GDPRでは確かに巨額の制裁金が設定されています。
その金額は、最大2,000万ユーロ(1ユーロ=140円として28億円)または前会計年度の
世界全体における売上総額の4%いずれか高い方と規定されています。
世界全体における売上高が700億円を超える企業は2,000万ユーロを超える制裁金を課せられる可能性があります。
もう少し詳しく言えば、制裁金の金額には2種類あります。
一つ目は先ほど出てきた
「最大2,000万ユーロまたは前会計年度の世界全体における売上総額の4%いずれか高い方」というものです。
こちらはGDPRの定める「原理原則」に従わなかった場合に課せられます。
(GDPRの「原理原則」がどのようなものか、どの条項に違反したときにこの制裁金の金額が該当するかについてはまた後で触れます。)
二つ目は「最大1,000万ユーロまたは前会計年度の世界全体における売上総額の2%いずれか高い方」というものです。
こちらは個人データ保護についての「技術的な対策」に不備があった場合に課せられます。
(「技術的な対策」の具体的な内容か、どの条項に違反したときにこの制裁金の金額が該当するかについてはまた後で触れます。)
しかし、この法律が目指しているのは制裁金を課すことではなく、
あくまでも個人データを公正に扱うことであることを覚えておかなければなりません。
GDPRとはデジタル・エコニミー化が進み個人データの経済的価値が高まっている時代に、
個人のプライバシー権を保障することを目指している法律です。
巨額の制裁金はあくまで最終手段だと理解してください。