則の適切な実施に役立てるために」行動規約の作成を推進するよう指示している。 そのような行動規約を当該国内データ保護当局、あるいはEUデータ保護指令の第29条に従って召集された調査委員会(ワーキング・パーティ)に提出することについての規約案が作成されている。
救済、責任および制裁
第22条から第24条では、EUの各加盟国が、特定の制裁やEUデータ保護指令の完全施行を徹底することを含む「適切な」措置を採用する責任について述べている。 第22条によると、加盟国の実施措置では少なくとも、「データ処理に適用される国内法が保障する権利のすべての侵害に対して、司法的救済を受ける権利」の承認を謳わなくてはならないことになっている。 加盟国はまた、適用可能なデータ保護保障に反する行為によって損害を被ったすべての者に「管理者から損害賠償を受け取る権限を与えるものとする」としている。
ICC/ESOMAR国際綱領
EUデータ保護指令の主な要求事項はマーケティング・リサーチに関する限り、50年前に最初に制定されたICC/ESOMAR国際綱領に反映されている。 マーケティング・リサーチの実施に影響を与える、上記に要約されたEU指令による要求事項は、ICC/ESOMAR国際綱領についての『注釈』で考慮されている。
データがいかなる自然人とも結びつかないように非個人化された時点で、そのようなデータは、もはやEUデータ保護指令で定義する「個人データ」ではなくなることを強調するのは重要である。 データが非個人化される前に情報主体に与えられていたアクセス権、またデータ処理方法に対する管理や反対等の権利は、データが非個人化された時点で消滅する。 ICC/ESOMAR国際綱領およびそれに付随する『注釈』では同様の制限を設けており、それはデータ主体のプライバシーの権益が、個人と結びつくことのできるデータを開示することによって傷つけられることがあってはならないという認識に基づくものである。
EUデータ保護指令およびそれに関連する国内法を実効のあるものとする自主規制は、適切な懲戒手続きおよび制裁事項を伴わなければならない。 このことについては、ICC/ESOMAR国際綱領のセクションE(マーケティング・リサーチ綱領のIII.綱領の施行)およびそれに付随する注釈で言及されている。 個人データ処理の取り扱いについての条文を含むICC/ESOMAR国際綱領の違反の際に用いられる手続きおよび制裁の詳細は、「ESOMAR懲戒手続き」という別文書に記述されている。
2001年6月 アムステルダム
