EDPB が2018年11月16日に採用した Guidelines 3/2018 の内容を3回に分けて解説していきます。これは “Version for public consultation”(意見公募稿)という言葉がついているので、公募意見を反映した最終版が発行された場合は内容の改訂がされます。とはいえとても参考になるため、今からご紹介することとしました。
このガイドラインではプライバシーの専門家で GDPR にかかわったことのある人にとっては「そこを聞きたかった!」という以下の内容が説明されているのです!
- “establishment” の判断基準
- “in the context of the activities of” の解釈の基準
- “monitoring of data subjects” の解釈の基準
- “representative” の職務と任命義務
では、さっそくGuidelines 3/2018 の解説の一回目をはじめましょう!今日は「拠点(”establishment”)」に着目します。
質問:GDPR は私の組織に適用されるのですか?
ケース・スタディを活用して具体的に考えながら、イメージがわくように説明します。ガイドラインって何?という方は、以下の投稿を参考にしてください。
[yuryowaku]
有料会員になると、以下のコンテンツをご覧いただけます。
- GDPR の第3条1項があてはまるかを考えてみよう
- ケース1:欧州域内に全額自社出資の子会社がある場合
- “establishment”(拠点)って支店や支社のことではないの?!
- ウェブサイトや展示会を通じて集客しているだけだから大丈夫?
- ケース2:欧州域内にプロモーションを行っているだけの場合
- ケース3:欧州域内にマーケティング機能だけがある場合
- GDPR は欧州の個人データに対して適用されるという理解は正しくない?!
- ケース4:欧州域内の管理者が欧州域外の市場をターゲットとしている場合
- ケース5:指示は欧州域内から、実処理作業は欧州域外という場合
- 欧州の企業に仕事を外注しているのですが、 GDPR が適用されますか?
- ケース6:欧州域内の処理者を使用するが、管理者には GDPR が適用されない場合
- 欧州の企業から仕事を受託していると、GDPR が適用されますか?
- ケース7:欧州域内の組織から欧州域外の組織が仕事を受託する場合