個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則(EU)2016/679（一般データ保護規則）

[文書名]　個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則(EU)2016/679（一般データ保護規則）

[備考]　本書面は、“REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)” の英語版の前文を個人情報保護委員会が翻訳したものである。本書面は参考のための仮日本語訳であって、その利用について当委員会は責任を負わないものとし、正確な内容については原文を参照されたい。また、翻訳の内容について、必要な場合には随時修正することがある点についてもご留意いただきたい。（内閣府・個人情報保護委員会）

欧州連合の機能に関する条約、及び、特に、同条約の第16条に鑑み、

(1)　個人データの取扱いと関連する自然人の保護は、基本的な権利の一つである。欧州連合基本権憲章（以下「憲章」という。）の第8条第1項及び欧州連合の機能に関する条約（以下「TFEU」という。）の第16条第1項は、全ての者が自己に関する個人データの保護の権利を有すると定めている。

(2)　自然人の個人データの取扱いと関連する自然人の保護の基本原則及びそれと関連する法令は、その国籍及び居住地がいかなるものであれ、自然人の基本的な権利及び自由を尊重し、特に、その個人データ保護の権利を尊重する。本規則は、自由、安全及び正義の領域の達成及び経済共同体の達成、経済的及び社会的な成長、域内市場における経済の強化及び収斂、並びに、自然人の福利に貢献しようとするものである。

(3　)欧州議会及び理事会の指令95/46/EC＊４＊は、取扱活動と関連する自然人の基本的な権利及び自由の保護を整合性のとれたものとすること、そして、加盟国間における個人データの自由な移転を確保することを求める。

(4)　個人データの取扱いは、人間に奉仕するために設計されるべきである。個人データ保護の権利は、絶対的な権利ではない；すなわち、それは、比例性原則に従い、社会におけるその機能との関係において判断されなければならず、かつ、他の基本的な権利とバランスのとれたものでなければならない。本規則は、全ての基本的な権利を尊重し、そして、憲章によって認められ、諸条約に掲げられている自由及び基本原則、特に、私的な家庭生活、住居及び通信の尊重、個人データの保護、思想、信条及び信教の自由、表現及び情報伝達の自由、事業活動を営む自由、実効的な救済及び公正な裁判を受ける権利、並びに、文化上、宗教上及び言語上の多様性を尊重する。

(5)　域内市場の機能からもたらされる経済及び社会の統合は、個人データの国境を越える移転の大規模な増加を導いた。EU全域において、自然人、団体及び事業者を含め、公的な行為主体及び民間の行為主体の間における個人データの交換が増加した。加盟国の国家機関は、EU法によって、加盟国自身の職務を遂行できるようにするため、又は、他の加盟国の機関の代わりにその職務を行うことができるようにするため、協力すること、及び、個人データを交換することが求められている。

(6)　急速な技術発展とグローバル化は、個人データ保護に対して新たな課題をもたらした。個人データの収集及び共有の規模は、大きく増加した。技術は、私企業と公的機関のいずれに対しても、その活動の遂行のために、かつてない規模で個人データを利用できるようにしている。自然人は、個人情報を公開で、グローバルに利用できる機会を増加させている。技術は、経済と社会生活の両方を変容させ、また、高いレベルの個人データ保護を確保しつつ、EU域内における個人データの自由な移転と第三国及び国際機関に対する移転をさらに促進しなければならない。

(7)　域内市場全域にわたりデジタル経済を発展させることができるようにする信頼を形成することの重要性に鑑み、それらの発展は、強力な執行によって支えられたEU域内における強力かつより一貫性のある個人データ保護の枠組みを必要とする。自然人は、自身の個人データの支配権限をもつべきである。自然人、事業者及び公的機関のための法的安定性及び実務上の確実性は、高められなければならない。

(8)　加盟国の国内法によるその法令の仕様又は制限を本規則が定める場合、加盟国は、その一貫性を保つため、及び、その法令の適用を受ける者にとって国内条項を理解しやすくするために必要がある範囲内で、本規則の諸要素を国内法の中に組み込むことができる。

(9)　指令95/46/ECの目的及び基本原則は、今なお正しいものであるが、EU全域における個人データ保護の実装の断片化、法的な不安定性、又は、特に、オンライン上の行為に関して、自然人の保護に対する重大なリスクがあるという一般的な認識が広がることを防止できなかった。加盟国内における個人データの取扱いに関し、自然人の権利及び自由、特に個人データ保護の権利のレベルに相違があることは、EU全域にわたる個人データの自由な移転を妨げうる。それゆえ、それらの相違は、EUのレベルでの経済活動の遂行の障碍を構成しうるものであり、競争を歪め、そして、EU法に基づく当局の職責遂行を害するものとなりうる。そのような保護のレベルの相違は、指令95/46/ECの実装及び適用における相違が存在することによるものである。

(10)　一貫性があり高いレベルの自然人の保護を確保するため、そして、EU域内における個人データの流通の障碍を除去するために、そのデータの取扱いと関連する自然人の権利及び自由の保護のレベルは、全ての加盟国において均等でなければならない。EU全域において、個人データの取扱いと関連する自然人の基本的な権利及び自由の保護について法令の一貫性のある均質な適用が確保されなければならない。法律上の義務の遵守のための個人データの取扱い、公共の利益において行われる職務、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のための個人データの取扱いに関し、加盟国は、本規則の規定の適用の細則を定める国内法上の条項を維持又は導入することが認められなければならない。指令95/46/ECを実装する一般的で水平的なデータ保護法と併せ、加盟国は、より細かな条項を必要とする分野におけるいくつかの部門別の法律をもっている。本規則は、特別な種類の個人データ（以下「センシティブデータ」という。）の取扱いに関するものを含め、加盟国がその法令を定める余地も与えている。その範囲内で、本規則は、個人データの取扱いが適法であることの条件をより詳細に定めることを含め、特別な取扱いをする状況のための前提となる事情を定める加盟国の国内法を排除しない。

(11)　EU全域における個人データの実効的な保護は、データ主体の権利及び個人データを取扱う者とその取扱いを決定する者の義務を強化し、かつ、その詳細を定めること、並びに、加盟国内において個人データ保護法令の遵守を監視し、確保するための均等な権限及び違反行為に対する均等な制裁を必要とする。

(12)　TFEUの第16条第2項は、欧州議会及び欧州理事会に対し、個人データの取扱いと関連する自然人の保護に関する法令及び個人データの自由な移動に関する法令を制定することを命じている。

(13)　EU全域において自然人のための一貫性のあるレベルの保護を確保し、かつ、域内市場内における個人データの自由な移動を妨げる格差を防止するため、中小零細企業を含む事業者に対して法的安定性と透明性を定め、全ての加盟国内の自然人に対して同じレベルの法的に執行可能な権利、そして、管理者及び処理者の義務と責任を定め、個人データの取扱いの一貫性のある監視、及び、全ての加盟国において均等な制裁、並びに、異なる加盟国の監督機関の間における効果的な協力を確保するための規則が必要である。域内市場が適正に機能するためには、個人データの取扱いと関連する自然人の保護と関係する理由によって、EU域内における個人データの自由な移動が制限又は禁止されないことが求められる。中小零細企業の特殊事情を考慮に入れるため、本規則は、記録の保管に関し、従業員数250名未満の組織のための例外を含める。加えて、EUの機関及び組織並びに加盟国及びその監督機関は、本規則の適用に際し、中小零細企業の特別の必要性を考慮に入れることが推奨される。中小零細企業の概念については、委員会勧告2003/361/EC＊５＊の別紙の第2条に規定するとおりである。

(14)　本規則によって与えられる保護は、その国籍及び居住地がいかなるものであれ、自然人の個人データの取扱いとの関係において、自然人に対して適用される。本規則は、法人の名称及び形式並びに法人の連絡先を含め、法人と関係する個人データの取扱い及び特に法人として設立された事業者と関係する個人データの取扱いをその適用対象としない。

(15)　適用を免れる重大なリスクがつくり出されることを防止するため、自然人の保護は、技術的に中立でなればならず、かつ、用いられる技術に依存するものであってはならない。自然人の保護は、自動的な手段による個人データの取扱い、及び、その個人データがファイリングシステムに含められている場合又は含められる予定である場合には、手作業の取扱いによる個人データの取扱いに適用される。特定の基準に従って構成されていないファイル若しくは一群のファイル及びその表紙は、本規則の適用範囲内にない。

(16)　本規則は、国家安全保障と関係する活動のようなEU法の適用範囲外にある活動と関連する基本的な権利及び自由の保護の問題並びに個人データの自由な流通の問題には適用されない。EUの共通の外交政策及び安全保障政策との関連においてその活動が行われる場合、本規則は、加盟国による個人データの取扱いに対して適用されない。

(17)　欧州議会及び理事会の規則(EC)No45/2001＊６＊は、EUの機関、組織、事務局及び部局による個人データの取扱いに適用される。規則(EC)No45/2001及びそのような個人データの取扱いに適用可能なEUの法律行為は、本規則に定める基本原則及び規定に合わせて調整されなければならず、また、本規則に照らして適用されなければならない。EUにおける強固かつ一貫性のあるデータ保護の枠組みを定めるため、本規則の採択の後、本規則と同時に適用できるようにするため、規則(EC)No45/2001の必要な調整が行われなければならない。

(18)　本規則は、純粋に私的な行為又は家庭内の行為の過程における自然人による個人データの取扱いであって、職業活動又は商業活動とは何らの関係もないものには適用されない。私的な行為又は家庭内の行為は、手紙のやりとり及びアドレスの保管、又は、そのような行為の過程で行われるソーシャルネットワーキング及びオンラインの行為を含みうる。ただし、そのような私的な行為又は家庭内の行為のために個人データの取扱いの手段を提供する管理者又は処理者に対しては、本規則が適用される。

(19)　公共の安全への脅威からの保護及びその脅威の抑止を含め、犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行の目的のため、並びに、そのデータの自由な移動の目的のための所轄官庁による個人データの取扱いと関連する自然人の保護は、EUの特別の法的行為に服する。それゆえ、本規則は、それらの目的のための取扱行為に適用されない。ただし、本規則に基づく公的機関による個人データの取扱いは、それらの目的のために用いられるときは、EUのさらに特別の法律行為、すなわち、欧州議会及び理事会の指令(EU)2016/680＊７＊によって規律される。加盟国は、それがEU法の適用範囲内にある限り、それらの別の目的のための個人データの取扱いが本規則の適用範囲内にあるようにするため、指令(EU)2016/680の意味における所轄官庁に対し、公共の安全への脅威からの保護及びその脅威の防止を含め、犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行の目的で行われる必要のない職務を委任できる。本規則の適用範囲内にある目的のためのそれらの所轄官庁による個人データの取扱いに関して、加盟国は、本規則の規定の適用を調整するためのより特則的な条項を維持し、又は、それを導入できる。そのような条項は、それぞれの加盟国の国家体制上、国家組織上及び行政上の構造を考慮に入れた上で、それらの別の目的のための所轄官庁による個人データの取扱いについて、より詳細に特別の要件を定めることができる。民間組織による個人データの取扱いが本規則の適用範囲内にある場合、本規則は、公共の安全への脅威からの保護及びその脅威の防止を含め、公共の安全、犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行を含む特別に重要な利益の保護のために、民主社会において必要であり、かつ、比例的な措置であるときは、加盟国が、特別の条件の下で、法律に基づき、一定の義務と権利を制限できることを定めなければならない。これは、例えば、反マネーロンダリングの枠組み又はフォレンジック調査機関の活動と関連するものである。

(20)　本規則が、特に、裁判所及びその他の司法機関の活動に対して適用されるのとは別に、EU法又は加盟国の国内法は、裁判所及びその他の司法機関による個人データの取扱いと関連する取扱業務及び取扱手続を定めることができる。判決を含め、その司法上の職務の遂行における司法権の独立を保護するため、裁判所がその司法上の権能において行動する場合における個人データの取扱いに対しては、監督機関の職務権限が及ぶものとしてはならない。加盟国の司法制度内にある特別の組織に対してそのようなデータ取扱業務の監督を委任できるものとしなければならない。その組織は、特に、本規則の規定の遵守を確保し、司法機関の構成員の間に、本規則に基づく司法機関の義務の認識を拡大し、そして、そのようなデータ取扱業務と関連する不服申立てを取り扱わなければならない。

(21)　本規則は、欧州議会及び理事会の指令2000/31/EC＊８＊の適用、特に、同指令の第12条ないし第15条に定める中間介在者であるサービスプロバイダの法的責任に関する法令の適用を妨げない。同指令は、加盟国間における情報社会サービスの自由な移動を確保することによって、域内市場の適正な機能に貢献することを求めるものである。

(22)　EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いは、その取扱いそれ自体がEU域内で行われたか否かにかかわらず、本規則に従って行われなければならない。拠点とは、安定的な仕組みを通じて行われる実効的かつ現実の活動の実施を意味する。そのような仕組みの法的形式、その支店又は法人格を有する子会社を通じているかは、この点に関する決定的要素とならない。

(23)　自然人が本規則に基づいて与えられる保護を妨げられないことを確保するために、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いは、その取扱行為が、支払いと関係するか否かにかかわらず、そのようなデータ主体に対する物品又はサービスの提供と関連する場合には、本規則に服さなければならない。EU域内のデータ主体に対してそのような管理者又は処理者が物品又はサービスを提供しているか否かを判断するために、EU域内の一又は複数の加盟国内のデータ主体に対してその管理者又は処理者がサービスを提供しようとする意図が明白かどうかを確認しなければならない。単に管理者、処理者又はその中間介在者のEU域内のWebサイト、電子メールアドレス又はその他の連絡先にアクセスできるということ、又は、管理者が拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分であるが、一又は複数の加盟国内で一般的に用いられている言語及び通貨を用いて当該別の言語による物品及びサービスの注文ができること、又は、EU域内にいる消費者又は利用者に関する言及があることといったような要素は、その管理者がEU域内のデータ主体に対して物品又はサービスの提供を想定していることを明白にしうるものである。

(24)　EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いは、そのようなデータ主体の行動の監視と関連する場合においても、そのデータ主体の行動がEU域内で行われるものである限り、本規則に服さなければならない。取扱行為がデータ主体の行動の監視と考えられうるか否かを判断するためには、自然人のプロファイリングを構成する個人データの取扱い技術が後に使用される可能性を含め、自然人がインターネット上で追跡されているかどうか、特に、データ主体に関連する判断をするため、又は、データ主体の個人的な嗜好、行動及び傾向を分析又は予測するために追跡されているかを確認しなければならない。

(25)　国際法の効力によって加盟国の国内法が適用される場合、EU域内に拠点のない管理者、例えば加盟国の大使館又は領事館などに対しても、本規則が適用されなければならない。

(26)　データ保護の基本原則は、識別された自然人又は識別可能な自然人に関する全ての情報に対して適用されなければならない。追加情報を使用しての利用によって自然人に属することを示しうる、仮名化を経た個人データは、識別可能な自然人に関する情報として考えられなければならない。ある自然人が識別可能であるかどうかを判断するためには、選別のような、自然人を直接又は間接に識別するために管理者又はそれ以外の者によって用いられる合理的な可能性のある全ての手段を考慮に入れなければならない。自然人を識別するために手段が用いられる合理的な可能性があるか否かを確認するためには、取扱いの時点において利用可能な技術及び技術の発展を考慮に入れた上で、識別のために要する費用及び時間量のような、全ての客観的な要素を考慮に入れなければならない。それゆえ、データ保護の基本原則は、匿名情報、すなわち、識別された自然人又は識別可能な自然人との関係をもたない情報、又は、データ主体を識別できないように匿名化された個人データに対しては、適用されない。本規則は、それゆえ、統計の目的又は調査研究の目的を含め、そのような匿名情報の取扱いに関するものではない。

(27)　本規則は、死亡した者の個人データには適用されない。加盟国は、死亡した者の個人データの取扱いに関する規定を定めることができる。

(28)　個人データに仮名化を適用することは、関係するデータ主体に対するリスクを低減させうるものであり、また、管理者及び処理者がそのデータ保護上の義務を遵守することを助けるものである。本規則における「仮名化」の明示的な導入は、データ保護のためのそれ以外の手段を排除することを意図するものではない。

(29)　個人データを取扱う際に仮名化を適用するインセンティブをつくり出すために、一般的な分析を認めることとは別に、関係する取扱いについて、本規則が実装されること、及び、特定のデータ主体に対して個人データを割り当てるための追加情報が別個に保管されることを確保するために必要となる技術上の措置及び組織上の措置を管理者が講じたときは、同一管理者内において、仮名化の手段を利用できるものとしなければならない。個人データを取扱う管理者は、同一管理者内で権限を与えられた者を表示しなければならない。

(30)　自然人は、インターネットプロトコルアドレス、クッキー識別子、又は、無線識別タグのようなその他の識別子といったような、当該自然人のデバイス、アプリケーション、ツール及びプロトコルによって提供されるオンライン識別子と関連付けられうる。これは、特に、サーバによって受信されるユニーク識別子及びその他の情報と組み合わされるときは、自然人のプロファイルをつくり出し、そして、自然人を識別するために用いられうる痕跡を残しうるものである。

(31)　税務当局及び税関当局、金融情報部門、独立公的機関、又は、証券市場の規制及び監督の職責をもつ金融市場当局のような、それらの機関の公的な任務を実施すべき法的義務に従って個人データの開示を受ける公的機関は、それらの機関が、EU法又は加盟国の国内法に従い、一般的な利益における特別の調査を行うために必要な個人データを取得する場合、個人データの取得者とはみなされない。そのような公的機関から送られるデータ開示要求は、常に、書面により、理由を付し、かつ、個別的なものでなければならず、かつ、ファイリングシステム全体にかかわるものであってはならず、かつ、ファイリングシステムへの相互接続となるものであってもならない。それらの公的機関による個人データの取扱いは、その取扱いの目的によって適用されるデータ保護法令を遵守するものでなければならない。

(32)　同意は、電子的な手段による場合を含む書面による記述又は口述などにより、自己と関連する個人データの取扱いに対するデータ主体の合意の、自由に与えられ、特定され、事前に説明を受け、不明瞭ではない表示を構成する、明らかに肯定的な行為によって与えられるものとしなければならない。この同意は、インターネットWebサイトを訪問する際にボックスをチェックすること、情報社会サービスのための技術的な設定を選択すること、又は、この文脈において、自己の個人データについて提案された取扱いについてのデータ主体の承諾を明確に示す上記以外の陳述又は行為を含みうる。それゆえ、沈黙、予めチェック済みのボックス又は不作為は、同意を構成するものとしてはならない。同意は、同じ目的のために行われる全ての取扱活動を包摂しなければならない。取扱いが複数の目的をもつ場合、同意は、それらの全ての目的に対して与えられなければならない。データ主体の同意が電子的な手段による要求の後に与えられる場合、その要求は、明確であり、理解しやすく、かつ、提供されるサービスの利用を不必要に損なわないものでなければならない。

(33)　科学研究の目的のための個人データの取扱いの目的をそのデータ収集の時点で完全に特定することは、しばしば、不可能なことである。それゆえ、データ主体は、科学研究のための広く認められた倫理基準が保たれている場合、一定の分野の科学研究に対して同意を与えることができる。データ主体は、予定されている目的が許す範囲内で、一定の分野の科学研究のみ、又は、研究プロジェクトの一部分のみに対して同意を与える機会をもつものとしなければならない。

(34)　遺伝子データは、自然人の、先天的な又は後天的な遺伝的特性に関する個人データとして定義される。それは、当の自然人から得られた生体サンプルの分析結果、特に、染色体、デオキシリボ核酸（DNA）又はリボ核酸（RNA）の分析の結果、又は、それらと同等の情報を得ることのできる他の要素の分析結果である。

(35)　健康に関する個人データは、データ主体の健康状態と関係のあるデータであって、データ主体の過去、現在及び未来の身体状態又は精神状態に関する情報を明らかにする全てのデータを含む。このデータは、欧州議会及び理事会の指令2011/24/EU＊９＊に定める医療サービスのための当該自然人の登録過程において、又は、その医療サービスの当該自然に対する提供の過程において収集されるその自然人に関する情報；医療上の目的で自然人をユニークに識別するために自然人に対して特別に割り当てられた番号、シンボル又は項目；遺伝子データ及び生化学的資料を含め、身体の一部又は身体組成物の試験若しくは検査から生じる情報；並びに、例えば、医師その他の医療専門職、病院、医療機器又は体外臨床検査のような当該情報の情報源の別を問わず、例えば、データ主体の疾病、障害、疾病リスク、病歴、診療治療、生理学的状態又は生物医学的状態を示す全ての情報を含む。

(36)　EU域内における管理者の主たる拠点は、EU域内における管理者の統括管理部門の所在地としなければならない。ただし、個人データの取扱いの目的及び方法の決定がEU域内の管理者の別の拠点において行われる場合を除く。この場合、当該別の拠点が主たる拠点とみなされる。EU域内における管理者の主たる拠点は、客観的な基準に従って判断されなければならず、また、安定的な仕組みを通じて、取扱いの目的及び方法に関する主要な判断事項に関する決定をするという管理行為が実効的かつ現実になされていることを示すもでなければならない。その基準は、個人データの取扱いが当該の場所で行われているか否かには依拠しない。個人データの取扱い又は取扱活動のための技術的手段及び技術が存在すること及びそれが利用されていることは、それ自体としては、主たる拠点を構成するものではなく、それゆえ、そのことは、主たる拠点についての決定的基準とならない。処理者の主たる拠点は、EU域内における中枢機関の所在地とし、又は、EU域内に統括管理部門が存在しない場合は、EU域内において主要な取扱活動が行われる場所とすべきである。管理者と処理者の両者が関与するケースでは、管轄する主監督機関は管理者が主たる拠点をもつ加盟国の監督機関であり続けるが、処理者の監督機関は、関係監督機関とみなされるべきであり、また、当該監督機関は、本規則によって定められる協力手続に参加するべきである。いずれにせよ、処理者が一又は複数の拠点をもつ加盟国の監督機関は、決定案が管理者にのみ関係するものである場合には、関係監督機関とはみなされない。取扱いが企業グループによって行われる場合、取扱いの目的及び方法が別の企業によって決定される場合を除き、支配権をもつ企業の主たる拠点がその企業グループの主たる拠点とみなされる。

(37)　企業グループは、支配権をもつ企業とその企業による支配を受ける企業とを包含ものであり、支配権をもつ企業は、例えば、所有関係、資金関係若しくは規律するルールよって、若しくは、個人データ保護のルールを実施する権限によって、他の企業に対して支配的な影響力を及ぼすことのできる企業である。関係する企業の個人データの取扱いを管理する企業は、それらの企業と共に、企業グループとみなされる。

(38)　子どもは、個人データの取扱いと関連するリスク、結果及び関係する保護措置、並びに、自らの権利について十分に認識できないかもしれないため、その個人データに関して特別の保護を享受する。特に、マーケティングの目的、その子どもに関するパーソナリティ若しくは個人プロファイルの作成の目的での子供についての個人データの使用、及び子どもに対して直接に提示されるサービスを利用する際の子どもの個人データの収集に対して、そのような特別の保護が適用されなければならない。子どもに対して直接に提供される予防的サービスサービス又はカウンセリングサービスの文脈においては、親権を有する者の同意を要しない。

(39)　いかなる個人データの取扱いも適法かつ公正でなければならない。自然人に関する個人データが収集され、利用され、調査され、又は、それら以外の取扱いをされていること、及び、どの範囲の個人データが取扱われており、又は、取扱われることになるのかが、当該自然人に対して明らかにされなければならない。透明性の原則は、それらの個人データの取扱いと関連する情報及びコミュニケーションに容易にアクセスできること及び容易に理解できること、また、明確かつ平易な文言が用いられることを求める。この基本原則は、特に、データ主体に対する管理者の識別名及び取扱いの目的の情報、並びに、関係する自然人に関する公正かつ透明性のある取扱いを確保し、そして、取扱われている自然人に関する個人データの確認及びコミュニケーションを得る当該自然人の権利を確保するためのさらなる情報と関係している。自然人は、個人データの取扱いと関連するリスク、ルール、保護措置及び権利、並びに、その取扱いと関連する自身の権利をどのように行使するかについて、知らされなければならない。特に、個人データを取扱うための特定の目的は、その個人データの収集の時点において、明確なものであり、正当なものであり、かつ、確定されたものでなければならない。個人データは、それが取扱われる目的のために十分であり、関連性があり、それに必要な範囲に限定されるものでなければならない。このことは、特に、個人データが記録保存される期間が厳密に最小限に限られることを確保することを求める。個人データは、その取扱いの目的が他の手段によっては合理的に満たされない場合においてのみ、取扱われるものとしなければならない。個人データが必要な範囲を超えて保存されないことを確保するために、消去又は定期的な見直しのための期限が管理者によって設けられなければならない。不正確な個人データが訂正又は削除されることを確保するための全ての合理的な手段が講じられなければならない。個人データは、個人データ及び取扱いに用いられる装置に対する無権限のアクセス又はその無権限使用の防止に関するものを含め、個人データの適切な安全性及び機密性を確保する態様で、取扱わればならない。

(40)　取扱いが適法であるものとするために、個人データは、関係するデータ主体の同意に基づいて、又は、管理者が服すべき法的義務遵守のための必要性、若しくは、データ主体が当事者となっている契約の履行のための必要性、又は、契約を締結する前のデータ主体による要求により手段を講ずるための場合を含め、データ主体の同意以外の、本規則の中で、又は、本規則に定めるEU法若しくは加盟国の国内法の中で法律によって定められるいくつかの正当化根拠に基づいて、取扱われなければならない。

(41)　本規則が法的根拠又は立法措置に言及する場合、それは、関係加盟国の憲法秩序による要件を妨げることなく、議会によって採択される立法行為を必ずしも要求するものではない。ただし、そのような法的根拠又は立法措置は、欧州司法裁判所（以下「欧州司法裁判所」という。）及び欧州人権裁判所の判例法に従い、明確かつ正確であることを要し、かつ、その適用は、それに服する者にとって予測可能なものでなければならない。

(42)　取扱いがデータ主体の同意に基づく場合、管理者は、そのデータ主体がその取扱業務に対して同意を与えたということを証明できるようにしなければならない。特に、他の事項に関して書面上の宣言をする状況にいては、保護措置は、同意が与えられることになるという事実及びその同意が与えられる範囲についてデータ主体が認識することを確保しなければならない。理事会指令93/13/EEC＊10＊に従い、管理者によって事前に書式化された同意の宣言は、理解しやすく、容易にアクセスできる方式により、明確かつ平易な文言を用いて示されなければならず、かつ、不公正な条件を含むものであってはならない。通知される同意に関し、そのデータ主体は、少なくとも、管理者の身元、及び、その個人データについて予定されている取扱いの目的を認識していなければならない。データ主体が真の又は自由の選択でない場合、又は、不利益を受けずにその同意を拒否又は撤回できない場合、その同意は、自由に与えられたものとはみなされない。

(43)　同意が自由に与えられることを確保するために、データ主体と管理者との間に明確な不均衡が存在する特別な場合、特に、管理者が公的機関である場合で、それゆえに、当該状況の全体からみて、同意が自由に与えられる可能性が低いようなときには、その同意は、個人データを取扱うための有効な法的根拠を提供するものとはならない。個々の場合に個別に同意することが適切であるにもかかわらず、異なる個人データ取扱業務毎に分けて同意を与えることが認められない場合、又は、サービス契約の履行のためにそのような同意を必要としないのにもかかわらず、サービスの提供の場合を含め契約の履行が同意を必要としている場合、そのような同意は、自由に与えられたものではないと推定される。

(44)　契約の過程において必要となる場合、又は、契約の締結に入る意図の場合、その取扱いは適法である。

(45)　管理者が服すべき法的義務に従って取扱いが行われる場合、又は、公共の利益において、若しくは、公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合、その取扱いは、EU法又は加盟国の国内法に根拠をもつものとしなければならない。本規則は、個々の取扱いに関する特別の法律を要求しない。管理者が服すべき法的義務に基づくいくつかの取扱業務のための根拠として、又は、公共の利益において、若しくは、公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合の根拠として、法律は、十分なものでありうる。その取扱いの目的を決定するのもEU法又は加盟国の国内法でなければならない。また、その法律は、個人データの取扱いの適法性を規律する本規則の一般的な要件の細則を定め、管理者、取扱いの対象となる個人データの種類、関係するデータ主体、個人データの開示を受けることができる組織目的の制限、記録保存期間を決定するための詳細を定め、並びに、これ以外の適法かつ公正な取扱いを確保するための措置を定めることができる。EU法又は加盟国の国内法は、公共の利益において、若しくは、公的な権限の行使において行われる職務を遂行する管理者が、公的機関又はそれ以外の公法によって規律される自然人若しくは法人でなければならないかどうか、又は、公衆衛生や社会保障のような医療上の目的の場合並びに専門職の団体のような私法による公衆衛生サービスの管理の場合を含め、どのような取扱いが公共の利益によるものとなるかについても定めなければならない。

(46)　個人データの取扱いは、データ主体の生命又は他の自然人の生命にとって本質的な利益を保護するために必要である場合、適法なものとみなされる。他の自然人の生命に関する利益を根拠とする個人データの取扱いは、原則として、その取扱いが、他の法的根拠に基づきえないことが明白である場合においてのみ、行われるものとしなければならない。例えば、感染症及びその感染域の監視を含め、人道上の目的のために取扱いが必要となる場合、又は、人道上の緊急性のある状況下にある場合、特に、自然災害や人為的な災害の状況下にある場合のように、いくつかの種類の取扱いでは、公共の利益及びデータ主体の生命に関する利益の両者が重要な根拠となりうる。

(47)　個人データの開示を受けうる管理者の正当な利益を含め、管理者又は第三者の正当な利益は、データ主体と管理者との関係に基づくデータ主体の合理的な期待を考慮に入れた上で、データ主体の利益又は基本的な権利及び自由を覆すものとならない場合に、取扱いのための法的根拠を提供しうる。そのような正当な利益は、例えば、データ主体が管理者のサービスの顧客である場合や管理者からサービスの提供を受けている場合のような状況において、データ主体と管理者との間に妥当で適切な関係がある場合には、存在しうる。いずれにせよ、個人データの収集の時点において、及び、その過程において、当該目的のために取扱いが行われることをデータ主体が合理的に期待できるか否かを含め、正当な利益の存在に関しては、注意深い評価を要するであろう。データ主体が合理的にさらなる取扱いを予期しない状況下で個人データが取扱われる場合、特に、データ主体の利益及び基本的な権利は、データ管理者の利益よりも優先しうる。公的機関に関して個人データを取扱うための法的根拠を法律によって定めるのが立法者であることに鑑み、当該法的根拠は、公的機関がその職務の遂行において行う取扱いに適用してはならない。不正行為の防止の目的のために厳密に必要性のある個人データの取扱いもまた、関係するデータ管理者の正当な利益を構成する。ダイレクトマーケティングのための個人データの取扱いは、正当な利益のために行われるものとみなされうる。

(48)　企業グループの一員又は統括企業と提携する組織の一員である管理者は、顧客又は従業員の個人データの取扱いを含め、内部的な業務管理の目的のために、その企業グループ内において個人データを移転することについて、正当な利益をもちうる。企業グループ内での第三国に所在する企業に対する個人データの移転についての一般原則は、影響を受けない。

(49)　ネットワーク及び情報の安全性を確保する目的のために厳密に必要性であり、かつ、比例的な範囲内で行われる個人データの取扱い、例えば、保存される個人データ若しくは送信される個人データの可用性、真正性、完全性及び機密性を阻害し、また、公的機関、コンピュータ緊急対応チーム（CERT）、コンピュータセキュリティインシデント対応チーム（CSIRT）、電子通信ネットワークのプロバイダ及び電子通信サービスのプロバイダ、並びに、セキュリティ技術及びセキュリティサービスの提供者によって、そのネットワーク及びシステムを介して提供され又はアクセス可能なものとされている関連サービスの安全性を阻害する事故、又は、違法な行為若しくは悪意ある行為に対して、所与の機密性のレベルにおいて対抗するためのネットワークシステム又は情報システムの能力を確保することは、関係するデータ管理者の正当な利益を構成する。これには、例えば、電子通信ネットワークへの無権限アクセス及び悪意あるコード配布を防止すること、並びに、「サービス拒否」攻撃やコンピュータ及び電子通信システムの破壊行為を阻止することが含まれうる。

(50)　個人データが収集された当初の目的とは異なる目的のための個人データの取扱いは、その取扱いが、その個人データが収集された当初の目的と適合する場合に限り、認められる。そのような場合、その個人データの収集を認めた法的根拠とは異なる法的根拠は要求されない。公共の利益において又は管理者に与えられた公的な権限の行使において行われる職務の遂行のためにその取扱いが必要となる場合、EU法若しくは加盟国の国内法は、その追加的取扱いが、適合的かつ適法なものとみなされるべき場合に関する職務及び目的を定め、特定しうる。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のための加的取扱いは、適合的で適法な取扱業務とみなされる。個人データの取扱いのためにEU法又は加盟国の国内法によって定められる法的根拠は、追加的取扱いのための法的根拠についても提供しうる。追加的取扱いの目的が、その個人データが収集された当初の目的と適合するか否かを確認するために、管理者は、当初の取扱いの適法性のための全ての要件を満たした後、特に：当初の目的と予定されている追加的取扱いの目的との間の関連性；個人データが取得された経緯、特に、個人データのさらなる利用に関するデータ主体と管理者との間の関係に基づくデータ主体の合理的な期待；個人データの性質；意図する追加的取扱いのデータ主体への結果；並びに、当初の取扱業務及び予意図する追加的取扱業務の両方についての適切な保護措置の存在、を考慮に入れなければならない。データ主体が同意を与えている場合、又は、その取扱いが、特に、一般的な公共の利益の重要な目的を守るために民主主義の社会において必要かつ比例的な手段を構成するEU法若しくは加盟国の国内法に基づくものである場合、管理者は、その目的の適合性の有無にかかわらず、個人データを追加的に取扱うことが認められなければならない。いずれの場合においても、本規則に定める基本原則が適用されること、並びに、特に、当該別の目的、及び、異議を述べる権利を含めたデータ主体の権利に関し、データ主体に対する情報提供が確保されなければならない。犯罪行為又は公共の安全に対する脅威がありうることについて管理者が指摘すること、及び、同じ犯罪行為又は公共の安全に対する脅威と関連する個々の事案若しくはいくつかの事案において、所轄官庁に対して関連する個人データを送付することは、管理者により正当な利益において行われるものとみなされる。ただし、そのような管理者の正当な利益における個人データの移転又は追加的取扱いは、その取扱いが、法律上の守秘義務、職務上の守秘義務又はそれ以外の拘束力のある守秘義務に適合しないときは、禁止されなければならない。

(51)　その性質上基本的な権利及び自由との関係において特にセンシティブな個人データは、その取扱いの過程が基本的な権利及び自由に対する深刻なリスクをつくり出しうるものであるため、特別の保護を受ける。それらの個人データは、人種的又は民族的な出自を明らかにする個人データを含むが、本規則の中における「人種的な出自」という用語の使用は、それによって、異なる人種の存在を決定しようとする思想をEUが受容することを意味するものではない。写真の取扱いは、特別な種類の個人データの取扱いであると即断してはならない。なぜなら、自然人を一意に識別又は認証をすることができる特別な技術的手段を用いて取扱われる場合においてのみ生体データに含まれるからである。法律上の義務を遵守するため、又は、公共の利益において若しくは管理者に与えられた公的な権限の行使において行われる職務の遂行のために、本規則の規定の適用を採択するためのデータ保護に関する特別な条項を加盟国の国内法が定めることができることを考慮に入れた上で、本規則に定める特別な場合に該当する場合において取扱いが許容される場合を除き、そのような個人データを取扱ってはならない。そのような取扱いに関する特別の要件に加え、特に、適法な取扱いのための要件に関し、本規則の一般的な基本原則及びその他の規定が適用される。そのような特別な種類の個人データの取扱いの一般的な禁止の例外は、特に、データ主体が明示の同意を与える場合、又は、その特別の必要性に関して、特に、基本的な自由の行使を許容することを目的とする一定の団体若しくは協会による正当な活動の過程においてその取扱いが行われる場合において、明確に定められなければならない。

(52)　公共の利益において行われる場合であり、特に、労働法の分野、年金及び医療保険を含む社会保護法の分野における個人データの取扱い、伝染病及びその他の健康に対する重大な脅威の防止又は管理のための監視及び警戒の目的の場合において、個人データ及びその他の基本的な権利を保護するために、EU法又は加盟国の国内法の中に定められており、かつ、適切な保護措置に従うものであれば、特別な種類の個人データの取扱いの禁止の例外も認められる。公衆衛生及び医療サービスの管理を含め、医療の目的のために、特に健康保険制度における給付及びサービスの提供の請求を取扱うために用いられる手続の品質及び費用対効果を確保するため、又は、公共の利益における保管の目的、科学的研究及び歴史的研究の目的並びに統計の目的のために、そのような例外を設けることができる。裁判所の訴訟手続、行政上の手続及び裁判外の手続のいずれにおいても、訴えの提起及び攻撃防御のために必要な場合には、例外としてそのような個人データの取扱いを許容する。

(53)　より高い保護を享受する特別な種類の個人データは、自然人及び社会全体の利益となる目的を達成するために必要となる場合に限り医療と関連する目的のために取扱われるものとしなければならない。特に、医療と社会福祉の提供及び制度の管理の過程における取扱い、特別な種類これには、公共の利益の目的と適合すべきEU法又は加盟国の国内法に基づく、医療制度及び社会福祉制度の品質管理、情報管理及び国家的若しくは地域的な一般的監督の目的、及び、医療及び社会福祉並びに国境を越える医療又は健康保険の継続性を確保する目的、監視又は警告の目的、又は、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的、並びに、公衆衛生の領域における公共の利益において行われる研究の目的のための、医療管理機関及び国家の中央医療公的組織によるデータの取扱いが含まれる。それゆえ、本規則は、特別の必要性に関し、特に、職務上の守秘義務という法的義務に服する者によって健康と関係する一定の目的のためにそのような個人データの取扱いが行われる場合に関し、健康と関係する特別な種類の個人データの取扱いのための整合20性のとれた要件を定めなければならない。EU法又は加盟国の国内法は、自然人の基本的な権利及び個人データを保護するための特別の適切な措置を定めなければならない。加盟国は、遺伝子データ、生体データ又は健康に関するデータの取扱いに関し、その制限を含め、追加的な条件を維持又は導入することが認められなければならない。ただし、その条件がそのようなデータの国境を越える取扱いに適用される場合、その条件は、EU域内における個人データの自由な流通を阻害してはならない。

(54)　特別な種類の個人データの取扱いは、データ主体の同意なしに、公衆衛生の分野における公共の利益を理由としての適切かつ具体的な措置に服するものでなければならない。この文脈において、「公衆、必要となることがある。そのような取扱いは、自然人の権利及び自由を保護するため衛生」とは、欧州議会及び理事会の規則No1338/2008＊11＊に定義されているように、すなわち、健康に関する全ての要素、換言すると、健康状態のこととして解釈されなければならない。それは、疾病率及び障害、健康状態に影響を与える素因、医療の必要性、医療に割り当てられる資源、医療の提供及び医療へのユニバーサルアクセス、並びに、医療の支出及び資金手当、そして、死亡原因を含む。そのような公共の利益を理由とする医療と関連する個人データの取扱いは、使用者、保険会社及び金融機関のような第三者によって別の目的のために個人データが取扱われる結果をもたらしてはならない。

(55)　また、憲法又は国際法によって定められている諸目的を達成する目的のために、公的機関による、公に認められている宗教団体の個人データの取扱いは、公共の利益を根拠として行われるものである。

(56)　選挙活動の過程において、加盟国における民主制度の運営のために、政党が人々の政治的意見に関する個人データを集約する必要がある場合、そのようなデータ取扱いは、適切な保護措置が設けられることを条件として、公共の利益を理由として認められうる。

(57)　管理者によって取扱われる個人データが管理者による自然人の識別を許容しないものである場合、そのデータ管理者は、本規則の条項を遵守するという目的のみのために、データ主体を識別するための付加的な情報を入手することを義務付けられない。ただし、その管理者は、データ主体から自己の権利の行使をサポートするために提供される追加的な情報の取得を拒むことができない。識別には、例えば、データ管理者によって提供されるオンラインサービスにログインするためにデータ管理者から提供され、データ主体によって用いられる同一の認証情報のような認証手段を介するデータ主体のデジタル識別が含まれなければならない。

(58)　透明性の原則は、公衆又はデータ主体に伝達される情報が、明解であり、容易にアクセスでき、かつ、容易に理解できるものであること、そして、明確かつ平易な文言、加えて、適切な場合には、視覚化技術が用いられていることを求める。そのような情報は、例えば、Webサイトを介して公衆に伝達される場合には、電子的な方式によって提供されうる。オンライン宣伝広告の場合のように、関与者の増加及び実務上の技術的な複雑さによって、自己の個人データが収集されるのかどうか、誰によって、何の目的のために収集されるのかをデータ主体が認識し、理解することを困難にされてしまっているような状況下においては、この原則は、特に関連性をもつものである。子どもが特別の保護を享受することに鑑み、取扱いが子ども向けのものであるときは、いかなる情報及び連絡も、子どもが容易に理解することのできるような明確かつ平易な文言によるものでなければならない。

(59)　本規則に基づくデータ主体の権利の行使を容易なものとするため、様式が定められなければならない。これには、特に、適用可能な場合は、個人データに対するアクセス及び個人データの訂正又は消去を無償で受けること、また、異議を述べる権利を行使することを要求するための仕組みが含まれる。特に電子的な方法で個人データが取扱われる場合、管理者は、電子的に要求するための方法も提供しなければならない。管理者には、不当な遅滞なく、遅くとも1か月以内に、データ主体からの要求に対応することこと、また、管理者がその要求に応ずるつもりがない場合には、その理由を提供することが義務付けられなければならない。

(60)　公正かつ透明性のある取扱いの原則は、その取扱業務の存在及びその目的について、データ主体が情報の提供を受けることを求める。管理者は、データ主体に対し、その個人データが取扱われる具体的な状況及びその取扱い過程を考慮に入れた上で、公正かつ透明性のある取扱いを確保するために必要な情報を別に提供しなければならない。さらに、データ主体は、プロファイリングの存在及びそのようなプロファイリングから生ずる結果についても情報の提供を受けるものとしなければならない。個人データがデータ主体から収集される場合、そのデータ主体は、自身がその個人データの提供を義務付けられているのか否かについて、及び、データ主体がそのデータを提供しない場合に生ずる結果についても情報の提供を受けるものとしなければならない。その情報は、容易に視認することができ、分かりやすく、明確に理解することのできる態様で、予定されている取扱いの意味のある概要を示すための標準的なアイコンと組み合わせて提供することができる。そのアイコンが電子的に表示される場合、それらは、機械可読性のあるものでなければならない。

(61)　データ主体に関する個人データの取扱いに関係する情報は、データ主体からの収集の時点において、又は、個人データが他の情報源から取得される場合には、事案の状況に応じて合理的な期間内に、当該データ主体に対して与えられなければならない。個人データが別の取得者に対して正当に開示されうる場合、そのデータ主体は、その個人データがその取得者に対して最初に開示される時に通知を受けるものとしなければならない。個人データが収集された目的とは別の目的のために管理者がその個人データを取扱いしようとする場合、その管理者は、別の目的による追加的取扱いの開始前に、そのデータ主体に対し、当該別の目的に関する情報及びその他の必要な情報を提供しなければならない。様々な情報源が用いられたために、データ主体に対してその個人データの入手元を示すことができない場合には、一般的な情報が提供されなければならない。

(62)　ただし、データ主体が既にその情報を保有している場合、その個人データの記録若しくは開示が法律によって明確に定められている場合、又は、データ主体に対する情報の提供が明らかに不可能であるか、若しくは、過大な負担を生じさせるような場合、情報を提供すべき義務を課す必要はない。特に、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために取扱いが行われる場合、データ主体に対する情報の提供が明らかに不可能であるか、若しくは、過大な負担を生じさせるような場合に該当しうる。この点に関し、データ主体の人数、データの経過年数及び導入されている適切な保護措置が考慮に入れられなければならない。

(63)　データ主体は、当該データ主体に関して収集された個人データにアクセスする権利をもち、そして、その取扱いの適法性を意識し、それを検証するために、容易に、かつ、合理的な間隔で、その権利を行使する権利を有するものとしなければならない。この権利は、データ主体の健康に関するデータ、例えば、疾病の診断、検査結果、治療担当医師により行われた評価並びに提供された治療行為若しくは治療介入のような情報を含むデータ主体についての医療記録中にあるデータへアクセスするデータ主体の権利を含む。それゆえ、全てのデータ主体は、特に、その個人データが取扱われる目的、可能な場合には、その個人データが取扱われる期間、その個人データの取得者、自動的な個人データの取扱いの中に含まれている論理、並びに、少なくともプロファイリングに基づく場合、そのような取扱いの結果として発生しうる事態に関し、知る権利及び連絡を受ける権利を有するものとしなければならない。可能な場合、管理者は、データ主体に対して当該データ主体の個人データへの直接のアクセスを提供しうる安全なシステムへのリモートアクセスを提供できるようにしなければならない。その権利は、営業秘密又は知的財産及び特にソフトウェアの著作権を含め、他者の権利又は自由に不利な影響を与えてはならない。ただし、これらの考慮は、データ主体に対して全ての情報を提供することの拒絶となるものであってはならない。管理者がデータ主体に関する情報を大規模に取扱う場合、その管理者は、その情報が提供される前に、その要求と関連する情報又は取扱行為をデータ主体が特定するように要求することができるものとしなければならない。

(64)　管理者は、特に、オンラインサービス及びオンライン認証の過程において、アクセスを要求するデータ主体の身元を確認するための全ての合理的な手段を用いなければならない。管理者は、ありうる要求に対応するという目的のみのために個人データを保持してはならない。

(65)　あるデータを保持することが、管理者が服すべき本規則又はEU法若しくは加盟国の国内法の違反行為となる場合、データ主体は、当該データ主体に関する個人データを訂正させる権利及び「忘れられる権利」をもつものとしなければならない。特に、データ主体は、当該個人データを収集する若しくはその他の取扱いをする目的との関連においてその個人データが必要なくなった場合、データ主体が同意を撤回した場合、若しくは、自己に関する個人データの取扱いに対して異議を述べる場合、又は、データ主体の個人データの取扱いが本規則を何ら遵守するものではない場合において、当該個人データの個人データを消去させ、取扱われないようにさせる権利を有するものとしなければならない。その権利は、特に、データ主体が、子どもの時に、その取扱いに含まれるリスクについて完全に理解しないまま自身の同意を与えたけれども、後になって、そのような個人データの削除、特にインターネット上のデータの削除を望むようになった場合において関連性がある。データ主体は、当該データ主体が既に子どもではないという事実とは無関係に、その権利を行使することができるものとしなければならない。ただし、表現及び情報伝達の自由の権利の行使のために必要な場合、法律上の義務を遵守するために必要な場合、公衆衛生の領域における公共の利益を法的根拠として、公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために必要な場合、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために必要な場合、又は、訴訟の提起若しくは攻撃防御のために必要がある場合には、そのためにさらに個人データを保持することを適法としなければならない。

(66)　オンライン環境における忘れられる権利を強化するため、削除の権利は、当該個人データを公開のものとした管理者が、当該個人データを取扱っている管理者に対して、当該個人データへのリンク、当該個人デーのコピー又は複製物を消去するように通知することを義務付けられるというような方法によっても拡張されるべきである。そのようにする場合、当該管理者は、技術的な措置を含め、利用可能な技術及びその管理者にとって利用可能な方法を考慮に入れた上で、そのデータ主体の要求の対象である個人データを取扱っている管理者に対して通知をするための合理的な手立てを講じなければならない。

(67)　個人データの取扱いを制限するための方法は、特に、選別されたデータを一時的に他の取扱いシステムに移動すること、選別された個人データを利用者が利用できないようにすること、又は、公開されたデータを時的にWebサイト上から削除することを含みうる。自動的なファイリングシステムにおいては、取扱いの制限は、原則として、その個人データが追加的取扱業務の対象とされないようにし、かつ、修正されないようにする態様で、技術的な手段によって確保されなければならない。個人データの取扱いが制限されているという事実は、そのシステムの中で明確に示されなければならない。

(68)　データ主体自身のデータに対するコントロールをより強化するため、個人データの取扱いが自動的な手段によって行われる場合、データ主体は、管理者に対して提供した当該データ主体と関係する個人データを、構造化され、一般的に利用され、機械可読性がありかつ相互運用可能なフォーマットで取得し、そして、これを別の管理者に対して移行できるようにもされなければならない。データ管理者は、データポータビリティを可能とする相互運用可能なフォーマットの開発を奨励されなければならない。この権利は、データ主体の同意に基づいて当該データ主体がその個人データを提供した場合、又は、契約の履行のためにその取扱いが必要となる場合に適用されなければならない。この権利は、その取扱いが同意又は契約以外の法的根拠に基づく場合には、適用されない。その性質上、この権利は、管理者の公的な義務の履行において個人データを取扱う管理者に対して、行使してはならない。それゆえ、この権利は、管理者が服すべき法的義務を遵守するために個人データの取扱いが必要となる場合、又は、公共の利益において、若しくは、管理者に与えられた公的な権限の行使において行われる職務の遂行のために個人データの取扱いが必要となる場合には、適用されない。自己と関係する個人データの移行又は受領というデータ主体の権利は、管理者に対して、技術的に互換性のある取扱いシステムの導入又は維持をすべき義務をつくり出すものではない。ある一群の個人データについて複数のデータ主体が関係している場合、個人データを受領する権利は、本規則に従い、他のデータ主体の権利及び自由を妨げてはならない。さらに、この権利は、個人データの削除を得るデータ主体の権利及び本規則に定める制限を妨げてはならず、また、特に、当該契約の履行のために必要となる範囲内で、かつ、その限りで、契約の履行のためにデータ主体から提供された、当該データ主体と関係する個人データの削除を意味するものではない。技術的に実現可能な場合において、データ主体は、ある管理者から別の管理者へと直接に個人データを移転させる権利を有するものとしなければならない。

(69)　公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要であるという理由で、又は、管理者若しくは第三者の正当な利益を根拠として、個人データが適法に取扱われうる場合、データ主体は、それにもかかわらず、自己の特別の状況に関する個人データの取扱いについて、異議を述べる資格が与えられなければならない。管理者は、管理者の必要不可欠の正当な利益がデータ主体の基本的な権利及び自由よりも優先することを証明しなければならない。

(70)　ダイレクトマーケティングの目的で個人データが取扱われる場合、そのダイレクトマーケティングと関連する範囲内にあるプロファイリングを含め、データ主体は、当初の取扱いと追加的取扱いのいずれに関しても、いつでも、無償で、そのような取扱いを拒否する権利を有するものとしなければならない。この権利は、データ主体の目にとまるように明示されなければならず、また、明確に他の情報とは別に表示されなければならない。

(71)　データ主体は、人間が介在しない与信申込みの自動的な拒否又は電子リクルート活動のような、自動的な取扱いのみに基づき、かつ、当該データ主体に関する法的効果を発生させ、又はデータ主体に対して同様の重大な影響を及ぼす、データ主体に関する個人的側面を評価する決定の対象とされない権利を有する。その決定は、措置を含みうる。そのような取扱いは、それが、データ主体に関して法的効果を発生させ、又は、データ主体に対して同様の重大な影響を及ぼす場合、特に、データ主体の業務遂行能力、経済状態、健康、個人的な嗜好又は興味、信頼性又は行動、位置又は移動に関する側面を分析又は予測するために、自然人に関する個人的側面を評価する個人データの何らかの形式の自動的な取扱いで構成される「プロファイリング」を含める。ただし、プロファイリングを含め、そのような取扱いに基づく決定は、EUの機関又は国内監視機関の規則、基準及び勧告に従って行われる不正行為及び脱税の監視及び防止のため、並びに、管理者によって提供されるサービスの安全性及び信頼性を確保するため、管理者が服するEU法又は加盟国の国内法によって明確に承認される場合、又は、データ主体と管理者との間で契約を締結し、若しくは、それを履行するために必要な場合、又は、データ主体が明示の同意を与えた場合において認められるものとしなければならない。いずれの場合においても、そのような取扱いは、適切な保護措置に服するものとしなければならず、その保護措置は、データ主体に対する特別の情報提供、人間の介在を得る権利、当該データ主体の見解を表明する権利、そのような評価の後に到達した決定について説明を受ける権利、そして、その決定に対して異議を述べる権利を含むものでなければならない。そのような措置は、子どもと関係するものであってはならない。データ主体に関する公正かつ透明性のある取扱いを確保するために、その個人データが取扱われる具体的な状況及び過程を考慮に入れた上で、管理者は、プロファイリングのための適切な数学的又は統計的な手順を使用し、かつ、特に、個人データに不正確さをもたらす要素が補正され、エラーのリスクをミニマム化されることを確保し、データ主体の利益及び権利に含まれる潜在的なリスクを考慮に入れる態様で、そして、特に、自然人に対して、人種的若しくは民族的な出自、政治的な意見、信教若しくは信条、労働組合への加入、遺伝子の状態若しくは健康状態又は性的指向に基づく差別的効果が生ずることを避ける態様で、又は、措置がそのような効果を帰結することを避ける態様で、個人データを保護するための適切な技術上及び組織上の手段を実装しなければならない。特別な種類の個人データに基づく自動的な意思決定及びプロファイリングは、特定の条件に基づく場合においてのみ認められる。

(72)　プロファイリングは、取扱いの法的根拠又はデータ保護の基本原則のような、個人データの取扱いを規律する本規則の規定に服する。本規則によって設置される欧州データ保護会議（以下「欧州データ保護会議」という。）は、この文脈においてガイダンスを発行できるものとしなければならない。

(73)　特に自然災害又は人為的な災害への対応の際の人の生命の保護を含め、公共の安全への脅威、規制のある職業の倫理違反、又は、EU若しくは加盟国の一般的な公共の利益の重要な対象、特に、EU又は加盟国の重要な経済上若しくは財政上の利益に対する保護及びその防止を含め、犯罪行為の防止、捜査及び訴追又は刑罰の執行を保護するため、一般的な公共の利益を理由として保存される公的記録の維持管理、かつての全体主義国家体制の下での政治的活動に関する特別な情報を提供するための保管された個人データの追加的取扱い、又は、社会保障、公衆衛生及び人道上の目的を含め、データ主体の保護、又は、他者の権利及び自由を保護するために、民主主義社会において必要であり、かつ、比例的なものである限り、特定の基本原則、及び、情報提供の権利、個人データへのアクセス及びその訂正若しくは削除の権利、データポータビリティの権利、異議を述べる権利、プロファイリングに基づく決定、並びに、データ主体に対する個人データ侵害の連絡及び管理者の一定の関連義務に関し、EU法若しくは加盟国の国内法により、制限を加えることができる。これらの制限は、憲章及び人権及び基本的な自由の保護のための欧州条約に定める要件に従わなければならない。

(74)　管理者又は管理者の代わりの者によって行われる個人情報の取扱いに関し、管理者の職責及び法的責任が定められなければならない。特に、管理者は、適切かつ実効的な措置を実装すること、そして、その措置の実効性を含め、取扱活動が本規則を遵守していることを証明できるようにすることを義務付けられなければならない。それらの措置は、取扱いの性質、範囲、過程及び目的、並びに、自然人の権利及び自由に対するリスクを考慮に入れなければならない。

(75)　自然人の権利及び自由に対するリスクは、様々な蓋然性と深刻度で、個人データの取扱いから生じうる。それは、物的な損失、財産的な損失若しくは非財産的な損失を発生させうるものであり、特に：その取扱いが、差別、ID盗取又はID詐欺、金銭上の損失、信用の毀損、職務上の守秘義務によって保護されている個人データの機密性の喪失、無権限による仮名化の復元、又は、それら以外の重大な経済的又は社会的な不利益を生じさせうる場合；データ主体がその権利及び自由を奪われ、又は、その個人データに対するコントロールの実行を妨げられる場合；人種的若しくは民族的な出自、政治的な意見、信教又は思想上の信条、労働組合の加入を明らかにする個人データの取扱い、並びに、遺伝子データ、健康と関係するデータ若しくは性生活と関係するデータ、又は、有罪判決及び犯罪行為若しくは関連する保護措置と関係するデータの取扱いの場合；個人的側面が評価される場合、特に、個人プロファイルの作成若しくはその使用のために、職務遂行能力、経済状態、健康、個人的な嗜好若しくは興味、信頼性若しくは行動、位置若しくは移動に関する側面が分析又は予測される場合；脆弱性のある自然人の個人データ、特に、子どもの個人データが取扱われる場合；又は、取扱いが莫大な量の個人データを含んでおり、多数のデータ主体に対して影響を及ぼす場合がそうである。

(76)　データ主体の権利及び自由に対するリスクの蓋然性及びその深刻度は、その取扱いの性質、範囲、過程及び目的に照らして判断されなければならない。リスクは、データ取扱業務がリスク又は高度なリスクを含むものか否かを決めることのできる客観的な評価に基づいて決定されなければならない。

(77)　特に、取扱いと関連するリスクの特定、その発生源、性質、蓋然性及び深刻度に関するリスク評価と関連して、適切な措置の実装及び管理者又は処理者による遵守の証明に関するガイド、並びに、リスクを削減するためのベストプラクティスの特定は、特に、承認された行動指針、承認された認証、データ保護機関から提供される運用指針又はデータ保護責任者から提供される指示によって、提供されうる。データ保護機関は、自然人の権利及び自由に対する高度なリスクを生じさせるおそれがないと判断される取扱業務に関する運用指針を発行し、また、そのような場合において、そのようなリスクに対応するためにはどのような措置が十分なものとなりうるかを示すことができる。

(78)　個人データの取扱いと関連する自然人の権利及び自由の保護は、本規則の義務に適合することを確保するための適切な技術上及び組織上の措置が講じられることを要求する。本規則の遵守を証明できるようにするため、管理者は、内部的な基本原則を採択しなければならず、かつ、特に、データ保護バイデザインの原則及びデータ保護バイデフォルトの原則に適合する措置を実装しなければならない。そのような措置は、特に、個人データの取扱いの最小化、可能な限り速やかな個人データの仮名化、個人データの機能及び取扱いに関する透明性、データ主体がデータ取扱いを監視可能とすること、管理者が安全機能を開発し、向上させることを可能とすること、によって構成されうる。個人データの取扱いを基盤とし、又は、その職務を遂行するために個人データを取扱うアプリケーション、サービス及び製品を開発、設計、選択及び利用する場合、そのような製品、サービス及びアプリケーションの開発者は、そのような製品、サービス及びアプリケーションを開発及び設計する際、データ保護の権利を考慮に入れることが奨励され、また、最新技術を適正に考慮に入れた上で、管者及び処理者がそのデータ保護義務を履行できるようにすることが奨励されなければならない。データ保護バイデザイン及びデータ保護バイデフォルトの原則は、公共入札の際においても考慮に入れられなければならない。

(79)　データ主体の権利及び自由の保護並びに管理者及び処理者の義務及び法的責任は、管理者が他の管理者と共同して取扱いの目的及び方法を決定する場合、並びに、取扱業務が管理者の代わりに行われる場合を含め、監督機関による監視及び監督機関の措置との関係においても、本規則に基づく責任の明確な割り当てを必要とする。

(80)　EU域内に拠点のない管理者又は処理者が、EU域内のデータ主体の個人データを取扱っており、その取扱活動が、データ主体による支払いが必要とされると否とにかかわらず、そのようなEU域内のデータ主体に対する物品又はサービスの提供と関連するものである場合、又は、EU域内で起きる行動である限りにおいてデータ主体の行動の監視と関連するものである場合、その取扱いが、偶発的なものであり、特別な種類のデータの取扱いを大規模に含んでいないか、又は有罪判決及び犯罪行為と関連する個人データの取扱いを含んでいない場合であって、取扱いの性質、過程、範囲及び目的を考慮に入れた上で、自然人の権利及び自由に対するリスクを発生させるおそれがない場合、又は、その管理者が公的機関若しくは公的組織である場合を除き、その管理者又は処理者は、代理人を指定しなければならない。代理人は、管理者又は処理者の代わりに行動しなければならず、かつ、監督機関からの名宛人となることができる。代理人は、本規則に基づく管理者又は処理者の義務に関し、それらの者の代わりに行動することの管理者又は処理者の書面による委任によって、明示的に指定されなければならない。そのような代理人の指定は、本規則に基づく管理者及び処理者の義務又は法的責任に影響を与えることはない。そのような代理人は、本規則の遵守を確保するために行われる全ての行為に関する職務権限をもつ監督機関との協力を含め、管理者又は処理者から受けた委任に従って、その職務を遂行しなければならない。指定された代理人は、管理者又は処理者による違背行為が発生した場合には、法執行の手続に服さなければならない。

(81)　管理者の代わりに処理者によって行われる取扱いに関する本規則の義務の遵守を確保するため、管理者は、処理者に対して取扱活動を委託する場合、取扱いの安全性に関するものを含め、本規則の義務に適合する技術上及び組織上の措置の実装を、特に専門知識、信頼性及び資源の面において十分に保証する処理者のみを使用しなければならない。承認された行動準則又は承認された認証方法を処理者が遵守していることは、管理者の義務の遵守を示すための要素として用いられうる。処理者による取扱いの実施は、処理者と管理者とを拘束し、行われる取扱いの過程における処理者の特定された職務及び職責並びにデータ主体の権利及び自由に対するリスクを考慮に入れた上で、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型を定める契約又はEU法若しくは加盟国の国内法に基づくその他の法律行為によって規律されなければならない。管理者及び処理者は、個別の契約、又は、欧州委員会によって直接に採択された標準約款、若しくは、一貫性メカニズムに従って監督機関により採択され、欧州委員会によって承認された標準約款の利用を選択しうる。管理者の代わりの取扱いを完了した後、その処理者が服するEU法又は加盟国の国内法に基づいて当該個人データを記録保存すべき義務が存在しない限り、処理者は、管理者の選択により、その個人データを返却し、又は、これを削除しなければならない。

(82)　本規則の遵守を証明するために、管理者又は処理者は、その責任において、取扱活動の記録を保管しなければならない。個々の管理者及び処理者は、監督機関と協力し、かつ、その要求に基づき、監督機関がその取扱業務の監視の任を果たしうるようにするため、それらの記録を監督機関が利用できるようにすることを義務付けられる。

(83)　安全性を維持管理するため、そして、本規則の違反となる取扱いを防止するため、管理者又は処理者は、その取扱いに内在するリスクを評定しなければならず、また、暗号化のような、それらのリスクを削減するための手段を実装しなければならない。その手段は、最新技術及びそのリスクと保護されるべき個人データの性質との関連における実装費用を考慮に入れた上で、機密性を含め、適切なレベルの安全性を確保するものでなければならない。データのセキュリティ上のリスクの評価に際しては、送信され、記録保存され、又は、それ以外の取扱いをされる個人データの偶発的又は違法な破壊、喪失、改変、無権限の開示又は無権限のアクセスのような、個人データの取扱いによってもたらされ、特に物的な損失、財産的若しくは非財産的な損失を発生させるかもしれないリスクについて、検討が加えられなければならない。

(84)　取扱業務によって自然人の権利及び自由に対する高度なリスクが生ずるおそれのある場合に対して本規則の遵守を強化するために、管理者は、特に、そのリスクの発生源、性質、特性及び深刻度を評価するためのデータ保護影響評価を行うべき責任を負う。その評価結果は、その個人データの取扱いが本規則を遵守するものであることを証明するための適切な措置がどの時点で定められたのかを考慮に入れなければならない。利用可能な技術及び実施費用の観点から管理者が適切な措置によって低減させることのできない高いリスクがその取扱業務に含まれているということをそのデータ保護影響評価が示す場合、その取扱いを開始する前に、監督機関との協議を行わなければならない。

(85)　個人データ侵害は、適切かつ適時の態様で対応が行われないと、自然人の個人データに対する管理の欠落又は自然人の権利制限の喪失、差別、ID盗取又はID詐欺、金銭上の損失、無権限による仮名の復元、信用の毀損、職務上の守秘義務によって保護された個人データの機密性の喪失、又は、関係する自然人に対するその他の重要な経済的若しくは社会的不利益といったような、自然人に対する物的な損失、財産的な損失若しくは非財産的な損失をもたらしうる。それゆえ、個人データ侵害が発生したことに管理者が気づいたならば可能な限り速やかに、説明責任の原則に従い、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがないということを管理者が証明できる場合を除き、その管理者は、監督機関に対し、不当な遅滞なく、かつ、それが可能であるときは、それに気づいた時から遅くとも72時間以内に、その個人データ侵害を通知しなければならない。72時間以内にその通知を完了できない場合、その遅延の理由をその通知に付さなければならず、そして、更なる不当な遅延なく、同時に情報を提供しうる。

(86)　管理者は、当該個人データ侵害が自然人の権利及び自由に対する高いリスクを発生させるおそれがあるときは、当該個人が予め必要な予防策を講じることができるように、データ主体に対し、不当な遅滞なく、個人データ侵害について連絡しなければならない。その連絡は、個人データ侵害の性質、並びに、関係する自然人に向けた潜在的な悪影響を低減するための勧告を記述しなければならない。そのようなデータ主体に対する連絡は、監督機関から提供されたガイダンス又は法執行機関のような監督機関以外の関連機関から提供されたガイダンスを尊重しつつ、可能な限り速やかに合理的に実現できるように、かつ、監督機関と密接に協力して、行われなければならない。例えば、損害発生の緊急のリスクを低減させる必要性があることは、データ主体への連絡を督促することになるが、他方、個人データ侵害の継続又は類似の侵害の発生に対抗するための適切な措置の実施の必要性があることは、さらに連絡する時間がかかることを正当化しうる。

(87)　個人データ侵害が発生したかどうかを迅速に確定するため、そして、監督機関及びデータ主体に対して速やかに連絡するための全ての適切な技術的な保護及び組織上の措置が実装されているか否かが確認されなければならない。特に、その個人データ侵害の性質及び重大性、その結果として生じる事態及びデータ主体に対する悪影響を考慮に入れた上で、不当な遅滞なく通知が行われたという事実が立証されなければならない。そのような通知は、本規則に定める監督機関の職務及び権限に従い、監督機関の介入を招くものとなりうる。

(88)　個人データ侵害の通知に適用可能なフォーマット及び手続と関係する規定を設ける際、ID詐欺又はそれ以外の形式による濫用行為が発生するおそれを実効的に抑制する適切な技術的保護措置によって個人データが保護されていたか否かを含め、個人データ侵害の状況について、十分な検討が加えられなければならない。さらに、そのような規定及び手続は、早い段階における開示が個人データ侵害の状況に関する捜査を不必要に妨げてしまう場合、法執行機関の正当な利益を考慮に入れなければならない。

(89)　指令95/46/ECは、監督機関に対して個人データの取扱いを通知すべき一般的な義務を定めた。その義務は、管理上及び資金上の問題を生じさせる一方で、全ての場合において、個人データ保護の向上に寄与しなかった。それゆえ、そのような無限定の一般的な通知義務は廃止されなければならず、そして、それに代えて、取扱業務の性質、範囲、過程及び目的のゆえに自然人の権利及び自由に対する高いリスクをもたらすことが予想される種類の取扱業務に焦点を絞った実効的な手続及び仕組みによって置き換えられるべきである。そのような種類の取扱業務は、特に、その中に新たな技術又は新たな種類の技術の利用を含む取扱業務であり、そして、管理者によるデータ保護影響評価がこれまで行われたことがなく、又は、最初の取扱いの時から経過した時日に照らし、データ保護影響評価が必要となった取扱業務でありうる。

(90)　そのような場合において、取扱いが行われる前に、取扱いの性質、範囲、文脈及び目的並びにリスクの発生源を考慮に入れた上で、高いリスクの特定の蓋然性及び深刻度を評価するために、管理者によって、データ保護影響評価が行われなければならない。その影響評価は、特に、そのリスクを低減し、個人データの保護を確保し、そして、本規則の遵守を証明するために準備された措置、保護措置及び仕組みを含めなければならない。

(91)　このことは、特に、地域レベル、国家レベル及び多国間レベルの非常に大きな分量の個人データの取扱いを対象とし、大勢のデータ主体に対して悪影響を及ぼすおそれがあり、かつ、例えば、その機微性ゆえに高いリスクをもたらすことが予想され、かつ、達成された技術知識に従って新技術が大規模に利用される大規模な取扱業務に対して、並びに、それ以外の、データ主体の権利及び自由に対して高いリスクをもたらすことが予想される取扱業務、特に、それらの取扱業務がデータ主体による自らの権利の行使をより困難にしている取扱業務に対して適用されなければならない。それらのデータのプロファイリングに基づく自然人に関する個人的な側面が体系的に、広範囲に及ぶ評価を伴う、あるいは、特別な種類特別な種類の個人データ、生体データ、又は、有罪判決及び犯罪若しくは関連する安全管理措置に関するデータの取扱いを伴う特定の自然人に関する評価を行うために個人データが取扱われる場合においても、データ保護影響評価が実施されなければならない。公衆がアクセス可能な場所の大規模な監視、特に光学・電子機器を用いて行われる場合に関しても、又は、特に、データ主体が権利の行使やサービス若しくは契約の利用を妨げられているという理由により、あるいは、その取扱いが大規模に体系的に行われているという理由により、データ主体の権利及び自由に高いリスクをもたらす可能性があると所管監督機関が判断する場合、上記以外の全ての業務についても、同等に、データ保護影響評価が要求される。その取扱いが患者又は顧客からの個人データに関するものであり、個々の医師、その他の医療専門職又は法律家による場合、その個人データの取扱いは、大規模なものと判断されてはならない。そのような場合、データ保護影響評価は、義務ではない。

(92)　データ保護影響評価の対象を単独の評価計画による場合よりも拡張したほうが合理的で経済的なものとなりうるような場合がある。例えば、公的機関又は団体が共通のアプリケーション又は取扱プラットフォームの構築を予定する場合、又は、複数の管理者が、産業部門若しくは業界を横断して、あるいは、広範に利用されている横断的な活動のために、共通のアプリケーション又は取扱環境の導入を計画する場合がそうである。

(93)　公的機関及び団体の職務遂行の根拠となり、かつ、当の特定の取扱業務又は一群の取扱業務を規制する加盟国法の採択の過程において、加盟国は、取扱活動を行う前にそのような評価を行う必要性があると判断できる。

(94)　リスクを低減するための保護措置、安全管理措置及び仕組みを欠くときは、その取扱いが自然人の権利及び自由に対する高いリスクをもたらしうるということをデータ保護影響評価が示しており、かつ、利用可能な技術及びその実施費用の観点から合理的な手段によってはそのリスクを低減できないという意見をその管理者がもつ場合、監督機関は、取扱活動を開始する前に協議を受けるものとしなければならない。自然人の権利及び自由に対する被害又は妨害を現実に発生させうるような高度のリスクは、一定の種類の取扱い、取扱いの範囲及び頻度から生ずる可能性がある。監督機関は、所定の期間内に、協議の要求に対応しなければならない。ただし、当該期間内に監督機関から何らの応答もないことは、取扱業務を禁止する権限を含め、本規則に定める監督機関の職務及び権限に従った監督機関の介入を妨げない。その協議過程の一部として、監督機関に対し、問題となる取扱いに関して行われたデータ保護影響評価の結果、特に、自然人の権利及び自由に対するリスクを低減するために想定された措置に関する評価結果を提出しうる。

(95)　処理者は、必要なときは、かつ、要求に応じて、データ保護影響評価を行うことから派生する義務及び監督機関の事前協議から派生する義務の遵守を確保する際、管理者を支援しなければならない。

(96)　監督機関との協議は、予定されている取扱いの本規則への遵守を確保するため、及び、特に、データ主体のために内在するリスクを低減するため、個人データの取扱いを定める立法又は規制上の措置を準備する過程においても行われなければならない。

(97)　裁判所又は独立司法機関がその司法上の権能において行動する場合を除き、取扱いが公的機関によって行われる場合、民間部門において、定期的に体系的にデータ主体を大規模に監視することを要する取扱業務を中心的な業務とする管理者によって取扱いが行われる場合、又は、管理者及び処理者の中心的な業務が、特別な種類の個人データ並びに有罪判決及び犯罪と関連するデータの大規模な取扱いによって構成されている場合、本規則の内部的な遵守を監視するために、データ保護法令及びその実務に関する専門知識をもつ者が管理者又は処理者を支援しなければならない。民間部門においては、管理者の中心的業務は、その基本的な活動と関連するものであり、付随的な業務としての個人データの取扱いと関連するものではない。必要とされる専門知識のレベルは、特に、行われるデータ取扱業務に従って、そして、管理者又は処理者によって取扱われる個人データにとって必要な保護に従って、決定されなければならない。そのようなデータ保護オフィサーは、管理者の従業者であるか否かを問わず、独立の態様でその義務及び職務を遂行するための地位を有するものとしなければならない。

(98)　一定の部門において行われる取扱いの特殊性並びに中小零細企業の特殊事情を考慮に入れた上で、本規則の効果的な適用を促進するために、様々な種類の管理者又は処理者を代表する団体その他の組織は、本規則の制限内で、行動準則を作成することが奨励されなければならない。特に、そのような行動準則は、取扱いの結果として発生するおそれのある自然人の権利及び自由に対するリスクを考慮に入れた上で、管理者及び処理者の義務を調整しうる。

(99)　行動準則を作成する際、又は、その準則を改正又は追補する際、様々な種類の管理者又は処理者を代表する団体その他の組織は、それが有用であるときはデータ主体を含め、関係する利害関係者と協議し、そして、そのような協議に応じて申し出や表明された意見を考慮しなければならない。

(100)　透明性及び本規則の遵守を拡大するために、関連する製品及びサービスのデータ保護水準をデータ主体が即座に評価できるようにする認証方法、データ保護シール及びデータ保護マークを設けることが促進されなければならない。

(101)EU域外の国々及び国際機関への個人データの流通並びにこれらのところからの個人データの流通は、国際取引及び国際協力を拡大するために必要なものである。そのような流通の増加は、個人データの保護に関する新たな検討課題と懸念を発生させてきた。ただし、EUから第三国又は国際機関の中に所在する管理者、処理者若しくはそれ以外の取得者に対して個人データが移転される場合、その第三国又は国際機関から同じ第三国若しくは国際機関内の管理者や処理者又は別の第三国若しくは国際機関の管理者や処理者に対して個人データが転送される場合を含め、本規則によってEU域内で確保される自然人の保護の水準を低下させるべきではない。いずれの場合においても、第三国及び国際機関への移転は、本規則を完全に遵守する場合においてのみ、これを行うことができる。本規則の別の条項に従い、第三国又は国際機関へ個人データを移転するための本規則の条項中に定める要件が管理者又は処理者によって遵守される場合においてのみ、その移転をすることができる。

(102)　本規則は、データ主体のための適切な保護措置を含め、個人データの移転を規制するEUと第三国との間で締結される国際協定を妨げない。加盟国は、そのような協定が本規則又はそれ以外のEU法の条項に影響を与えることがなく、かつ、データ主体の基本的な権利のための適切な水準の保護を含めている場合に限り、第三国又は国際機関への個人データの移転を含む国際協定を締結できる。

(103)　欧州委員会は、十分なレベルの保護を提供するものと判断される第三国又は国際機関に関しては、第三国、第三国内の地域若しくは特定の部門又は国際機関が十分なレベルのデータ保護を提供しており、そして、EU全域における法的安定性及び統一性を提供している旨の決定をEU全域において有効なものとして、行うことができる。その場合、当該第三国又は国際機関への個人データの移転は、別の承認を得る必要なく、これを行うことができる。欧州委員会は、その第三国又は国際機関に対し、その通知及びその理由の全文を示す声明文を発して、その決定を無効にする決定を行うこともできる。

(104)　EUが立脚する基本的な価値観、特に、人権の保護に沿って、欧州委員会は、その第三国又はその第三国内の地域若しくは特定の部門の評価に際し、特定の第三国が、法の支配、司法へのアクセス、並びに、国際人権の規範と基準、及び、公共の安全、国防及び国家安全保障並びに公共の秩序及び刑事法に関する立法を含め、その第三国の一般法及び特別法をいかに尊重しているかを考慮に入れなければならない。第三国内の地域又は特定の部門と関連する十分性決定の採択は、特定の取扱活動及びその第三国において施行されている適用可能な法的基準及び立法の適用範囲のような、明確で客観的な基準を考慮に入れなければならない。特に、個人データが一又は複数の特定の部門において取扱われる場合において、その第三国は、EU域内で確保されている保護と基本的に等しく十分なレベルの保護を確保していることの保証を提供しなければならない。特に、その第三国は、実効的かつ独立のデータ保護監督を確保しなければならず、かつ、加盟国のデータ保護機関との協力の仕組みを定めなければならず、かつ、データ主体は、実効的で執行可能な権利並びに実効的な行政救済及び司法救済を与えられるものとしなければならない。

(105)　第三国又は国際機関が加入している国際関係とは別に、欧州委員会は、特に、個人データの保護並びにその義務の履行と関連して、第三国又は国際機関が多国間のシステム又は地域的なシステムに参加することから生ずる義務を考慮しなければならない。特に、個人データの自動的な取扱いに関連する個人の保護のための1981年1月28日の欧州評議会条約及びその追加議定書への第三国の加盟を考慮に入れなければならない。欧州委員会は、第三国及び国際機関における保護の水準を評価する際、委員会と協議しなければならない。

(106)　欧州委員会は、第三国、第三国内の地域若しくは特定の部門又は国際機関における保護のレベルに関する決定が有効に機能していることを監視しなければならず、また、指令95/46/ECの第25条第6項又は第26条第4項に基づいて採択された決定が有効に機能していることを監視しなければならない。この十分性の決定において、欧州委員会は、それらが有効に機能していることを定期的に見直す仕組みを定めなければならない。この定期的な見直しは、当の第三国又は国際機関との協議を経た上で、その第三国又は国際機関内の関連する全ての動向を考慮に入れた上で、行われなければならない。この監視及び定期的な見直しを行う目的のために、欧州委員会は、欧州議会及び理事会並びにそれ以外の関連する組織や情報源からの意見及び判断を考慮に入れなければならない。欧州委員会は、合理的な期間内に、後者の決定が有効に機能していることを評価し、かつ、本規則に基づいて策定されたものとしての欧州議会及び理事会の規則(EU)No182/2011＊12＊の意味における委員会、欧州議会及び理事会に対し、その調査結果を報告しなければならない。

(107)　欧州委員会は、第三国、第三国内の地域若しくは特定の部門又は国際機関が十分な水準のデータ保護をもはや確保していない旨を判断できる。その判断の結果、当該第三国又は国際機関に対する個人データの移転は、拘束的企業準則を含め、適切な保護措置による移転及び特別な状況における例外に関する本規則の要件が充足されない限り、禁止されなければならない。この場合、欧州委員会と当該第三国又は国際機関との間で、協議がもたれなければならない。欧州委員会は、その状況を救済するため、適時に、その第三国又は国際機関に対し、その理由を通知し、かつ、協議に入らなければならない。

(108)十分性認定がない場合、管理者又は処理者は、データ主体のための適切な保護措置という方法によって、第三国内におけるデータ保護の欠落を補う措置を講じなければならない。そのような適切な保護措置は、拘束的企業準則、欧州委員会によって採択された標準データ保護条項、監督機関によって採択された標準データ保護条項、又は、監督機関によって承認された契約条項によって構成されうる。それらの保護措置は、データ主体の執行可能な権利を利用できること、並びに、実効的な行政救済又は司法救済を得るためのもの及び損害賠償を請求するためのものを含む実効的な司法救済を利用できることを含め、EU域内における取扱いにとって適切なデータ保護上の義務の遵守並びにデータ主体の権利及び自由を、EU域内又は第三国内において確保するものでなければならない。それらは、特に、個人データの取扱いと関連する一般的な基本原則、データ保護バイデザインの原則及びデータ保護バイデフォルトの原則の遵守と関連するものでなければならない。公的機関又は公的組織は、確認覚書のような行政文書の中に挿入されたデータ主体のための執行可能で実効的な権利を定める条項に基づく場合を含め、第三国又は国際機関内において対応する職責及び権能をもつ公的機関又は公的組織との間で移転を行うこともできる。保護措置が法的拘束力のない行政文書によって定められている場合、所轄監督機関による承認を受けなければならない。

(109)　欧州委員会又は監督機関によって採択された標準データ保護約款を管理者又は処理者が利用することができるということは、欧州委員会又は監督機関によって採択された標準契約条項と直接又は間接に矛盾せず、かつ、データ主体の基本的な権利及び自由を妨げるものではない限り、管理者又は処理者が、処理者と別の処理者との間の契約のような、より広範囲の契約の中に標準データ保護条項を含めることを妨げるものではなく、また、その約款の中に別の条項や保護措置を追加することを妨げるものでもない。管理者及び処理者は、標準データ保護条項を補完する契約上の約定を介して、追加的な保護措置を提供することが奨励されなければならない。

(110)　企業グループ又は共同で経済活動に従事する企業グループは、そのような拘束的企業準則が、個人データの移転又はその移転の種類のための適切な保護措置を確保するための全ての重要な基本原則及び執行可能な権利を含めるものである限り、EUから同じ企業グループ又は共同で経済活動に従事する企業グループ内にある組織に対する個人データの国際的な移転のために、承認された拘束的企業準則を利用できるようにしなければならない。

(111)　データ主体が自己の明示の同意を与えたという一定の状況下において、規制当局の手続を含め、それが司法手続内のものであるか行政手続若しくは訴訟外手続によるものであるかを問わず、契約又は訴訟との関係において、その移転が偶発的なものであり、かつ、必要なものである場合、移転を可能とするための条項が設けられなければならない。EU法又は加盟国法によって定められる公共の利益上の重要な法的根拠がそのような移転を求める場合、又は、法律によって策定され、正当な利益を有する公的若しくは個人からの協議に応ずるための登録所から移転が行われる場合において、移転ができるようにするための条項も設けられなければならない。後者の場合、そのような移転は、その登録所の中に収められている個人データ全体又はデータの種類全体を含めることはできず、かつ、正当な利益をもつ個人からの協議に対して登録所が応じようとする場合には、そのような者の要求があった際においてのみ、又は、それが取得者のために行われる場合には、データ主体の利益及び基本的な権利を完全に考慮に入れた上で、移転が行われるものとしなければならない。

(112)　これらの例外は、特に、例えば、公正取引委員会、税務当局又は税関当局の間、金融監督機関の間、並びに、例えば、感染症の接触追跡調査の場合、又は、スポーツにおけるドーピングの抑制及び・又は抑止のために、社会保障に関する事項若しくは公衆衛生について所轄当局の間において行われる国際的なデータ交換の場合など、公益という重要な理由に基づく必要なデータの移転に適用されなければならない。個人データの移転は、データ主体がその同意を与えることができない場合において、身体的な完全性又は生命を含め、データ主体又はそれ以外の者の生命に関する利益のために必須となる利益の保護のために必要となる場合においても、適法とみなされなければならない。十分性認定がない場合、EU法又は加盟国法は、公共の利益上の重要な理由のために、特別な種類のデータの第三国又は国際機関に対する移転の制限を明確に定めることができる。加盟国は、そのような条項を、欧州委員会に対して通知しなければならない。ジュネーブ諸条約に基づいて行う義務のある職務の遂行という観点から、又は、武力衝突に適用可能な国際人道法を遵守するための、身体的又は法的な原因により同意を与えることができないデータ主体の個人データの国際的な人道組織に対する移転は、公共の利益上の重要な理由のために、又は、データ主体の生命に関する利益に係わるという理由により、必要なものと判断できる。

(113)　管理者の義務的な正当な利益がデータ主体の権利及び自由よりも優先するものではない場合であり、かつ、管理者がその移転に伴う全ての事情を評価している場合、管理者による義務的な正当な利益の目的のために、反復性がないと評価されうるものであり、かつ、限定された人数のデータ主体のみに関する移転を行うことができる。管理者は、特に、個人データの性質、予定されている取扱業務の目的及び期間、並びに、移転元の国、第三国及び最終移転先の国の状況について検討しなければならず、かつ、その個人データの取扱いに関連する自然人の基本的な権利及び自由を保護するための適切な保護措置を提供しなければならない。そのような移転は、移転のための他の適用可能な根拠が存在しない場合においてのみ、これを行うことができる。科学的研究若しくは歴史的研究の目的又は統計の目的に関しては、知識の増加に対する社会の正当な期待を考慮に入れなければならない。管理者は、監督機関及びデータ主体に対し、その移転に関し情報提供しなければならない。

(114)　欧州委員会が第三国における十分な水準のデータ保護についていかなる決定もしない場合、いかなる場合においても、管理者及び処理者は、データ主体が引き続き基本的な権利及び保護措置を享受するようにするため、データ主体のデータが移転されてしまっても、EUにおけるデータ主体のデータの取扱いと関連する執行可能かつ実効的な権利をデータ主体に提供する解決策を、利用できるようにしなければならない。

(115)　いくつかの第三国は、加盟国の裁判管轄権の下にある自然人及び法人の取扱活動を直接に規律することを旨とする法律、規則及びその他の法的行為を採択している。これは、管理者又は処理者に対して個人データの移転又は開示を求める第三国内の裁判所若しくは法廷の判決又は行政機関の決定であって、司法共助協定のような要求元の第三国とEU若しくは加盟国との間で効力を有する国際協定に基づくものではないものを含みうる。これらの法律、規則及びそれ以外の法的行為の域外適用は、国際法違反となりうるものであり、また、本規則によってEU域内で確保されるべき自然人の保護の達成を害するものとなりうる。移転は、第三国への移転に関して定める本規則の要件に適合する場合にのみ、認められるものとしなければならない。これは、特に、管理者が服するEU法又は加盟国の国内法において認められている公共の利益上の重要な法的根拠のゆえに開示が必要となる場合に該当しうるものである。

(116)　個人データがEUの対外国境を越えて移動する場合、自然人のデータ保護の権利を行使することができること、特に、その情報の違法な利用又は違法な開示から自らを保護することについて、リスクが増大する状況に置かれることとなりうる。それと同時に、監督機関は、その管轄地の域外にある活動に関しては、異議を申立て、又は、調査を行うことができないと結論付けることとなりうる。国境を越えるという文脈の中で、共同で取り組む監督機関の努力は、防止の権限又は救済の権限が不十分であること、一貫性のない法制度、及び、リソースの制約という実務的な障害によっても妨げられうる。それゆえ、監督機関らが国際的な相手と情報交換し、調査を行うことを支援するために、データ保護監督機関の間での緊密な協力を促進する必要がある。個人データ保護のための立法を執行するための国際的な相互支援を促進し、それを提供するための国際協力の仕組みを発展させる目的のために、欧州委員会及び監督機関は、互恵に基づき、かつ、本規則に従って、第三国内の所轄官庁と情報交換をし、又は、それらの機関の権限行使と関連する活動において協力しなければならない。

(117)　完全な独立性をもってその職務を遂行し、その権限を行使する地位をもつ加盟国内の監督機関の設置は、自然人の個人データの取扱いと関連する自然人の保護の本質的な構成要素である。加盟国は、その加盟国の国家体制上、国家組織上及び公的組織上の構造の相違に応じて、一又は複数の監督機関を設置できるものとしなければならない。

(118)　監督機関の独立性は、その財政上の支出に関する管理若しくは監視の仕組み又は司法審査に監督機関が服すことがないということを意味するものではない。

(119)　加盟国が複数の監督機関を設ける場合、その加盟国は、法律によって、一貫性したメカニズムの中におけるそれらの監督機関の効果的な関与を確保するための仕組みを設けなければならない。加盟国は、特に、他の監督機関、委員会及び欧州委員会との迅速かつ円滑な協力関係を確保するため、そのメカニズムへの監督機関らの効果的な関与のための連絡先として機能する監督機関を指定しなければならない。

(120)　各監督機関は、EU全域における他の監督機関との共助及び協力と関連するものを含め、その職務を効果的に遂行するために必要となる資金上及び人員上のリソース、施設及びインフラの提供を受けるものとしなければならない。各監督機関は、独立の公的な予算を受ける。それは、全州の予算又は国内予算の一部とすることができる。

(121)　監督機関の構成員に関する一般的な条件は、それぞれの加盟国において法律によって定められなければならず、また、その条件は、特に、透明性のある手続により、政府、政府の構成員、議会若しくは議会の議院、又は、加盟国の国内法に基づいて信任された独立の組織からの提案に基づき、議会、政府又は加盟国の州の長によってその構成員が任命されることを定めなければならない。監督機関の独立性を確保するため、その構成員は、誠実に行動し、その職務と適合しないいかなる行為をも控えなければならず、かつ、その在任中は、報酬の有無を問わず、その職務と適合しない職業に従事してはならない。監督機関は、監督機関によって選任され、又は、加盟国の国内法によって設置される独立の組織によって選任される監督機関自身の職員をもつものとしなければならない。その職員は、その監督機関の構成員の指示のみに従う。

(122)　各監督機関は、その監督機関の加盟国の領土上において、本規則に従ってその監督機関に与えられた権限を行使し、職務を遂行するための職務権限をもつ。これは、特に、その監督機関の加盟国の領土上にある管理者又は処理者の拠点の活動の過程における取扱い、公的機関又は公共の利益において活動をする民間組織によって行われる個人データの取扱い、対象となるデータ主体がその領土上に居住する場合において、EU域内に拠点のない管理者又は処理者によって行われる、その加盟国上の領土上におけるデータ主体に影響を与える取扱いに対して、適用される。これは、データ主体から申立てられる異議の取り扱い、本規則の適用に関する調査の実施、並びに、個人データの取扱いと関連するリスク、規則、保護措置及び権利についての公衆への周知の促進を含めるものとしなければならない。

(123)　監督機関は、自然人の個人データの取扱いに関して自然人を保護し、域内市場内における個人データの自由な移転を促進するために、本規則による条項の適用を監視し、そして、EU全域におけるその一貫性のある適用に貢献しなければならない。その目的のために、監督機関は、共助の提供又はそのような協力に関する加盟国間の協定を要することなく、相互に協力し、かつ、欧州委員会と協力しなければならない

(124)　EU域内の管理者若しくは処理者の拠点の活動の過程において個人データの取扱いが行われ、かつ、その管理者若しくは処理者が複数の加盟国において拠点がある場合、又は、EU域内の管理者又は処理者の単一の拠点の活動の過程で行われる取扱いが複数の加盟国内のデータ主体に対して実質的に影響を及ぼす場合、若しくは、実質的に影響を及ぼすおそれがある場合、管理者若しくは処理者の主たる拠点のための監督機関、又は、管理者若しくは処理者の単一の拠点のための監督機関は、主監督機関として行動しなければならない。管理者又は処理者がそれらの加盟国の領土上に拠点をもっていることを理由として、それらの加盟国に居住しているデータ主体が実質的に影響を受けていることを理由に、又は、それらの監督機関に対して異議の申立てがなされたことを理由に、主監督機関は、他の関係監督機関と協力しなければならない。当該加盟国に居住していないデータ主体が異議を申立てた場合、その異議を申立てられた監督機関も、関係監督機関となる。本規則の適用の範囲内にある問題に関するガイドラインを発行する職務の中で、委員会は、特に、当の取扱いが複数の加盟国のデータ主体に対して重大な悪影響を与えるか否か、及び、関連性があり理由を付した異議はどのようなものによって構成されるのかを確認するために考慮に入れられるべき基準に関し、ガイドラインを発行できるものとしなければならない。

(125)　主監督機関は、本規則に従って監督機関に与えられる権限を適用する措置に関して、拘束力のある決定を採択する職務権限をもつ。その主監督機関としての権限内において、その監督機関は、意思決定の過程において、関係監督機関らと密接に関与し、協力しなければならない。その決定が、データ主体からの異議申立ての全部又は一部を却下するものであるときは、その決定は、その異議申立てを受理した監督機関によって採択されなければならない。

(126)　決定は、主監督機関と関係監督機関との共同で合意されなければならない。その決定は、管理者若しくは処理者の主たる拠点宛て又は単一の拠点宛てのものとし、その管理者及び処理者を拘束するものとしなければならない。管理者又は処理者は、本規則の遵守を確保し、そして、EU域内における取扱活動に関する管理者又は処理者の主たる拠点に対して主監督機関から通知された決定の実施を確保するために必要となる措置を講じなければならない。

(127)　主監督機関として行動しない個々の監督機関は、管理者又は処理者が複数の加盟国において拠点を有していても、特定の取扱いの対象が単一の加盟国において行われる取扱いのみと関係するものであり、かつ、当該単一の加盟国内のデータ主体のみを含む場合、例えば、その対象が、ある加盟国の特定の雇用の過程における労働者の個人データの取扱いと関係する場合のような、ローカルな案件を取扱う職務権限をもつ。そのような場合、その監督機関は、主監督機関に対し、遅滞なく、その事柄について通知しなければならない。通知を受けた後、その主監督機関は、主監督機関と他の関係監督機関との間の協力に関する条項によりその案件を扱うか（以下「ワンストップショップメカニズム」という）、又は、その通知をした監督機関がローカルなレベルでその案件を取扱うべきかについて判断しなければならない。その案件を取扱うか否かを判断する際、その主監督機関は、管理者又は処理者毎の決定の実効的な執行を確保するために、その通知をした監督機関の加盟国内に管理者又は処理者の拠点が存在するか否かを考慮に入れなければならない。その主監督機関がその案件を取扱うと判断するときは、その案件を通知した監督機関は、決定案を送付する機会をもつものとしなければならない。その主監督機関は、当該ワンストップショップメカニズムの中で自らの決定案を準備する際、送付された決定案を最大限考慮に入れなければならない。

(128)　主監督機関に関する規定及びワンストップショップメカニズムに関する規定は、その取扱いが公的機関によって行われる場合、又は、公共の利益において民間組織によって取扱いが行われる場合には、適用されない。そのような場合においては、本規則に従って与えられた権限を行使する職務権限をもつ監督機関のみが、その公的機関又はその民間組織が拠点を有している加盟国の監督機関となるものとしなければならない。

(129)　EU全域における本規則の一貫性のある監視と執行を確保するため、監督機関は、特に、自然人から異議を申立てられた場合において、調査権限、是正権限及び制裁、承認及び助言の権限、並びに、加盟の国内国法に基づく検察当局の権限を妨げることなく、本規則の違反行為に対して司法当局の関心を向けさせること及び訴訟手続を行うことを含め、それぞれの加盟国内において同じ職務及び効果的な権限をもつ。その権限は、禁止を含め、取扱いの一時的又は恒久的な制限を課す権限も含む。加盟国は、本規則に基づく個人データ保護と関連する上記以外の職務を定めることができる。監督機関の権限は、EU法及び加盟国の国内法に定める適切な手続上の保護措置に従って、公平に、公正に、かつ、合理的な期間内に行使されなければならない。特に、個々の措置は、個々の事案の事情を考慮に入れた上で、本規則の遵守を確保するという観点から適切であり、必要であり、かつ、比例的なものでなければならず、自己に対して不利益な影響を与える個々の措置が講じられる前に全ての者が聴聞を受ける権利を尊重するものであり、かつ、関係者に対する過大な費用負担と過度の不便を避けるものでなければならない。施設へのアクセスと関連する調査権限は、事前に裁判所の承認を得るための要件のような、加盟国の手続法上の特別の要件に従って行使されなければならない。監督機関の個々の法的拘束力のある措置は、書面によるものであり、明確で紛れのないものであり、その措置を発した監督機関、その措置が発せられた日付を表示するものであり、監督機関の長の署名又は当該長によって承認された監督機関の構成員の署名のあるものであり、その措置の理由を提供するものであり、かつ、効果的な司法救済の権利を示すものとしなければならない。このことは、加盟国の手続法による付加的な要件を妨げるものではない。法的拘束力のある決定を採択することは、その決定を採択した監督機関の加盟国において、司法審査の申立てを提起できることを意味する。

(130)　異議を申立てられた監督機関が主監督機関ではない場合、主監督機関は、本規則に定める協力及び一貫性に関する条項に従い、異議を申立てられた監督機関と密接に協力しなければならない。そのような場合、その主監督機関は、制裁金を科すことを含め、法的効果を生じさせる措置を講ずる場合、その異議の申立てを受けた監督機関であり、かつ、職務権限をもつ監督機関と連絡をとりながら自己の加盟国の領土において調査を行う職務権限を維持している監督機関の意見を最大限考慮に入れなければならない。

(131)　管理者又は処理者の取扱活動に関して別の監督機関が主監督機関として行動しなければならないけれども、異議の具体的な事項又は関係する違反行為のおそれが、異議の申し立てられた加盟国の管理者又は処理者の取扱いのみに関係するものである場合、又は、検出された違反行為のおそれ及びその事項が、別の加盟国のデータ主体に対して重大な影響を及ぼしておらず、又は、そのおそれがない場合、異議を受理した監督機関、又は、本規則の違反行為の可能性を伴う状況を検知し、若しくは、別途情報提供を受けている監督機関は、管理者との友好的な解決を模索しなければならず、そして、そのような解決ができないときは、監督機関の権限を全面的に行使しなければならない。このことは、その監督機関の加盟国の領土内で行われる特定の取扱い、又は、当該加盟国の領土内のデータ主体と関連する特定の取扱い；その監督機関の加盟国の領土内のデータ主体を特に対象とする物品又はサービスの提供の過程で行われる取扱い；又は、加盟国の国内法に基づく関連する法的義務を考慮に入れて評価されなければならない取扱いを含めるものとしなければならない。

(132)　監督機関による公衆向けの周知活動は、中小零細企業、並びに、特に教育の過程における自然人を含め、管理者及び処理者向けの具体的な措置を含めるものとしなければならない。

(133)　監督機関は、域内市場において本規則の一貫性のある適用及び執行を確保するために、その職務の遂行において相互に支援し、また、共助を提供しなければならない。共助を要求する監督機関は、共助の要求に対して当該別の監督機関が当該要求を受領した後1か月以内に、何らの回答も受けない場合、暫定的な措置を採択できる。

(134)　個々の監督機関は、それが適切なときは、他の監督機関との共同の職務遂行に参加しなければならない。要求を受けた監督機関は、指定された期限内に、その要求に対する回答を義務付けられるものとする。

(135)　EU全域における本規則の一貫性のある適用を確保するため、監督機関の間の協力のための一貫性メカニズムが構築されなければならない。特に、複数の加盟国内の大勢のデータ主体に対して重大な影響を及ぼす取扱業務に関し、法的効果を生じさせる措置を監督機関が採択しようとする場合に、このメカニズムは適用されなければならない。関係監督機関又は欧州委員会が、そのような事柄は一貫性メカニズムの中で取り扱われるべきであると要求する場合においても、適用されなければならない。そのメカニズムは、欧州委員会が諸条約に基づく権限を行使する際に講ずることのできる措置を妨げないものとする。

(136)　一貫性メカニズムを適用する際、欧州データ保護会議は、欧州データ保護会議の構成員の多数が決定した場合、又は、関係監督機関若しくは欧州委員会からそのように要求された場合、定められた期間内に、その意見を発しなければならない。監督機関の間で見解の対立がある場合、欧州データ保護会議は、法的拘束力のある決定を採択する権限も与えられなければならない。その目的のために、欧州データ保護会議は、監督機関の間において見解の対立があることが明確に示されている案件、特に、協力のメカニズムの中で主監督機関と関係監督機関との間でその案件の結論について対立がある場合、さらに本規則の違反行為があるか否かについて対立がある場合において、原則として、その構成員の3分の2の多数決により、法的拘束力のある決定をしなければならない。

(137)　特に、データ主体の権利の行使が深刻に害されうるような危険が存在する場合において、データ主体の権利及び自由を保護するために行動する緊急の必要がありうる。それゆえ、監督機関は、その監督機関の領土内において、3か月を超えない特定の有効期間を持つ、正当な根拠をもつ暫定的な措置を採択できるものとしなければならない。

(138)　このようなメカニズムを適用することは、その適用が義務となる場合においては、監督機関によって法的効果を生じさせる措置の適法性の条件になるものとする。これ以外の国境を越える関連案件に関しては、主監督機関と関係監督機関との間の協力のメカニズムが適用されなければならず、また、一貫性メカニズムを発動させることなく、二国間又は多国間で、関係監督機関の間において、共助及び共同の職務遂行が行われうる。

(139)　本規則の一貫性のある適用を促進するため、欧州データ保護会議は、EUの独立の組織として設置されなければならない。この目的を充足するために、欧州データ保護会議は、法人格をもつものとしなければならない。欧州データ保護会議は、その議長によって代表される。欧州データ保護会議は、指令95/46/ECによって設置された個人データの保護と関連する個人の保護に関する作業部会（theWorkingPartyontheProtectionofIndividualswithRegardtotheProcessingofPersonalData）と置き換わるものとしなければならない。欧州データ保護会議は、それぞれの加盟国の監督機関の長及び欧州データ保護監督機関又はそれらの個々の代表者によって構成されるものとしなければならない。欧州委員会は、議決権なく委員会の活動に参加するものとし、また、欧州データ保護監督機関は、特定の議決権をもつものとしなければならない。欧州データ保護会議は、特に、第三国又は国際機関における保護のレベルに関して欧州委員会に助言すること、及び、EU全域における監督機関の協力を促進すること等を通じて、EU全域における本規則の一貫性のある適用のために貢献しなければならない。欧州データ保護会議は、その職務を遂行する際、独立して行動しなければならない。

(140)　欧州データ保護会議は、欧州データ保護監督機関から提供される事務局によって補佐されるものとする。本規則によって欧州データ保護会議の権限とされる職務に関与する欧州データ保護監督機関の職員は、保護会議の議長の指示の下においてのみその職務を遂行し、かつ、その議長に直属する。

(141)　全てのデータ主体は、特に、当該データ主体の定居住地の加盟国において、単一の監督機関に異議を申立てる権利をもち、かつ、本規則に基づく自己の権利が侵害されたと判断する場合、又は、監督機関がデータ主体の権利を保護するために必要である場合にその異議の全部又は一部を棄却若しくは却下し何ら行動しない場合、憲章の第47条に従い、効果的な司法救済を受ける権利を有するものとしなければならない。異議申立て後の調査は、司法審査に服するものとして、特定の案件において適切な範囲内で行われなければならない。監督機関は、データ主体に対し、合理的な期間内に、その異議の進捗状況及び結果について、情報提供しなければならない。更なる調査又は別の監督機関との連携が必要となる場合、データ主体に対し、中間的な情報提供が行われなければならない。異議の申立てを容易にするために、各監督機関は、他の通信手段を排除することなく、電子的に完結できる異議申立ての方式を提供するといったような措置を講じなければならない。

(142)　データ主体が、本規則に基づく自己の権利が侵害されていると考える場合、当該データ主体は、加盟国の国内法に従って組織され、公共の利益に属する制定法上の目的をもち、かつ、データ主体の代わりとなって監督機関に異議の申立てをし、データ主体の代わりとなって司法救済の権利を行使し、又は、加盟国が定めている場合には、データ主体の代わりとなって損害賠償金を受領する権利を行使するために、個人データの保護の領域において活動する非営利の組織、団体又は協会に対し、委任する権利を有するものとしなければならない。加盟国は、データ主体の委任を受けることなく、そのような組織、団体又は協会が当該加盟国において異議を申し立てる権利、及び、それらの組織が、本規則に違反する個人データの取扱いの結果としてデータ主体の権利が侵害されていると判断すべき根拠をもつ場合における効果的な司法救済の権利を定めることができる。その組織、団体又は協会は、データ主体の委任を受けることなく、データ主体の代わりに損害賠償を請求することは認められない。

(143)　自然人又は法人は、TFEUの第263条に定める条件の下で、欧州司法裁判所において、欧州データ保護会議の決定の取消しを求める訴えを提起する権利を有する。その決定の名宛人として、その決定に対して不服申立てをする意思のある関係監督機関は、TFEUの第263条に従い、その決定が通知された後2か月以内に訴えを提起しなければならない。欧州データ保護会議の決定が、管理者、処理者又は異議申立人に対する直接的かつ個別的な決定である場合、それらの者は、TFEUの第263条に従い、欧州データ保護会議のWebサイト上でその決定が公示された時から2か月以内に、その決定の取消しを求める訴えを提起することができる。TFEUの第263条に基づくこの権利を妨げることなく、個々の自然人又は法人は、それらの者に関して法的効果を発生させる監督機関の決定を不服として、職務権限をもつ自国の裁判所において、効果的な司法救済を得るものとしなければならない。当該決定は、特に、監督機関による調査権限、是正権限及び承認権限と関係するもの、又は、異議の棄却若しくは却下に関するものである。ただし、この効果的な司法救済の権利は、監督機関から発された意見や提供された助言のような、監督機関によって講じられた法的拘束力のない措置については、適用対象外となる。監督機関に対する訴訟手続は、その監督機関が設けられている加盟国の裁判所において提起されなければならず、かつ、当該加盟国の手続法に従って行われなければならない。これらの裁判所は、裁判管轄権を全面的に行使しなければならず、その管轄権は、その裁判所に提起された紛争と関係する全ての事実上の争点及び法律上の争点を審理するための裁判管轄権を含むものとしなければならない。異議申立てが監督機関によって却下又は棄却された場合、その異議申立人は、同じ加盟国内の裁判所において、訴訟を提起できる。本規則の適用と関係する司法救済の過程においては、その事件について判決を与えることを可能とするために必要な争点の判断をする国内裁判所は、欧州司法裁判所に対し、本規則を含め、EU法の解釈に関する先決裁定を与えることを求めることができ、TFEUの第267条に規定する場合には、そのように求めなければならない。さらに、欧州データ保護会議の決定を踏まえている監督機関の決定に対して国内裁判所において不服申立てがなされ、かつ、その欧州データ保護会議の決定の有効性が争点となっている場合、当該国内裁判所は、その欧州データ保護会議の決定を無効であると宣言する権限をもたず、その国内裁判所がその決定を無効であると判断するときは、欧州司法裁判所によって解釈されるものとしてのTFEUの第267条に従い、その有効性に関する争点の判断を欧州司法裁判所に照会しなければならない。ただし、国内裁判所は、特に、それが当該決定によって直接的かつ個別に関係するものであっても、TFEUの第263条に定める期間内にその申立てがなされたものではない場合、その決定の取消しを求める訴訟を提起する機会をもっていた自然人又は法人の求めに対し、当該欧州データ保護会議の決定の有効性に関する争点の判断の照会をしてはならない。

(144)　監督機関の決定を不服とする訴訟の提起を受けた裁判所が、同じ管理者又は処理者による取扱いについて同じ対象である場合のような、同じ取扱いと関係する訴訟手続、又は、同じ訴訟原因による訴訟手続が、他の加盟国の管轄権をもつ裁判所に提起されていると信ずべき根拠をもつときは、その裁判所は、そのような関連訴訟の存在を確認するために当該裁判所と連絡をとらなければならない。関連訴訟手続が他の加盟国の裁判所に係属しているときは、最初に訴訟係属した裁判所以外の裁判所は、その訴訟手続の進行を停止することができ、また、最初に訴訟係属した裁判所が当の訴訟手続について管轄権をもち、かつ、その加盟国の国内法がそのような関連訴訟事件の併合を認めている場合、どちらか一方の訴訟当事者からの求めにより、最初に訴訟係属した裁判所の管轄権を優先させることができる。別の訴訟手続から相反する内容の判決が生ずるリスクを避けるため、異なる訴訟手続が密接に関係しており、それらについて一緒に審理し判断したほうが得策である場合には、それらの訴訟手続は、関連するものとみなされる。

(145)　管理者又は処理者を相手方とする訴訟手続に関し、管理者がその公権力の行使において行動する加盟国の行政機関である場合を除き、原告は、管理者又は処理者がその拠点をもつ加盟国の裁判所、又は、データ主体の居住地である加盟国の裁判所において、訴えを提起する選択肢をもつものとしなければならない。

(146)　管理者又は処理者は、本規則に違反する取扱いの結果として人が被るであろう損害の賠償をしなければならない。管理者又は処理者は、その損害に関しいかなる態様の責任もないことを証明したときは、その法責任を免れる。損害の概念は、本規則の目的を完全に反映する態様で、欧州司法裁判所の判例法に照らし、幅広く解釈されなければならない。これは、EU法又は加盟国の国内法中の他の規定の違反から生ずる損害に関するいかなる訴訟をも妨げるものではない。本規則に違反する取扱いは、本規則及び本規則の細則を定める加盟国の国内法に従って採択される委任される行為及び実装行為に違反する取扱いも含む。データ主体は、自らが被った損害について、完全かつ効果的な損害賠償を受けるものとする。管理者又は処理者が同じ取扱いに関与する場合、個々の管理者又は処理者は、損害の全部について法的責任を負わなければならない。ただし、それらの者が同じ訴訟手続に加わっている場合、被害を受けたデータ主体の完全かつ効果的な損害賠償が確保される限り、加盟国の国内法に従い、その取扱いから生じた損害について、個々の管理者又は処理者の責任の割合に応じた賠償とすることができる。全額を弁償した管理者又は処理者は、その後に、同じ取扱いに関与した他の管理者又は処理者を相手方として、求償請求の訴えを提起できる。

(147)　特に、損害賠償を含め、管理者又は処理者を相手方として司法救済を求める訴訟手続に関し、裁判管轄権に関する特別規定が本規則の中に含まれている場合、欧州議会及び理事会の規則(EU)No1215/2012＊13＊中の規定のような裁判管轄権に関する一般的な規定は、そのような特別規定の適用を妨げてはならない。

(148)　本規則の規定の執行を強化するために、本規則により監督機関によって課される適切な措置に加え、又は、これに代えて、本規則の違反行為に対し、制裁金を含め、制裁が加えられなければならない。軽微な違反行為の場合、又は、課される制裁金が自然人に対して過大な負担を構成するような場合、制裁金の代わりに注意処分を行うことができる。ただし、その違反行為の性質、重大性及び持続期間、その違反行為が意図的なものであること、被った損害を軽減させるために講じられた行動、責任の程度及び関連する過去の違反行為、その違反行為がどのようにして監督機関に認知されることになったのか、管理者又は処理者に対して命じられた措置の遵守、行動準則の遵守、並びに、これら以外の加重要素及び軽減要素を適正に考慮しなければならない。制裁金を含め、制裁の実施は、効果的な司法上の保護及び適正手続を含め、EU法及び憲章の一般的な基本原則に従う適切な手続上の保護措置に服するものとしなければならない。

(149)　加盟国は、本規則に従い、かつ、本規則の制限の範囲内で採択された国内規定の違反行為に関するものを含め、本規則の違反行為に対する刑事罰に関する規定を定めることができる。その刑事罰は、本規則の違反行為によって得られた利益の没収を認めることもできる。ただし、そのような国内規定の違反行為に対して刑罰及び行政上の制裁を加えることが、欧州司法裁判所によって解釈されるものとしての一事不再理の原則を侵害するような結果を導いてはならない。

(150)　本規則の違反行為に対する行政上の制裁を強化し、整合性のとれたものとするため、各監督機関は、制裁金を加える権限をもつものとしなければならない。本規則は、関連する制裁金を決定するための違反行為、上限及び基準を示すものとしなければならならず、それは、個々の事案において、監督機関によって、特定の状況における全ての関連する事情を考慮に入れた上で、特に、違反行為の性質、重大性及び持続期間、その結果として発生した事態、並びに、本規則に基づく義務の遵守を確保し、違反行為による結果の発生を防止又は軽減するために講じられた措置を適切に考慮した上で、決定されなければならない。制裁金が事業者に対して加えられる場合、その目的との関係においては、事業者とは、TFEUの第101条及び第102条に従った事業者として理解されなければならない。制裁金が事業者ではない者に対して加えられる場合、監督機関は、制裁金の適切な金額を検討するに際し、その加盟国における一般的な所得レベル及び当該の者の経済状態を考慮に入れなければならない。一貫性メカニズムは、制裁金の一貫性のある適用を促進するためにも用いることができる。行政機関が制裁金に服すべきか否か及びその範囲は、加盟国によって定められなければならない。制裁金を加えること、又は、警告を与えることは、本規則に基づく監督機関のそれ以外の権限の行使又はそれ以外の制裁の適用に影響を及ぼすものではない。

(151)　デンマーク及びエストニアの法制度は、本規則に定める制裁金を認めていない。デンマークにおいては、職務権限をもつ国内裁判所によって刑罰として制裁金が科されるものとし、そして、エストニアにおいては、監督機関によって微罪の手続の枠組みの中で制裁金が科されるものとするという方法で、制裁金に関する法令を適用できるが、これらの加盟国におけるそのような法令の適用が監督機関によって加えられる制裁金と均等の効果をもつ事が条件となる。それゆえ、職務権限をもつ国内裁判所は、制裁金を求める監督機関からの勧告を考慮に入れなければならない。いずれの場合においても、制裁金は、効果的であり、比例的であり、かつ、抑止力のあるものでなければならない

(152)　本規則が行政上の制裁と整合しない場合、又は、例えば、本規則の重大な違反行為の場合のような、それ以外の場合にその必要性がある場合は、加盟国は、効果的であり、比例的であり、かつ、抑止力のある処罰を定める法制度を実装しなければならない。そのような制裁の法的性質、刑事罰とするか制裁金とするかは、加盟国の国内法によって定められるものとしなければならない。

(153)　加盟国の国内法は、報道、学問上、芸術又は文学上の表現を含め、表現及び情報伝達の自由を規律する規定と、本規則による個人データの保護の権利との間の調和を図らなければならない。報道の目的のため、又は、学問上、芸術若しくは文学上の表現の目的のためにのみ行われる個人データの取扱いは、個人データの保護に関する権利と憲章の第11条に掲げられている表現及び情報伝達の自由の権利とを調和させる必要があるときは、本規則の一定の条項からの特例又は例外の対象になるものとする。このことは、特に、視聴覚の分野並びにニュース保管及び報道ライブラリにおける個人データの取扱いに関して適用されなければならない。それゆえ、加盟国は、これらの基本的な諸権利の間のバランスをとる目的のために必要な例外条項及び特例条項を定める立法上の措置を講じなければならない。加盟国は、一般的な基本原則、データ主体の権利、管理者及び処理者、第三国又は国際機関に対する個人データの移転、独立の監督機関、協力と一貫性、並びに、特別のデータの取扱いに関し、そのような例外条項及び特例条項を採択しなければならない。そのような例外条項又は特例条項が加盟国間で区々になっている場合、管理者が服する加盟国の法律が適用される。全ての民主主義社会における表現の自由の権利の重要性を考慮に入れるため、報道のような、表現の自由と関連する諸概念を広く解釈する必要がある。

(154)　本規則は、本規則の適用の際に考慮されるべき、公文書への公衆のアクセスの原則を認める。公文書への公衆のアクセスは、公共の利益に属するものと考えることができる。公的機関又は公的組織によって保有される文書中の個人データは、その公的機関又は公的組織が服するEU法又は加盟国の国内法によってその開示が定められている場合、その公的機関又は公的組織によって公衆に開示されうるものとしなければならない。そのような法律は、公文書への公衆のアクセス及び公的分野にある情報の再利用と個人データの保護の権利との調和を図るものとしなければならず、また、それゆえ、本規則による個人データの保護の権利との必要な調和を図ることを定めることができる。公的機関及び公的組織に対する照会は、その文脈において、文書への公衆のアクセスに関する加盟国の国内法の適用範囲内にある全ての機関及びそれ以外の組織を含むものとしなければならない。欧州議会及び理事会の指令2003/98/EC＊14＊は、そのまま維持されており、そして、EU法又は加盟国の国内法の条項に基づく個人データの取扱いと関連する自然人の保護のレベルに対して、いかなる方法においても影響を与えることがなく、また、特に、本規則に定める義務及び権利を変更するものではない。特に、同指令は、個人データの保護を根拠とするアクセス制度によりアクセスが禁止又は制限されている文書、及び、その制度により部分的に公開可能な文書であっても、当該部分に個人データを含み、その部分の二次利用が個人データの取扱いと関連する自然人の保護に関する法律と適合しないものとして、当該法律によって定められているものには適用されない。

(155)　加盟国の国内法、又は、「労働協約」を含む協約は、雇用の過程における労働者の個人データの取扱いに関して、特に、雇用の過程において、労働者の同意に基づき、求人、法律又は協約に定める就労義務の履行を含む雇用契約の履行、仕事の管理、企画及び編成、職場における平等と多様性、職場における健康と安全の目的、及び、個人ベース及び集団ベースで、雇用と関連する権利の行使及び利益の享受の目的、並びに、雇用関係の終了の目的のために個人データを取扱うことができる場合の条件に関して、その特別規定を定めることができる。

(156)　公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のための個人データの取扱いは、本規則により、データ主体の権利及び自由のための適切な保護措置に服するものとしなければならない。それらの保護措置は、特に、データの最小化の原則を確保するために、技術上及び組織上の措置が設けられることを確保しなければならない。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のための個人データの追加的な取扱いは、（例えば、データの仮名化のような）適切な保護措置が存在することを条件として、データ主体の識別を許さない、若しくは、許さなくなったデータの取扱いによってその目的を充足させることができるということを管理者が評価したときに、行われるべきである。加盟国は、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる個人データの取扱いのための適切な保護措置を定めなければならない。加盟国は、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために個人データの取扱いが行われる場合、特別の条件の下で、かつ、データ主体のための適切な保護措置の下、情報提供義務、並びに、訂正の権利、削除の権利、忘れられる権利、取扱いの制限の権利、データポータビリティの権利及び異議を述べる権利に関し、その細則及び特例を定めることが認められる。当該条件及び保護措置は、データ主体がそれらの権利を行使するための特別の手続を伴うものとすることができるが、これは比例性原則及び必要性原則に従って個人データの取扱いを最小化することを狙いとする技術上及び組織上の措置に沿う特別の取扱いによって求められる目的に照らして適切であることが条件となる。また、科学的研究の目的のための個人データの取扱いは、臨床試験に関する法令のような、関連する他の立法を遵守しなければならない。

(157)　登録所からの情報と連結することによって、研究者は、心血管疾患、ガン及びうつ病のような広い範囲の健康状態と関連する大きな価値のある新たな知識を得ることができる。登録所を基盤として、その研究結果は、より大きな人口に基づいて考察することにより、深めることができる。社会科学の範囲内では、登録所に基づく調査は、失業及び教育のような、多数の社会条件とそれ以外の生活条件との長期間にわたる相関関係に関する基礎的な知識を研究者が得ることを可能にする。登録所から得られる調査結果は、安定的で高品位の知識を提供し、それは、知識に基づく政策の形成や実施のための基礎を提供し、大勢の人々の生活の質を向上させ、そして、社会サービスの効率性を向上させうるものである。科学的な調査を促進するために、個人データは、EU法又は加盟国の国内法に定める適切な要件及び保護措置の下、科学的研究の目的のために、取扱うことができる。

(158)　保管の目的のために個人データが取り扱われる場合、本規則は、死亡した者に対しては本規則が適用されないことに留意した上で、その取扱いにも適用されなければならない。公共の利益の記録を保有する公的機関又は公的組織若しくは民間組織は、EU法又は加盟国の国内法により、一般的な公共の利益のための不朽の価値を有する記録の収集、保存、鑑定、編纂、記述、送信、広報、普及及び配布をし、かつ、その記録へのアクセスを提供すべき法的義務をもつ公共機関でなければならない。加盟国は、例えば、かつての全体主義国家

体制下の政治的活動、ジェノサイド、人道に対する罪、特に、ホロコースト、又は、戦争犯罪と関連する特別の情報を提供するという観点から、保管の目的のための個人データの追加的な取扱いを定めることも認められるものとしなければならない。

(159)　科学的研究の目的で個人データが取り扱われる場合、本規則は、その取扱いにも適用される。本規則の目的のために、科学的研究の目的のための個人データの取扱いは、例えば、技術開発及び展示、基礎研究、応用研究並びに民間資金の提供を受けた研究を含め、幅広く解釈されなければならない。加えて、欧州の研究領域を達成するというTFEU第179条第1項に基づくEUの目的を考慮に入れなければならない。科学的研究の目的は、公衆衛生の領域において公共の利益において行われる研究も含めるものとしなければならない。科的研究の目的のための個人データの取扱いの特殊性に適合させるため、特に、科学的研究の目的の過程におる個人データの出版又はそれ以外の開示に関しては、特別の条件が適用されなければならない。特に、保険領域における科学的研究の結果が、データ主体の利益のため、追加的措置のための理由となる場合、そのような措置を考慮して、本規則の一般的な規定が適用されなければならない。

(160)　歴史的研究の目的で個人データが取り扱われる場合、本規則は、その取扱いにも適用される。これは、歴史的研究及び地理調査の目的も含むが、死亡した者に対しては本規則が適用されないことに留意する。

(161)　臨床試験における科学的な研究活動への参加に同意する目的のためには、欧州議会及び理事会の規則(EU)No536/2014＊15＊の関連条項が適用されなければならない。

(162)　統計の目的のために個人データが取扱われる場合、本規則は、その取扱いに適用される。EU法又は加盟国の国内法は、本規則の制限の範囲内で、統計の内容、アクセス管理、統計の目的による個人データの取扱いの仕様、並びに、データ主体の権利及び自由の安全性を確保し、統計上の秘密を確保するための適切な措置を定めなければならない。統計の目的とは、統計調査又は統計結果の作成のために必要となる個人データの収集及び取扱いの業務遂行のことを意味する。統計結果は、科学的研究の目的を含め、さらに、異なる目的のために用いることができる。統計の目的とは、統計の目的による取扱いの結果が、個人データではなく、集約されたデータであること、そして、その結果又は個人データが特定の自然人に関する措置又は決定を支援する際に用いられるものではないことを意味する

(163)　EUの公式統計及び加盟国の公式統計を作成するためにEUの統計局及び加盟国の統計局が収集する機密性のある情報は、保護されなければならない。欧州統計は、TFEUの第338条第2項に定める統計上の基本原則に従って設けられ、作成され、かつ、配布されるものとしなければならない。他方において、加盟国の統計は、加盟国の国内法を遵守しなければならない。欧州議会及び理事会の規則(EC)No223/2009＊16＊は、欧州統計のために統計上の秘密に関する別の細則を定めている。

(164)　管理者又は処理者から個人データへのアクセス及びその施設へのアクセスを得るための監督機関の権限に関し、加盟国は、法律により、本規則の制限の範囲内で、個人データの保護の権利と職務上の守秘義務との整合性を保つために必要となる範囲内において、職務上の秘密又はそれと均等の機密保持義務を保護するための特別規定を採択できる。これは、EU法によって要求される場合、職務上の守秘義務に関する法令を採択すべき加盟国の既存の義務を妨げるものではない。

(165)　本規則は、TFEUの第17条において承認されているように、加盟国内にある教会、宗教団体及び宗教上の集団の現行の憲法に基づく地位を尊重し、かつ、これを妨げない。

(166)　本規則の目的、すなわち、自然人の基本的な権利及び自由、特に、自然人の個人データ保護の権利を保護し、かつ、EU域内における個人データの自由な移転を確保するために、TFEUの第290条による行為を採択する権限が欧州委員会に委任される。特に、認証方法の基準及び要件、標準化されたアイコンによって表示されるべき情報及びそのアイコンを提供する手続に関して、委任される行為が採択されなければならない。専門家レベルのものを含め、欧州委員会がその作業を準備する間に適切に協議を行うことは、特に重要なことである。欧州委員会は、委任された行為を準備し、起草する際、欧州議会及び理事会に対し、同時に、適時に、かつ、適切に、関連文書を送付することを確保しなければならない。

(167)　本規則の実装のための統一的な条件を確保するため、本規則によって定められている場合、欧州委員会に対してその実装権限が与えられなければならない。この権限は、規則(EU)No182/2011に従って行使されなければならない。その過程において、欧州委員会は、中小零細企業のための具体的な措置を検討しなければならない。

(168)　管理者と処理者の間及び処理者間における標準約款；行動準則；認証のための技術基準及び認証方法；第三国、第三国内における地域若しくは特定の部門又は国際機関によって与えられる十分なレベルの保護；標準データ保護約款；拘束的企業準則のための管理者、処理者及び監督機関間の電子的な手段による情報交換のフォーマット及び手続；共助；監督機関の間及び監督機関と委員会の間での電子的な手段による情報交換のための手配に関する実装行為の採択のために、審議手続が用いられなければならない。

(169)　利用可能な証拠によって、第三国、第三国内の地域若しくは特定の部門又は国際機関が十分なレベルの保護を確保していないことが明らかになり、かつ、緊急性という正当化根拠があるときは、欧州委員会は、直ちに、適用可能な実装行為を採択しなければならない。

(170)　本規則の目的、すなわち、EU全域における自然人の保護及び個人データの自由な移転の均等なレベルでの確保は、加盟国によっては十分に達成することができず、そのような行為の規模及び効果のゆえに、EUレベルでより良くその目的を達成することができるものであるから、EUは、欧州連合条約（TFU）の第5条に定める補完性原則に従い、措置を採択できる。同条に定める比例性原則に従い、本規則は、その目的を達成するために必要なところを超えることがない。

(171)　指令95/46/ECは、本規則によって廃止される。本規則が適用される日において既に行われている取扱いは、本規則の発効の後2年以内に、本規則に適合するようにされなければならない。取扱いが指令95/46/ECによる同意に基づくものである場合、その同意を与えた態様が本規則の条件に沿うものである限り、本規則の適用の日の後に管理者がその取扱いを継続することができるようにするために、データ主体が自己の同意を重ねて提供することを要しない。指令95/46/ECに基づいて採択され、監督機関によって承認された欧州委員会の決定は、その改正、置き換え又は廃止があるまでの間は、その有効性を維持する。

(172)　欧州データ保護監察機関は、規則(EC)No45/2001の第28条第2項に従って協議をし、2012年3月7日にその意見書を＊17＊提出した。

(173)　本規則は、管理者の義務及び自然人の権利を含め、欧州議会及び理事会の指令2002/58/EC＊18＊に定めるの同じ特別の義務に服さない個人データの取扱いとそれぞれ対応する基本的な権利及び自由の保護に関する全ての事柄に適用される。本規則と指令2002/58/ECとの関係を明確にするため、同指令は、しかるべく改正されなければならない。本規則が採択された後、指令2002/58/ECは、特に本規則との整合性を確保するために、見直されなければならない。

｛＊１＊　OJC229,31.7.2012,p.90.OJC229,31.7.2012,p.90.｝
｛＊２＊　OJC391,18.12.2012,p.127.OJC391,18.12.2012,p.127｝
｛＊３＊　欧州議会の2014年3月12日付け意見書（官報未登載）及び第1読会における欧州連合理事会の2016年4月8日付け意見書（官報未登載）及び欧州議会の2016年4月14日付け意見書｝
｛＊４＊　個人データの取扱いと関連する個人の保護に関する、及び、そのデータの自由な移動に関する欧州議会及び理事会の1995年10月24日の指令95/46/EC（OJL281,23.11.1995,p.31）｝
｛＊５＊　マイクロ企業、小企業及び中規模企業の定義に関する2003年5月6日の委員会勧告（C(2003)1422）（OJL124,20.5.2003,p.36）｝
｛＊６＊　欧州共同体の機関及び組織による個人データの取扱いと関連する個人の保護に関する、及び、そのデータの自由な移動に関する欧州議会及び理事会の2000年11月18日の規則(EC)No45/2001（OJL8,12.1.2001,p.1）｝
｛＊７＊　犯罪行為の防止、捜査、探知若しくは訴追又は刑罰の執行のための所轄官庁による個人データの取扱いと関連する自然人の保護、及び、そのデータの自由な移動に関する、並びに、理事会枠組み決定2008/977/JHAを廃止する2016年4月27日の欧州議会及び理事会の指令(EU)2016/680（この官報の89頁参照）｝
｛＊８＊　域内市場における情報社会サービスの一定の法的側面特に電子商取引に関する欧州議会及び理事会の2000年6月8日の指令2000/31/EC（電子商取引指令）（OJL178,17.7.2000,p.1）｝
｛＊９＊　国境を越える医療における患者の権利の適用に関する欧州議会及び理事会の2011年3月9日の指令2011/24/EU（OJL88,4.4.2011,p.45）｝
｛＊10　消費者契約における不公正な契約条件に関する1993年4月5日の理事会指令93/13/EEC（OJL95,21.4.1993,p.29）｝
｛＊11　公衆衛生並びに労働における健康及び安全上の欧州共同体の統計に関する欧州議会及び理事会の規則(EC)No1338/2008（OJL354,31.12.2008,p.70）｝
｛＊12　欧州委員会の実装権限の行使の加盟国による管理のための制度に関する規則及び一般原則を定める欧州議会及び理事会の2011年2月16日の規則(EU)No182/2011（OJL55,28.2.2011,p.13）｝
｛＊13　裁判管轄権並びに民事及び商事における判決の承認及び執行に関する欧州議会及び理事会の2012年12月12日の規則(EU)No1215/2012（OJL351,20.12.2012,p.1）｝
｛＊14　公的部門の情報の二次利用に関する欧州議会及び理事会の2003年11月17日の指令2003/98/EC（OJL345,31.12.2003,p.90）｝
｛＊15　人間用の医療機器の臨床試験に関する、及び、指令2001/20/ECを廃止する欧州議会及び理事会の2014年4月16日の規則(EU)No536/2014（OJL158,27.5.2014,p.1）｝
｛＊16　欧州の統計に関する、並びに、欧州共同体統計局に対する統計上の秘密に服するデータの移転に関する欧州議会及び理事会の規則(EC,Euratom)No1101/2008を廃止し、欧州共同体の統計に関する理事会規則(EC)No332/97を廃止し、及び、Euratomの欧州委員会統計計画委員会の設置に関する理事会決定89/382/EECを廃止する欧州議会及び理事会の2009年5月11日の規則(EC)No223/2009（OJL87,31.3.2009,p.164）｝
｛＊17　OJ C 192, 30.6.2012, p. 7.｝
｛＊18　電子通信分野における個人データの保護及びプライバシーの保護に関する欧州議会及び理事会の2002年7月12日の指令2002/58/EC（プライバシー及び電子通信に関する指令）（OJL201,31.7.2002,p.37）｝

1.　本規則は、個人データの取扱いと関連する自然人の保護に関する規定及び個人データの自由な移動に関する規定を定める。

2.　本規則は、自然人の基本的な権利及び自由、並びに、特に、自然人の個人データの保護の権利を保護する。

3.　EU域内における個人データの自由な移動は、個人データの取扱いと関連する自然人の保護と関係する理由のゆえに制限されることも禁止されることもない。

1.　本規則は、その全部又は一部が自動的な手段による個人データの取扱いに対し、並びに、自動的な手段以外の方法による個人データの取扱いであって、ファイリングシステムの一部を構成するもの、又は、ファイリングシステムの一部として構成することが予定されているものに対し、適用される。

2.　本規則は、以下の個人データの取扱いには適用されない:

(b)加盟国によってEU条約第5款第2章の適用範囲内にある活動が行われる場合。

(c)自然人によって純粋に私的な行為又は家庭内の行為の過程において行われる場合。

(d)公共の安全への脅威からの保護及びその脅威の防止を含め、所管官庁によって犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行のために行われる場合。

3.　EUの機関、組織、事務局及び部局による個人データの取扱いに関しては、規則(EC)No45/2001が適用される。規則(EC)No45/2001及び個人データのそのような取扱いに適用可能な同規則以外のEUの法令は、第98条に従い、本規則の基本原則及び規定に適合するように調整される。

4.　本規則は、指令2000/31/ECの適用、特に、同指令の第12条から第15条にある中間介在サービスプロバイダの法的責任に関する規定の適用を妨げない。

1.　本規則は、その取扱いがEU域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。

2.　取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いに適用される:

(a)データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は

(b)データ主体の行動がEU域内で行われるものである限り、その行動の監視。

3.　本規則は、EU域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。

(1)「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

(2)「取扱い」とは、自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しくは変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行又は一群の業務遂行を意味する。

(3)「取扱いの制限」とは、将来におけるその取扱いを限定するために、記録保存された個人データに目印をつけることを意味する。

(4)「プロファイリング」とは、自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な取扱いを意味する。

(5)「仮名化」とは、追加的な情報が分離して保管されており、かつ、その個人データが識別された自然人又は識別可能な自然人に属することを示さないことを確保するための技術上及び組織上の措置の下にあることを条件として、その追加的な情報の利用なしには、その個人データが特定のデータ主体に属することを示すことができないようにする態様で行われる個人データの取扱いを意味する。

(6)「ファイリングシステム」とは、個人データの構成された集合体であって、機能上又は地理上における集中型、分散型又は散在型の別を問わず、特定の基準に従ってアクセス可能なものを意味する。

(7)「管理者」とは、自然人又は法人、公的機関、部局又はその他の組織であって、単独で又は他の者と共同で、個人データの取扱いの目的及び方法を決定する者を意味する。その取扱いの目的及び方法がEU法又は加盟国の国内法によって決定される場合、管理者又は管理者を指定するための特別の基準は、EU法又は加盟国の国内法によって定めることができる。

(8)「処理者」とは、管理者の代わりに個人データを取扱う自然人若しくは法人、公的機関、部局又はその他の組織を意味する。

(9)「取得者」とは、第三者であるか否かを問わず、個人データの開示を受ける自然人若しくは法人、公的機関、部局又はその他の組織を意味する。ただし、EU法又は加盟国の国内法に従って特別の調査の枠組み内で個人データを取得できる公的機関は、取得者とはみなされない。公的機関によるそのデータの取扱いは、その取扱いの目的に従い、適用可能なデータ保護の規定を遵守するものとする。

(10)「第三者」とは、データ主体、管理者、処理者、及び、管理者又は処理者の直接の承認の下で個人データの取扱いを承認されている者以外の自然人若しくは法人、公的機関、部局又はその他の組織を意味する。

(11)データ主体の「同意」とは、自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するものを意味する。

(12)「個人データ侵害」とは、偶発的又は違法な、破壊、喪失、改変、無権限の開示又は無権限のアクセスを導くような、送信され、記録保存され、又は、その他の取扱いが行われる個人データの安全性に対する侵害を意味する。

(13)「遺伝子データ」とは、自然人の、先天的な又は後天的な遺伝的特性に関連する個人データであって、自然人の生理状態又は健康状態に関する固有な情報を与えるものであり、かつ、特に、当の自然人から得られた生化学資料の分析結果から生ずるものを意味する。

(14)「生体データ」とは、自然人の身体的、生理的又は行動的な特性に関連する特別な技術的取扱いから得られる個人データであって、顔画像や指紋データのように、当該自然人を一意に識別できるようにするもの、又は、その識別を確認するものを意味する。

(15)「健康に関するデータ」とは、医療サービスの提供を含め、健康状態に関する情報を明らかにする、自然人の身体的又は精神的な健康と関連する個人データを意味する。

(a)複数の加盟国に拠点をもつ管理者に関しては、EU域内の管理者の統括管理部門の場所。ただし、個人データの取扱いの目的及び方法の決定がEU域内の管理者の別の拠点で行われ、かつ、当該拠点がその決定を実施する権限をもち、そのような決定を実施する拠点が主たる拠点とみなされる場合を除く。

(b)複数の加盟国に拠点をもつ処理者に関しては、EU域内の処理者の統括管理部門の場所、又は、処理者がEU域内に統括管理部門をもたない場合、処理者が本規則に基づく特別の義務に服する範囲内において、処理者の拠点の活動の過程で主要な取扱活動が行われるEU域内の処理者の拠点。

(17)「代理人」とは、EU域内に拠点のある自然人又は法人であって、第27条に従い、管理者又は処理者から書面によって指名され、本規則に基づく管理者又は処理者のそれぞれの義務に関して管理者又は処理者を代理する者のことを意味する。

(18)「事業者」とは、その法的形式を問わず、継続的に経済活動に従事するパートナーシップ及び団体を含め、経済活動に従事する自然人又は法人のことを意味する。

(19)「企業グループ」とは、支配管理する企業及びそれによって支配管理される企業のことを意味する。

(20)「拘束的企業準則」とは、個人データ保護方針であって、企業グループの中又は共同事業を営んでいる事業者グループの中で、一又は複数の第三国内の管理者又は処理者に対して個人データの移転をするため、又は、一群の個人データの移転をするために、加盟国の領土に設けられた管理者又は処理者によって遵守されるもののことを意味する。

(21)「監督機関」とは、第51条により加盟国によって設置される独立の公的機関のことを意味する。

(22)「関係監督機関」とは、以下のいずれかの理由によって、個人データの取扱いと関係付けられている監督機関のことを意味する。

(a)当該監督機関の加盟国の領土上に管理者又は処理者の拠点がある、

(b)当該監督機関の加盟国に居住するデータ主体が、取扱いによって重大な影響を受けている、若しくは、重大な影響を受けるおそれがある、又は、

(a)管理者又は処理者が複数の加盟国に拠点がある場合、EU域内の管理者又は処理者の複数の加盟国の拠点の活動の過程で行われる個人データの取扱い、又は、

(b)EU域内の管理者又は処理者の単一の拠点の活動の過程で行われるけれども、複数の加盟国内のデータ主体に対して重大な悪影響を与え、又は、重大な悪影響を与えるおそれのある個人データの取扱い。

(24)「関連性があり理由を付した異議」とは、本規則の違反行為があるか否か、又は、管理者又は処理者との

(25)「情報社会サービス」とは、欧州議会及び理事会の指令(EU)2015/1535＊１＊の第1条第1項(b)に定義するサービスのことを意味する。

(26)「国際機関」とは、国際公法によって規律される組織及びその下部組織、又は、その他の組織であって、複数の国の間の協定によって、若しくは、その協定に基づいて、設立されるもののことを意味する。

(a)そのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。(「適法性、公正性及び透明性」)

(b)特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的取扱いをしてはならない。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的取扱いは、第89条第1項に従い、当初の目的と適合しないものとはみなされない。(「目的の限定」)

(c)その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ、必要のあるものに限定されなければならない。(「データの最小化」)

(d)正確であり、かつ、それが必要な場合、最新の状態に維持されなければならない。その個人データが取扱われる目的を考慮した上で、遅滞なく、不正確な個人データが消去又は訂正されることを確保するための全ての手立てが講じられなければならない。(「正確性」)

(e)その個人データが取扱われる目的のために必要な期間だけ、データ主体の識別を許容する方式が維持されるべきである。データ主体の権利及び自由の安全性を確保するために本規則によって求められる適切な技術上及び組織上の措置の実装の下で、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のみのために取扱われる個人データである限り、その個人データをより長い期間記録保存できる。(「記録保存の制限」)

(f)無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。(「完全性及び機密性」)

2.　管理者は、第1項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。(「アカウンタビリティ」)

1.　取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である:

(a)データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。

(b)データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。

(c)管理者が服する法的義務を遵守するために取扱いが必要となる場合。

(d)データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。

(e)公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。

(f)管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。

第1項(f)は、公的機関によってその職務の遂行のために行われる取扱いには適用されない。

2.　加盟国は、第1項(c)及び(e)を遵守する取扱いに関し、第9章に定めるその他の特別の取扱いの状況に関する場合を含め、適法かつ公正な取扱いを確保するため、取扱いのためのより詳細で細目的な要件及びその他の措置を定めることによって、本規則の規定の適用を調整するためのより細目的な条項を維持し、又は、これを導入できる。

3.　第1項(c)及び(e)に定める取扱いのための根拠は、以下によって定められる:

取扱いの目的は、その法的根拠に従って決定され、又は、第1項(e)に定める取扱いに関しては、公共の利益において、若しくは、管理者に与えられた公的な権限の行使において行われる職務の遂行のために必要なものとする。その法的根拠は、本規則の規定の適用を調整するための特別の条項を含みうる。特に、管理者による取扱いの適法性を規律する一般的な条件、取扱いの対象となるデータの種類、関係するデータ主体、個人データが開示されうる組織及びその目的、目的の限定、記録保存期間、並びに、第9章中に定めるその他の特別の取扱いの状況のための措置のような適法かつ公正な取扱いを確保するための措置を含めた取扱業務及び取扱手続を含めることができる。EU法又は加盟国の国内法は、公共の利益の目的に適合するものであり、かつ、その求める正当な目的と比例的なものとする。

4.　個人データが収集された目的以外の目的のための取扱いが、データ主体の同意に基づくものではなく、又は、第23条第1項に定める対象を保護するために民主主義の社会において必要かつ比例的な手段を構成するEU法若しくは加盟国の国内法に基づくものではない場合、管理者は、別の目的のための取扱いが、その個人データが当初に収集された目的と適合するか否かを確認するため、特に、以下を考慮に入れる。

(a)個人データが収集された目的と予定されている追加的取扱いの目的との間の関連性。

(b)特にデータ主体と管理者との間の関係と関連して、その個人データが収集された経緯。

(c)個人データの性質、特に、第9条により、特別な種類の個人データが取扱われるのか否か、又は、第10条により、有罪判決又は犯罪行為と関係する個人データが取扱われるのか否か。

(d)予定されている追加的取扱いの結果としてデータ主体に発生する可能性のある事態。

(e)適切な保護措置の存在。これには、暗号化又は仮名化を含むことができる。

1.　取扱いが同意に基づく場合、管理者は、データ主体が自己の個人データの取扱いに同意していることを証明きるようにしなければならない。

2.　別の事項とも関係する書面上の宣言の中でデータ主体の同意が与えられる場合、その同意の要求は、別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて、表示されなければならない。そのような書面上の宣言中の本規則の違反行為を構成する部分は、いかなる部分についても拘束力がない。

3.　データ主体は、自己の同意を、いつでも、撤回する権利を有する。同意の撤回は、その撤回前の同意に基づく取扱いの適法性に影響を与えない。データ主体は、同意を与える前に、そのことについて情報提供を受けるものとしなければならない。同意の撤回は、同意を与えるのと同じように、容易なものでなければならない。

4.　同意が自由に与えられたか否かを判断する場合、特に、サービスの提供を含め、当該契約の履行に必要のない個人データの取扱いの同意を契約の履行の条件としているか否かについて、最大限の考慮が払われなければならない。

第8条　情報社会サービスとの関係において子どもの同意に適用される要件

1.　子どもに対する直接的な情報社会サービスの提供との関係において第6条第1項(a)が適用される場合、その子どもが16歳以上であるときは、その子どもの個人データの取扱いは適法である。その子どもが16歳未満の場合、そのような取扱いは、その子どもの親権上の責任のある者によって同意が与えられた場合、又は、その者によってそれが承認された場合に限り、かつ、その範囲内に限り、適法である。

　加盟国は、その年齢が13歳を下回らない限り、法律によって、それらの目的のためのより低い年齢を定めることができる。

2.　管理者は、利用可能な技術を考慮に入れた上で、その子どもについて親権上の責任のある者によって同意が与えられたこと、又は、その者によってそれが承認されたことを確認するための合理的な努力をするものとする。

3.　第1項は、子どもと関係する契約の有効性、締結又は法律効果に関する規定のような加盟国の一般的な契約法に対して影響を与えない。

1.　人種的若しくは民族的な出自、政治的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入を明らかにする個人データの取扱い、並びに、遺伝子データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータ、又は、自然人の性生活若しくは性的指向に関するデータの取扱いは、禁止される。

(a)データ主体が、一つ又は複数の特定された目的のためのその個人データの取扱いに関し、明確な同意を与えた場合。ただし、EU法又は加盟国の国内法が第1項に定める禁止をデータ主体が解除できないことを定めている場合を除く。

(b)EU法若しくは加盟国の国内法により認められている範囲内、又は、データ主体の基本的な権利及び利益のための適切な保護措置を定める加盟国の国内法による団体協約によって認められる範囲内で、雇用及び社会保障並びに社会的保護の法律の分野における管理者又はデータ主体の義務を履行する目的のため、又は、それらの者の特別の権利を行使する目的のために取扱いが必要となる場合。

(c)データ主体が物理的又は法的に同意を与えることができない場合で、データ主体又はその他の自然人の生命に関する利益を保護するために取扱いが必要となるとき。

(d)政治、思想、宗教又は労働組合の目的による団体、協会その他の非営利組織による適切な保護措置を具備する正当な活動の過程において、当該取扱いが、その組織の構成員若しくは元構成員、又は、その組織の目的と関係してその組織と継続的に接触をもつ者のみに関するものであることを条件とし、かつ、データ主体の同意なくその個人データが当該組織の外部に開示されないことを条件として、取扱いが行われる場合。

(e)データ主体によって明白に公開のものとされた個人データに関する取扱いの場合。

(f)訴えの提起若しくは攻撃防御のため、又は、裁判所がその司法上の権能を行使する際に取扱いが必要となる場合。

(g)求められる目的と比例的であり、データ保護の権利の本質的部分を尊重し、また、データ主体の基本的な権利及び利益の安全性を確保するための適切かつ個別の措置を定めるEU法又は加盟国の国内法に基づき、重要な公共の利益を理由とする取扱いが必要となる場合。

(h)EU法又は加盟国の国内法に基づき、又は、医療専門家との契約により、かつ、第3項に定める条件及び保護措置に従い、予防医学若しくは産業医学の目的のために、労働者の業務遂行能力の評価、医療上の診断、医療若しくは社会福祉又は治療の提供、又は、医療制度若しくは社会福祉制度及びそのサービス提供の管理のために取扱いが必要となる場合。

(i)データ主体の権利及び自由、特に、職務上の秘密を保護するための適切かつ個別の措置に関して定めるEU法又は加盟国の国内法に基づき、健康に対する国境を越える重大な脅威から保護すること、又は、医療及び医薬品若しくは医療機器の高い水準の品質及び安全性を確保することのような、公衆衛生の分野において、公共の利益を理由とする取扱いが必要となる場合。

(j)求められる目的と比例的であり、データ保護の権利の本質的部分を尊重し、また、データ主体の基本的な権利及び利益の安全性を確保するための適切かつ個別の措置を定めるEU法又は加盟国の国内法に基づき、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために取扱いが必要となる場合。

3.　EU法若しくは加盟国の国内法又は加盟国の職務権限を有する組織によって設けられた準則に基づく職務上の守秘義務に服する職にある者によって、若しくは、そのような者の責任の下で、又は、EU法若しくは加盟国の国内法又は加盟国の職務権限を有する組織によって設けられた準則に基づく守秘義務に服するその他の者によってそのデータが取扱われる場合、第2項(h)に定める目的のために、第1項に定める個人データは、取扱われうる。

4.　加盟国は、遺伝子データ、生体データ又は健康に関するデータの取扱いに関し、その制限を含め、付加的な条件を維持又は導入することができる。

第10条　有罪判決及び犯罪と関連する個人データの取扱い

第6条第1項に基づく有罪判決及び犯罪行為又は保護措置と関連する個人データの取扱いは、公的機関の管理の下にある場合、又は、データ主体の権利及び自由のための適切な保護措置を定めるEU法又は加盟国の国内法によってその取扱いが認められる場合に限り、これを行うことができる。有罪判決の包括的な記録は、公的機関の管理の下にある場合に限り、これを保管できる。

1.　管理者が個人データを取扱うための目的が管理者によるデータ主体の識別を要しない場合、又は、その識別を要しなくなった場合、その管理者は、本規則を遵守するという目的のみのために、データ主体を識別するための付加的な情報を維持管理し、取得し、又は、取扱うことを義務付けられない。

2.　本条第1項に定める場合において、管理者がデータ主体を識別する立場にないことを証明できるときは、その管理者は、それが可能であるならば、データ主体に対し、しかるべく通知する。そのような場合、データ主体が、それらの条項に基づく自己の権利の行使の目的のために、自身の識別ができるようにする付加的な情報を提供する場合を除き、第15条から第20条は、適用されない。

第12条　データ主体の権利行使のための透明性のある情報提供、連絡及び書式

1.　管理者は、データ主体に対し、簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式により、明確かつ平易な文言を用いて、取扱いに関する第13条及び第14条に定める情報並びに第15条から第22条及び第34条に定める連絡を提供するために、特に、子どもに対して格別に対処する情報提供のために、適切な措置を講じる。その情報は、書面により、又は適切であるときは電子的な手段を含めその他の方法により、提供される。データ主体から求められたときは、当該データ主体の身元が他の手段によって証明されることを条件として、その情報を口頭で提供できる。

2.　管理者は、第15条から第22条に基づくデータ主体の権利の行使を容易にするものとする。第11条第2項に定める場合において、管理者は、データ主体の同一性識別をする立場にはないということを証明しない限り、第15条から第22条に基づく自己の権利を行使するためのデータ主体からの要求に基づく行為を拒むことができない。

3.　管理者は、データ主体に対し、不当に遅滞することなく、かつ、いかなる場合においてもその要求を受けた時から1か月以内に、第15条から第22条に基づく要求に基づいて行われた行為に関する情報を提供する。この期間は、必要があるときは、その要求の複雑性及び数量を考慮に入れた上で、さらに2か月延長することができる。管理者は、データ主体に対し、その要求を受けた時から1か月以内に、その遅延の理由と共に、その期間延長を通知する。データ主体が電子的な方式の手段によってその要求をした場合、データ主体から別の方法によることが求められている場合を除き、可能な場合は、電子的な手段によって提供される。

4.　管理者がデータ主体からの要求に関して何らの行為もしないときは、その管理者は、データ主体に対し、遅滞なく、かつ、その要求を受けてから遅くとも1か月以内に、何も行わない理由、並びに、監督機関に異議を申立てることができること及び司法上の救済を求めることができることを通知する。

5.　第13条及び第14条に基づいて提供される情報並びに第15条から第22条及び第34条に基づく連絡及びこれらに基づいて行われる行為は、無償で提供される。データ主体からの要求が、特に反復して行われることからして、明らかに根拠のない場合又は過剰な性質のものである場合、管理者は、以下に掲げるいずれかを行うことができる。

(a)情報若しくは連絡を提供すること、又は、要求された行為を行うことの業務運営費用を考慮に入れ、合理的な手数料を課金すること。

　管理者は、その要求が明らかに根拠のないものであること又は過剰な性質のものであることについて、証明すべき責任を負う。

6.　第11条を妨げることなく、第15条から第21条に定める要求を行う自然人の身元に関して管理者が合理的な疑いをもつ場合、その管理者は、そのデータ主体の身元を確認するために必要となる追加的な情報の提供を求めることができる。

7.　第13条及び第14条によりデータ主体に対して提供される情報は、容易に視認でき、分かりやすく、明確に理解できる態様で、予定されている取扱いの意味のある概要を提供するための標準的なアイコンと組み合わせて提供できる。アイコンが電子的に表示される場合、それらは、機械によって読み取り可能なものとする。

8.　欧州委員会は、アイコンによって示される情報及び標準的なアイコンを提供する手続を定める目的のために、第92条に従って委任される行為を採択する権限をもつ。

第13条　データ主体から個人データが取得される場合において提供される情報

1.　データ主体と関連する個人データがそのデータ主体から収集される場合、管理者は、その個人データを取得する時点において、そのデータ主体に対し、以下の全ての情報を提供する:

(a)管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先。

(c)予定されている個人データの取扱いの目的及びその取扱いの法的根拠。

(d)その取扱いが第6条第1項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。

(e)もしあれば、個人データの取得者又は取得者の類型。

(f)該当する場合は、管理者が個人データを第三国又は国際機関に移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46条若しくは第47条に定める移転の場合又は第49条第1項第2項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報。

2.　第1項に定める情報に加え、管理者は、個人データを取得する時点において、データ主体に対し、公正かつ透明性のある取扱いを確保するために必要な以下の付加的な情報を提供する。

(a)その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。

(b)個人データへのアクセス、個人データの訂正又は消去、又は、データ主体と関係する取扱いの制限を管理者から得ることを要求する権利、又は、取扱いに対して異議を述べる権利、並びに、データポータビリティの権利が存在すること。

(c)その取扱いが第6条第1項(a)又は第9条第2項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること。

(e)その個人データの提供が制定法上若しくは契約上の要件であるか否か、又は、契約を締結する際に必要な要件であるか否か、並びに、データ主体がその個人データの提供の義務を負うか否か、及び、そのデータの提供をしない場合に生じうる結果について。

(f)プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、これが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報。

3.　当該個人データが収集された際の目的とは別の目的による個人データの追加的取扱いを管理者が予定している場合、その管理者は、データ主体に対し、当該追加的取扱いの開始前に、当該別の目的に関する情報及び第2項に定める関連する付加的情報を提供する。

4.　第1項、第2項及び第3項は、データ主体が既にその情報をもっている場合、その範囲内では、適用されない。

第14条　個人データがデータ主体から取得されたものではない場合において提供される情報

1.　個人データがデータ主体から取得されたものではない場合、管理者は、データ主体に対し、以下の情報を提供する:

(a)管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先。

(c)予定されている個人データの取扱いの目的及びその取扱いの法的根拠。

(e)もしあれば、個人データの取得者又は取得者の類型。

(f)該当する場合は、管理者が個人データを第三国又は国際機関の取得者に対して移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46条若しくは第47条に定める移転の場合又は第49条第1項第2項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報。

2.　第1項に定める情報に加え、管理者は、データ主体に対し、データ主体に関して公正かつ透明性のある取扱いを確保するために必要な以下の情報を提供する。

(a)その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。

(b)その取扱いが第6条第1項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。

(c)個人データへのアクセス、個人データの訂正又は消去、又は、データ主体と関係する取扱いの制限を管理者から得ることを要求する権利、又は、取扱いに対して異議を述べる権利、並びに、データポータビリティの権利が存在すること。

(d)その取扱いが第6条第1項(a)又は第9条第2項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること。

(f)どの情報源からその個人データが生じたか、及び、該当する場合は、公衆がアクセス可能な情報源からその個人データが来たものかどうか。

(g)プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、それが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報。

3.　管理者は、以下のとおりに、第1項及び第2項に定める情報を提供する。

(a)その個人データが取扱われる具体的な状況を考慮に入れ、個人データ取得後の合理的な期間内。ただし、遅くとも1か月以内。

(b)その個人データがデータ主体との間の連絡のために用いられる場合、遅くとも、当該データ主体に対して最初の連絡がなされる時点において。又は、

(c)他の取得者に対する開示が予定される場合、遅くともその個人データが最初に開示される時点において。

4.　当該個人データが入手された際の目的とは別の目的のための個人データの取扱いを管理者が予定する場合、その管理者は、データ主体に対し、当該追加的取扱いの開始前に、当該別の目的に関する情報及び第2項に定める関連する付加的な情報を提供する。

5.　第1項から第4項は、以下の場合、その範囲内では、適用されない。

(b)特に、第89条第1項に定める条件及び保護措置による公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的、又は、統計の目的のための取扱いに関し、そのような情報の提供が不可能であるか、又は、過大な負担を要することが明らかな場合、又は、本条第1項に定める義務が当該取扱いの目的の達成を不可能としてしまうおそれ、又は、それを深刻に阻害するおそれがある範囲内において。そのような場合、その管理者は、その情報を公衆が利用可能とすることを含め、データ主体の権利及び自由並びに正当な利益を保護するための適切な措置を講ずるものとする。

(c)管理者がそれに服し、かつ、データ主体の正当な利益を保護するための適切な措置を定めるEU法又は加盟国の国内法によって、その入手又は開示が明示で定められている場合。

(d)制定法上の守秘義務の場合を含め、EU法又は加盟国の国内法によって規律される職務上の守秘義務によって、その個人データを機密のものとして維持しなければならない場合。

1.　データ主体は、管理者から、自己に関係する個人データが取扱われているか否かの確認を得る権利、並びに、それが取扱われているときは、その個人データ及び以下の情報にアクセスする権利を有する:

(c)個人データが開示された、又は、個人データが開示される取得者若しくは取得者の類型、特に、第三国又は国際機関の取得者。

(d)可能な場合、個人データが記録保存される予定期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。

(e)管理者から、個人データの訂正又は消去を得る権利、データ主体と関係する個人データの取扱いの制限を要求する権利、又は、取扱いに対して異議を述べる権利が存在すること。

(g)個人データがデータ主体から取得されたものではない場合、その情報源に関する利用可能な全ての情報。

(h)プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、それが存在する場合、その決定に含まれている論理、並びに、そのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報。

2.　個人データが第三国又は国際機関に移転される場合、データ主体は、その移転に関して、第46条による適切な保護措置について通知を受ける権利を有する。

3.　管理者は、取扱中の個人データの複製物を提供する。データ主体から求められた追加的な複製物の提供に関し、管理者は、業務運営費用に基づいて、合理的な手数料を課金できる。データ主体が電子的な手段によって要求するときは、データ主体から別の手段によることが求められている場合を除き、その情報は、一般的に用いられる電子的な手段によって提供される。

4.　第3項に定める複製物を取得する権利は、他の者の権利及び自由に不利な影響を及ぼしてはならない。

　データ主体は、管理者から、不当に遅滞することなく、自己と関係する不正確な個人データの訂正を得る権利を有する。取扱いの目的を考慮に入れた上で、データ主体は、補足の陳述を提供する方法による場合を含め、不完全な個人データを完全なものとさせる権利を有する。

1.　以下の根拠中のいずれかが適用される場合、データ主体は、管理者から、不当に遅滞することなく、自己に関する個人データの消去を得る権利をもち、また、管理者は、不当に遅滞することなく、個人データを消去すべき義務を負う。

(a)その個人データが、それが収集された目的又はその他の取扱いの目的との関係で、必要のないものとなっている場合。

(b)そのデータ主体が、第6条第1項(a)又は第9条第2項(a)に従ってその取扱いの根拠である同意を撤回し、かつ、その取扱いのための法的根拠が他に存在しない場合。

(c)そのデータ主体が、第21条第1項によって取扱いに対する異議を述べ、かつ、その取扱いのための優先する法的根拠が存在しない場合、又は、第21条第2項によって異議を述べた場合。

(e)その個人データが、管理者が服するEU法又は加盟国の国内法の法的義務を遵守するために消去されなければならない場合。

(f)その個人データが、第8条第1項に定める情報社会サービスの提供との関係において収集された場合。

2.　管理者が個人データを公開のものとしており、かつ、第1項によって、その個人データを消去すべき義務を負っている場合、その管理者は、利用可能な技術及びその実装費用を考慮に入れた上で、技術的な手段を含め、その個人データを取扱いしている管理者に対して、そのデータ主体が、そのデータ主体の個人データへのリンク又はそのコピー若しくは複製物が、その管理者によって消去されることを要求した旨の通知をするための合理的な手立てを講ずる。

3.　第1項及び第2項は、以下のいずれかのために取扱いが必要となる場合、その範囲内で、適用されない。

(b)管理者が服するEU法又は加盟国の国内法により取扱いをすべき法的義務の遵守のため、又は、公共の利益において、若しくは、管理者に与えられた公的な権限の行使において行われる職務の遂行のため。

(c)第9条第2項(h)及び(i)並びに第9条第3項に従う公衆衛生の分野における公共の利益上の理由のため。

(d)第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的、又は、統計の目的のため。ただし、第1項に定める権利が、当該取扱いの目的を達成できないようにしてしまうおそれがある場合、又は、それを深刻に阻害するおそれがある場合に限る。

1.　データ主体は、以下のいずれかが適用される場合、管理者から、取扱いの制限を得る権利を有する:

(a)個人データの正確性についてデータ主体から疑義が提示されている場合、その個人データの正確性を管理者が確認できるようにする期間内において。

(b)取扱いが違法であり、かつ、データ主体が個人データの消去に反対し、その代わりに、そのデータの利用の制限を求めている場合。

(c)管理者がその取扱いの目的のためにはその個人データを必要としないが、データ主体から、訴訟の提起及び攻撃防御のためにそのデータが求められている場合。

(d)データ主体が、管理者の正当性の根拠がデータ主体の正当性の根拠よりも優先するか否かの確認を争い、第21条第1項により、取扱いに対する異議を申立てている場合。

2.　第1項に基づいて取扱いが制限された場合、その個人データは、記録保存の場合を除き、データ主体の同意がある場合、又は、訴えの提起及び攻撃防御のための場合、又は、他の自然人若しくは法人の権利を保護するための場合、又は、EU若しくは加盟国の重要な公共の利益の理由のための場合においてのみ、取扱われる。

3.　第1項により取扱いの制限を得たデータ主体は、その取扱いの制限が解除される前に、管理者からその通知を受ける。

第19条　個人データの訂正若しくは消去又は取扱いの制限に関する通知義務

管理者は、それが不可能であるか、又は、過大な負担を要することが明らかである場合を除き、そのデータの開示を受けた個々の取得者に対し、第16条、第17条第1項及び第18条に従って行われた個人データの訂正若しくは消去又は取扱いの制限を通知する。管理者は、データ主体に対し、そのデータ主体がそれを求める場合、その取得者に関する情報提供する。

1.　データ主体は、以下の場合においては、自己が管理者に対して提供した自己と関係する個人データを、構造化され、一般的に利用され機械可読性のある形式で受け取る権利をもち、また、その個人データの提供を受けた管理者から妨げられることなく、別の管理者に対し、それらの個人データを移行する権利を有する。

(a)その取扱いが第6条第1項(a)若しくは第9条第2項(a)による同意、又は、第6条第1項(b)による契約に基づくものであり。かつ、

(b)その取扱いが自動化された手段によって行われる場合。

2.　データ主体は、第1項により自己のデータポータビリティの権利を行使する際、技術的に実行可能な場合、ある管理者から別の管理者へと直接に個人データを移行させる権利を有する。

3.　本条の第1項に規定する権利の行使は、第17条を妨げない。この権利は、公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために必要となる取扱いには適用されない。

4.　第1項に規定する権利は、他の者の権利及び自由に不利な影響を及ぼしてはならない。

第4節　異議を述べる権利及び個人に対する自動化された意思決定

1.　データ主体は、自己の特別な状況と関連する根拠に基づき、第6条第1項(e)又は(f)に基づいて行われる自己と関係する個人データの取扱いに対し、それらの条項に基づくプロファイリングの場合を含め、いつでも、異議を述べる権利を有する。管理者は、データ主体の利益、権利及び自由よりも優先する取扱いについて、又は、訴えの提起及び攻撃防御について、やむをえない正当な根拠があることをその管理者が証明しない限り、以後、その個人データの取扱いをしない。

2.　個人データがダイレクトマーケティングの目的のために取扱われる場合、データ主体は、いつでも、そのようなマーケティングのための自己に関係する個人データの取扱いに対して、異議を述べる権利を有する。その取扱いは、そのようなダイレクトマーケティングと関係する範囲内で、プロファイリングを含む。

3.　データ主体がダイレクトマーケティングの目的のための取扱いに対して異議を述べる場合、その個人データは、そのような目的のために取扱われてはならない。

4.　遅くともデータ主体への最初の連絡の時点で、第1項及び第2項に規定する権利は、明示的にデータ主体の注意を引くようにされ、かつ、他の情報とは明確に分けて表示されなければならない。

5.　情報社会サービスの利用の過程において、かつ、指令2002/58/ECにかかわらず、データ主体は、技術的な仕様を用いる自動化された仕組みによって異議を述べる自己の権利を行使できる。

6.　第89条第1項により科学的研究若しくは歴史的研究の目的又は統計の目的で個人データが取扱われる場合、データ主体は、公共の利益のための理由によって行われる職務の遂行のためにその取扱いが必要となる場合を除き、自己の特別な状況と関連する根拠に基づき、自己と関係する個人データの取扱いに対して、異議を述べる権利を有する。

第22条　プロファイリングを含む個人に対する自動化された意思決定

1.　データ主体は、当該データ主体に関する法的効果を発生させる、又は、当該データ主体に対して同様の重大な影響を及ぼすプロファイリングを含むもっぱら自動化された取扱いに基づいた決定の対象とされない権利を有する。

2.　第1項は、以下のいずれかの決定には、適用されない。

(a)データ主体とデータの管理者の間の契約の締結又はその履行のために必要となる場合。

(b)管理者がそれに服し、かつ、データ主体の権利及び自由並びに正当な利益の安全性を確保するための適切な措置も定めるEU法又は加盟国の国内法によって認められる場合。又は、

3.　第2項(a)及び(c)に規定する場合においては、そのデータの管理者は、データ主体の権利及び自由並びに正当な利益、少なくとも、管理者の側での人間の関与を得る権利、データ主体の見解を表明する権利及びその決定を争う権利の保護を確保するための適切な措置を実装するものとする。

4.　第9条第2項(a)又は(g)が適用され、かつ、データ主体の権利及び自由並びに正当な利益の保護を確保するための適切な措置が設けられている場合を除き、第2項に規定する決定は、第9条第1項に規定する特別な種類の個人データを基礎としてはならない。

1.　データの管理者若しくは処理者が服するEU法又は加盟国の国内法は、その制限が基本的な権利及び自由の本質的部分を尊重するものであり、かつ、以下の対象を保護するために民主主義社会において必要かつ比例的な措置である場合、第12条から第22条に定める権利及び義務に対応するそれらの法律の条項範囲内で、立法措置によって、第12条から第22条及び第34条並びに第5条に定める義務及び権利の適用範囲を制限できる:

(d)公共の安全への脅威からの保護及びその防止を含め、犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行。

(e)EU又は加盟国の一般的な公共の利益の上記以外の重要な対象、特に、通貨、予算及び税務上の事項を含め、EU又は加盟国の重要な経済的な利益若しくは財政上の利益、公衆衛生及び社会保障。

(g)規制職種における倫理違背行為の防止、捜査、検知及び訴追。

(h)(a)から(e)及び(g)に規定する場合において、一時的なものを含め、公的な権限の行使と関係する監視、監督及び規制の権能。

(i)データ主体の保護、又は、その他の者の権利及び自由の保護。

2.　特に、第1項に規定する立法措置は、それが適切なときは、以下の事項に関する特別の条項を含める:

(d)不正使用又は違法なアクセス若しくは違法な移転を防止するための保護措置。

(f)取扱い又は取扱いの種類の性質、範囲及び目的を考慮に入れた記録保存期間及び適用可能な保護措置。

(g)データ主体の権利及び自由に対するリスク。並びに、

(h)その権利がその制限の目的を妨げうるものでない限り、その制限に関する情報提供を受けるデータ主体の権利。

1.　取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者は、本規則に従って取扱いが遂行されることを確保し、かつ、そのことを説明できるようにするための適切な技術上及び組織上の措置を実装するものとする。それらの措置は、レビューされ、また、必要があるときは、最新のものに改められるものとする。

2.　取扱活動と関連して比例的である場合、第1項に規定する措置は、管理者による適切なデータ保護方針の実装を含むものとする。

3.　第40条に規定する承認された行動規範及び第42条に規定する承認された認証方法の遵守は、管理者の義務が履行されていることを証明するための要素として用いることができる。

第25条　データ保護バイデザイン及びデータ保護バイデフォルト

1.　技術水準、実装費用、取扱いの性質、範囲、過程及び目的並びに取扱いによって引きこされる自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者は、本規則の要件に適合するものとし、かつ、データ主体の権利を保護するため、取扱いの方法を決定する時点及び取扱いそれ自体の時点の両時点において、データの最小化のようなデータ保護の基本原則を効果的な態様で実装し、その取扱いの中に必要な保護措置を統合するために設計された、仮名化のような、適切な技術的措置及び組織的措置を実装する。

2.　管理者は、その取扱いの個々の特定の目的のために必要な個人データのみが取扱われることをデフォルトで確保するための適切な技術的措置及び組織的措置を実装する。この義務は、収集される個人データの分量、その取扱いの範囲、その記録保存期間及びアクセス可能性に適用される。とりわけ、そのような措置は、個人データが、その個人の関与なく、不特定の自然人からアクセス可能なものとされないことをデフォルトで確保する。

3.　第42条により承認された認証方法は、本条の第1項及び第2項に定める要件の充足を証明するための要素として用いることができる。

1.　二者以上の管理者が共同して取扱いの目的及び方法を決定する場合、それらの者は、共同管理者となる。管理者らが服すべきそれぞれの管理者の責任がEU法又は加盟国の国内法によって定められていない場合、その範囲内において、管理者は、本規則に基づく義務、とりわけ、データ主体の権利の行使に関する義務、並びに、第13条及び第14条に規定する情報を提供すべき管理者それぞれの義務を遵守するための管理者それぞれの責任について、管理者の間での合意により、透明性のある態様で定める。その合意においては、データ主体のための連絡先を指定できる。

2.　第1項に規定する合意は、共同管理者各自とデータ主体とのそれぞれの間における役割及び関係を適正に反映するものとする。その合意の要点は、データ主体に利用可能なものとされる。

3.　第1項に規定する合意に定める条件にかかわらず、データ主体は、個々の管理者との関係において、及び、個々の管理者に対して、本規則に基づく自己の権利を行使できる。

1.　第3条第2項が適用される場合、管理者又は処理者は、書面により、EU域内における代理人を指定するものとする。

(a)一時的なものであり、かつ、第9条第1項に規定する特別な種類のデータの取扱い又は第10条に規定する有罪判決及び犯罪行為と関連する個人データの取扱いを大量に含まず、かつ、その取扱いの性質、過程、範囲及び目的を考慮に入れた上で、自然人の権利及び自由に対するリスクが生ずる可能性が低い取扱い。又は、

3.　代理人は、データ主体に対する物品若しくはサービスの提供と関連してその個人データが取扱われるデータ主体、又は、その行動が監視されるデータ主体のいる加盟国中の1つに設けられる。

4.　本規則の遵守を確保する目的のために、代理人は、取扱いと関連する全ての事項に関し、特に、監督機関及びデータ主体への対応のために、管理者又は処理者に加え、又は、それらの者の代わりとして、管理者又は処理者から委任を受ける。

1.　管理者の代わりの者によって取扱いが行われる場合、その管理者は、当該取扱いが本規則に定める義務に適合するような態様で適切な技術上及び組織上の保護措置を実装することについて十分な保証を提供する処理者のみを用いるものとし、かつ、データ主体の権利の保護を確保するものとする。

2.　処理者は、管理者から事前に個別的又は一般的な書面による承認を得ないで、別の処理者を業務に従事させてはならない。一般的な書面による承認の場合、処理者は、管理者に対し、別の処理者の追加又は交代に関する変更の予定を通知し、それによって、管理者に、そのような変更に対して異議を述べる機会を与えるものとする。

3.　処理者による取扱いは、管理者との関係に関して処理者を拘束し、かつ、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型、並びに、管理者の義務及び権利を定める、契約又はその他のEU法若しくは加盟国の国内法に基づく法律行為によって規律される。契約又はその他の法律行為は、特に、処理者が、以下のとおり行うことを定める:

(a)処理者が服するEU又は加盟国の国内法がそのようにすることを要求する場合を除き、個人データの第三国又は国際機関に対する移転と関連するものを含め、管理者からの文書化された指示のみに基づいて個人データを取扱うこと。そのような場合、当該の法律がそのような公共の利益上の重要な法的根拠に関する情報提供を禁止しない限り、処理者は、管理者に対し、取扱いの前に、当該法律上の要件について情報提供するものとする。

(b)個人データの取扱いを承認された者が自ら守秘義務を課し、又は、適切な法律上の守秘義務の下にあることを確保すること。

(d)別の処理者を業務に従事させるために、第2項及び第4項に規定する要件を尊重すること。

(e)第3章に定めるデータ主体の権利を行使するための要求に対処すべき管理者の義務を充足させるために、それが可能な範囲内で、取扱いの性質を考慮に入れた上で、適切な技術上及び組織上の措置によって、管理者を支援すること。

(f)取扱いの性質及び処理者が利用可能な情報を考慮に入れた上で、第32条から第36条による義務の遵守の確保において、管理者を支援すること。

(g)取扱いと関係するサービスの提供が終了した後、EU法又は加盟国の国内法が個人データの記録保存を要求していない限り、管理者の選択により、全ての個人データを消去し、又は、これを管理者に返却すること、並びに、存在している複製物を消去すること。

(h)本条に定める義務の遵守を説明するため、及び、管理者によって行われる検査若しくは管理者から委任された別の監査人によって行われる検査を含め、監査を受け入れ、若しくは、監査に資するようにするために必要な全ての情報を、管理者が利用できるようにすること。

　第1副項(h)に関し、処理者は、その見解において、指示が本規則又はその他のEU又は加盟国のデータ保護の条項に違反する場合、直ちに、そのことを管理者に通知するものとする。

4.　管理者の代わりの特定の取扱活動を行うために、処理者が別の処理者を業務に従事させる場合、当該別の処理者に対し、契約によって、又は、EU法若しくは加盟国の国内法に基づくその他の法律行為によって、特に、その取扱いが本規則の要件に適合するような態様で適切な技術上及び組織上の措置を実装する十分な保証を提供することによって、第3項に規定する管理者及び処理者間の契約又はその他の法律行為に定めるのと同じデータ保護上の義務が課されなければならない。当該別の処理者がそのデータ保護の義務を充足しない場合、当初の処理者は、当該別の処理者の義務の履行について、その管理者に対する法的責任を全面的に負うものとする。

5.　第40条に規定する承認された行動規範又は第42条に規定する承認された認証方法を処理者が遵守することは、本条の第1項及び第4項に規定する十分な保証を証明するための要素として用いることができる。

6.　管理者と処理者との間の個別の契約を妨げることなく、第3項若しくは第4項に規定する契約又はその他の法律行為は、それが第42条及び第43条により管理者又は処理者に対して与えられる認証の一部分である場合を含め、その全部又は一部について、本条の第7項及び第8項に規定する標準契約条項に基づくものとすることができる。

7.　欧州委員会は、本条の第3項及び第4項に規定する事項に関して、第93条第2項に規定する審議手続に従い、標準契約条項を定めることができる。

8.　監督機関は、本条の第3項及び第4項に規定する事項に関して、第63条に規定する一貫性メカニズムに従い、標準契約条項を採択できる。

9.　第3項及び第4項に規定する契約その他の法律行為は、電子的な方式による場合を含め、書面によるものとする。

10.　第82条、第83条及び第84条を妨げることなく、処理者が取扱いの目的及び方法を決定することにより本規則に違反する場合、その処理者は、当該取扱いとの関係においては、管理者として扱われる。

処理者及び管理者の権限又は処理者の権限の下で行為する者であって、個人データへのアクセスをもつ者は、EU又は加盟国の国内法により求められている場合を除き、管理者から指示がない限り、当該個人データを取扱ってはならない。

1.　個々の管理者、及び、該当する場合、管理者の代理人は、その責任において、取扱活動の記録を保管する。その記録は、以下の情報の全てを含める:

(a)管理者、及び、該当する場合、共同管理者、管理者の代理人並びにデータ保護オフィサーの名前及び連

(c)データ主体の類型の記述及び個人データの種類の記述;

(e)該当する場合、当該第三国若しくは国際機関の識別を含め、第三国又は国際機関に対する個人データ

の移転、及び、第49条第1項第2副項に規定する移転の場合、適正な保護措置を示す文書;

(f)可能なときは、異なる種類毎のデータの削除のために予定されている期限;

(g)可能なときは、第32条第1項に規定する技術的及び組織的安全管理措置の概要。

2.　個々の処理者、及び、該当する場合、処理者の代理人は、管理者の代わりに行われる全ての種類の取扱いの記録を保管する。以下の事項を含める:

(a)処理者及び処理者が代わりに活動している個々の管理者の名前及び連絡先、並びに、該当する場合、

管理者又は処理者の代理人及びデータ保護オフィサーの名前及び連絡先;

(c)該当する場合、当該第三国若しくは国際機関の識別を含め、第三国又は国際機関に対する個人データの移転、及び、第49条第1項第2副項に規定する移転の場合、適切な保護措置を示す文書;

(d)可能なときは、第32条第1項に規定する技術的及び組織的安全管理措置の一般的な記述。

3.　第1項及び第2項に規定する記録は、書面によるものとし、電子的方式も含むものとする。

4.　管理者又は処理者、及び、該当する場合、管理者の又は処理者の代理人は、要請に応じて、監督機関がその記録を利用できるようにする。

5.　実施する取扱いがデータ主体の権利及び自由に対してリスクを発生させる可能性がある場合、その取扱いが一時的なものではない場合、又は、その取扱いが第9条第1項に規定する特別な種類のデータを含んでおり、若しくは、第10条に規定する有罪判決及び犯罪行為と関連するものである場合を除き、第1項及び第2項に規定する義務は、従業者の数が250名未満の企業又は組織に対しては、適用されない。

　管理者及び処理者、並びに、該当する場合はそれらの者の代理人は、要求に応じて、その職務の遂行において監督機関と協力するものとする

1.　最新技術、実装費用、取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者及び処理者は、リスクに適切に対応する一定のレベルの安全性を確保するために、特に、以下のものを含め、適切な技術上及び組織上の措置をしかるべく実装する。

(b)取扱システム及び取扱サービスの現在の機密性、完全性、可用性及び回復性を確保する能力;

(c)物的又は技術的なインシデントが発生した際、適時な態様で、個人データの可用性及びそれに対するアクセスを復旧する能力;

(d)取扱いの安全性を確保するための技術上及び組織上の措置の有効性の定期的なテスト、評価及び評定のための手順。

2.　安全性の適切なレベルを評価する際、取扱いによって示されるリスク、特に、送信され、記録保存され、又は、それ以外の取扱いがなされる個人データの、偶発的又は違法な、破壊、喪失、改変、無権限の開示、又は、アクセスから生ずるリスクを特に考慮に入れる。

3.　第40条で定める行動規範又は第42条で定める承認された認証メカニズムに忠実であることは、本条第1項に定める要件の遵守を説明するための要素として用いることができる。

4.　管理者及び処理者は、管理者又は処理者の権限の下で行動し、個人データにアクセスする自然人が、管理者の指示に基づく場合を除き、EU法又は加盟国の国内法によってそのようにすることを求められない限り、その個人データを取扱わないことを確保するための手立てを講ずる。

1.　個人データ侵害が発生した場合、管理者は、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた時から遅くとも72時間以内に、第55条に従って所轄監督機関に対し、その個人データ侵害を通知しなければならない。監督機関に対する通知が72時間以内に行われない場合、その通知は、その遅延の理由を付さなければならない。

2.　処理者は、個人データ侵害に気づいた後、不当な遅滞なく、管理者に対して通知しなければならない。

3.　第1項で定める通知は、少なくとも、以下のとおりとする:

(a)可能な場合、関係するデータ主体の類型及び概数、並びに、関係する個人データ記録の種類及び概数を含め、個人データ侵害の性質を記述する;

(b)データ保護オフィサーの名前及び連絡先、又は、より多くの情報を入手することのできる他の連絡先を連絡する;

(c)その個人データ侵害の結果として発生する可能性のある事態を記述する;

(d)適切な場合、起こりうる悪影響を低減させるための措置を含め、その個人データ侵害に対処するために管理者によって講じられた措置又は講ずるように提案された措置を記述する。

4.　同時に情報を提供できない場合、その範囲内において、その情報は、更なる不当な遅滞なく、その状況に応じて提供できる。

5.　管理者は、その個人データ侵害と関連する事実関係、その影響及び講じられた救済措置を含め、全ての個人データ侵害を文書化しなければならない。その文書は、本条の遵守を検証するために、監督機関が利用できるものとしなければならない。

1.　個人データ侵害が自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合、管理者は、そのデータ主体に対し、不当な遅滞なく、その個人データ侵害を連絡しなければならない。

2.　本条第1項で定める示すデータ主体に対する連絡は、明確かつ平易な言語でその個人データ侵害の性質を記述し、かつ、少なくとも、第33条第3項(b)、(c)及び(d)に規定された情報及び勧告を含める。

3.　第1項で定めるデータ主体に対する連絡は、以下の条件に合致する場合、これを要しない:

(a)管理者が適切な技術上及び組織上の保護措置を実装しており、かつ、当該措置、特に、暗号化のような、データに対するアクセスが承認されていない者にはその個人データを識別できないようにする措置が、個人データ侵害によって害を受けた個人データに対して適用されていた場合;

(b)管理者が、第1項で定めるデータ主体の権利及び自由に対する高いリスクが具体化しないようにすることを確保する事後的な措置を講じた場合;又は、

(c)それが過大な負担を要するような場合。そのような場合、データ主体が平等に効果的な態様で通知されるような広報又はそれに類する方法に変更される。

4.　管理者がデータ主体に対して個人データ侵害をまだ通知をしていない場合、監督機関は、その個人データ侵害が高いリスクを発生させる可能性を検討した上で、その管理者に対し、そのようにすべきことを要求でき、又は、第3項で定める要件のいずれに該当するかを判断できる。

1.　取扱いの性質、範囲、過程及び目的を考慮に入れた上で、特に新たな技術を用いるような種類の取扱いが、自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合、管理者は、その取扱いの開始前に、予定している取扱業務の個人データの保護に対する影響についての評価を行わなければならない。類似の高度のリスクを示す一連の類似する取扱業務は、単一の評価の対象とすることができる。

2.　管理者は、データ保護影響評価を行う場合、その指定をしているときは、データ保護オフィサーに対して助言を求めなければならない。

3.　第1項に規定するデータ保護影響評価は、とりわけ、以下の場合に求められる:

(a)プロファイリングを含め、自動的な取扱いに基づくものであり、かつ、それに基づく判断が自然人に関して法的効果を発生させ、又は、自然人に対して同様の重大な影響を及ぼす、自然人に関する人格的側面の体系的かつ広範囲な評価の場合;

(b)第9条第1項に規定する特別な種類のデータ又は第10条に規定する有罪判決及び犯罪行為と関連する個人データの大規模な取扱いの場合;又は、

(c)公衆がアクセス可能な場所の、システムによる監視が大規模に行われる場合。

4.　監督機関は、第1項によるデータ保護影響評価の義務に服する取扱業務の種類のリストを作成し、これを公表しなければならない。監督機関は、第68条に規定する欧州データ保護会議に対し、そのリストを送付するものとする。

5.　監督機関は、データ保護影響評価を要しない取扱業務の種類のリストを作成し、これを公表することもできる。監督機関は、欧州データ保護会議に対し、そのリストを送付するものとする。

6.　第4項又は第5項リストが複数の加盟国におけるデータ主体に対する物品若しくは役務の提供と関連する取扱活動又は複数の加盟国におけるデータ主体の行動の監視と関連する取扱活動を含むものである場合、又は、EU域内における個人データの自由な移動に大きな影響を与えうるものである場合、所轄監督機関は、当該リストの採択に先立って、第63条に規定する一貫性メカニズムを適用しなければならない。

(a)予定されている取扱業務及び取扱いの目的の体系的な記述。該当する場合、管理者の求める正当な利益を含む;

(c)第1項で定めるデータ主体の権利及び自由に対するリスクの評価;並びに、

(d)データ主体及び他の関係者の権利及び正当な利益を考慮に入れた上で、個人データの保護を確保するための、及び、本規則の遵守を立証するための、保護措置、安全管理措置及び仕組みを含め、リスクに対処するために予定されている手段。

8.　関係する管理者又は処理者によって第40条で定める承認された行動規範が遵守されていることは、そのような管理者又は処理者によって遂行される取扱業務の影響を評価するに際し、特に、データ保護影響評価の目的のために、適正に考慮に入れるものとする。

9.　適切な場合、商業上の利益、公共の利益又は取扱業務の安全性を妨げることなく、管理者は、予定されている取扱いに関し、データ主体又はその代理人から意見を求めるものとする。

10.　第6条第1項(c)又は(e)による取扱いが、管理者が服するEU法又は加盟国の国内法の中に法律上の根拠をもつ場合であって、当該法律が、当の特定の取扱業務又は一群の取扱業務を規律しており、かつ、当該法律上の根拠の採択の過程において一般的な影響評価の一部として個人データ保護影響評価が既に行われているときは、取扱活動を開始する前にそのような評価が行われるべきものであると加盟国が判断する場合を除き、第1項から第7項までは、適用されない。

11.必要があるときは、管理者は、少なくとも、取扱業務によって示されるリスクの変化が存在する時点において、データ保護影響評価に従って取扱いが遂行されているか否かの評価を見直しを実行しなければならない。

1.　そのリスクを軽減させるために管理者によって講じられる措置が存在しない状況下で、自然人の権利及び自由に対して高いリスクをもたらすおそれがあるということを第35条に基づくデータ保護影響評価が示している場合、管理者は、その取扱いを開始する前に、監督機関と協議しなければならない。

2.　第1項で定める予定されている取扱いが本規則に違反しうるとの見解を監督機関がもつときは、とりわけ、管理者がリスクの特定及び削減について不十分であるときは、その監督機関は、協議の要請を受理した時から8週間以内に、その管理者に対し、及び、該当する場合、処理者に対し、書面による助言を提供し、また、第58条に規定する権限中のいずれかを用いることもできる。この期限は、予定されている取扱いの複雑性を考慮に入れた上で、6週間まで延長できる。その監督機関は、その管理者に対し、及び、該当する場合は、処理者に対し、協議の要請を受領した時から1か月以内に、その遅延の理由を付して、そのような期限延長を通知するものとする。これらの期限は、監督機関が協議のために求めた情報を入手するまでの間、停止させることができる。

3.　第1項により監督機関と協議する場合、管理者は、監督機関に対し、以下の情報を提供しなければならな

(a)該当する場合、取扱いに関与する管理者、共同管理者及び処理者のそれぞれの責任。特に企業グループ内の取扱いに関連した責任;

(c)本規則によるデータ主体の権利及び自由を保護するために提供される措置及び保護措置;

4.　加盟国は、取扱いと関連して、国民議会によって採択される立法措置の提案を準備する間、又は、その立法措置に基づく法定の措置の提案を準備する間において、監督機関と協議するものとする。

5.　第1項にかかわらず、加盟国の国内法は、社会保護及び公衆衛生と関連する取扱いを含め、公共の利益において管理者によって行われる職務の遂行のための管理者による取扱いに関し、監督機関と協議することを管理者に対して要求でき、また、監督機関から事前に承認を得ることを要求できる。

1.　管理者及び処理者は、以下の場合において、データ保護オフィサーを指名しなければならない:

(a)公的機関又は公的組織によって行われる場合。ただし、裁判所がその司法上の権限を行使する(actingintheirjudicialcapacity)場合を除く取扱い;

(b)管理者又は処理者の中心的業務が、その取扱いの性質、範囲及び又は目的のゆえに、データ主体の定期的かつ系統的な監視を大規模に要する取扱業務によって構成される場合;又は、

(c)管理者又は処理者の中心的業務が、第9条による特別な種類のデータ及び第10条で定める有罪判決及び犯罪行為と関連する個人データの大規模な取扱いによって構成される場合。

2.　企業グループは、データ保護オフィサーが各拠点から容易にアクセス可能な場合に限り、1名のデータ保護オフィサーを指名できる。

3.　管理者又は処理者が公的機関又は公的組織である場合、その組織上の構造及び規模を考慮に入れた上で、複数の公的機関又は公的組織に対して単一のデータ保護オフィサーを指名できる。

4.　第1項で定める場合以外においては、管理者若しくは処理者、又は、様々な種類の管理者若しくは処理者を代表する団体その他の組織は、データ保護オフィサーを指名することができ、又は、EU法又は加盟国の国内法によって要求される場合、データ保護オフィサーを指名しなければならない。そのデータ保護オフィサーは、そのような団体その他の組織を代表する管理者又は処理者のために行動できる。

5.　データ保護オフィサーは、専門家としての資質、及び、特に、データ保護の法令及び実務に関する専門知識並びに第39条で定める職務を充足するための能力に基づいて指定される。

6.　データ保護オフィサーは、管理者又は処理者の職員とすることができ、又は、業務契約に基づいてその職務を果たすことができる。

7.　管理者又は処理者は、データ保護オフィサーの連絡先の詳細を公表し、かつ、監督機関に対し、それを連絡しなければならない。

1.　管理者及び処理者は、個人データの保護に関連する全ての問題に、適正かつ適時に、データ保護オフィサーが関与することを確保しなければならない。

2.　管理者及び処理者は、第39条で定める職務の遂行において、その職務を遂行し、個人データ及び取扱業務にアクセスするため、並びに、データ保護オフィサーの専門的な知識を維持するために必要となるリソースを提供することによって、データ保護オフィサーを支援しなければならない。

3.　管理者及び処理者は、データ保護オフィサーが、その職務の遂行に関し、いかなる指示も受けないことを確保しなければならない。当該データ保護オフィサーは、当該データ保護オフィサーの職務の遂行に関して、管理者又は処理者から解任され、又は罰則を受けることがない。データ保護オフィサーは、管理者又は処理者の最高経営者レベルに対して直接報告しなければならない。

4.　データ主体は、その個人データの取扱い及び本規則に基づくその権利の行使に関連する全ての問題に関し、データ保護オフィサーと連絡をとることができる。

5.　データ保護オフィサーは、EU法又は加盟国の国内法に従い、データ保護オフィサーの職務の遂行と関係する秘密又は機密を厳守しなければならない。

6.　データ保護オフィサーは、他の職務を遂行し、義務を履行することができる。管理者又は処理者は、そのような職務及び義務が利益相反とならないことを確保しなければならない。

1.　データ保護オフィサーは、少なくとも、以下の職務を行わなければならない:

(a)管理者又は処理者及び取扱いを行う従業者に対し、本規則及びそれ以外のEU若しくは加盟国のデータ保護条項による義務を通知し、かつ、助言すること;

(b)取扱業務に関与する職員の責任の割当て、意識向上及び訓練、並びに、関連する監査を含め、本規則の遵守、それ以外のEU又は加盟国の個人データ保護条項遵守、並びに、個人データ保護と関連する管理者又は処理者の保護方針の遵守を監視すること;

(c)要請があった場合、第35条によるデータ保護影響評価に関して助言を提供し、その遂行を監視すること;

(e)取扱いと関連する問題に関し、監督機関の連絡先として行動すること。第36条に規定する事前協議、適切な場合、それ以外の関連事項について協議することを含む。

2.　データ保護オフィサーは、その職務を遂行する際、取扱いの性質、範囲、過程及び目的を考慮に入れた上で、取扱業務と関係するリスクに関し、適正に注意を払う。

1.　加盟国、監督機関、欧州データ保護会議及び欧州委員会は、様々な取扱部門の特性及び中小零細企業の特殊事情を考慮に入れた上で、本規則の適正な適用に貢献することを意図した行動規範の作成を奨励するものとする。

2.　様々な類型の管理者又は処理者を代表する団体及びその他の組織は、以下のような事項に関し、本規則の適用を具体化する目的で、行動規範を用意、又はその規範を改正若しくは追補できる:

(g)子どもに対して提供される情報及び子どもの保護、並びに、子どもに対して親権者としての責任を負う者から同意を得るための方法;

(h)第24条及び第25条で定める措置及び手続、並びに、第32条に規定する取扱いの安全性を確保するための措置;

(i)監督機関に対する個人データ侵害の通知及びデータ主体に対するその個人データ侵害の通知;

(k)第77条及び第79条によるデータ主体の権利を妨げることなく、管理者とデータ主体との間の取扱いに関する紛争を解決するための裁判外の手続及びそれ以外の紛争解決手続。

3.　本規則に服する管理者又は処理者による遵守に加え、本条の第5項により承認され、かつ、本条の第9項によって一般的な有効性をもつ行動規範は、第46条第2項(e)で定める条件に基づいて第三国又は国際機関への個人データを移転する枠組みの中における適切な保護措置を提供するために、第3条によって本規則の適用対象となっていない管理者又は処理者によっても遵守されうる。そのような管理者又は処理者は、契約上又はそれ以外の法的拘束力のある法律文書を介して、データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な約束を形成しなければならない。

4.　本条第2項で定める行動規範は、第41条第1項で定める組織が、第55条又は第56条によって所轄監督機関の職務及び権限を妨げることなく、その行動規範を適用している管理者又は処理者によるその行動規範の条項遵守を強制的に監視できるようにする仕組みを含めなければならない。

5.　行動規範の準備又は既存の行動規範の改正若しくは追補を予定する本条第2項で定める団体及びその他の組織は、第55条により所轄監督機関に対し、行動規範案、改正又は追補を送付しなければならない。その監督機関は、その行動規範案、改正又は追補が本規則を遵守するものであるか否に関する意見を述べるものとし、かつ、それが十分に適切な保護措置を提供するものであると判断するときは、当該行動規範案、改正又は追補を承認するものとする。

6.　行動規範案、改正又は追補が第5項に従って承認される場合、及び、関係する行動規範が複数の加盟国内の取扱活動と関連するものではない場合、その監督機関は、その行動規範を登録し、それを公表するものとする。

7.　行動規範案が複数の加盟国内の取扱活動と関連する場合、第55条により所轄監督機関は、その行動規範案、改正又は追補を承認する前に、第63条で定める手続の中で、それを欧州データ保護会議に送付し、欧州データ保護会議は、その行動規範案、改正又は追補が本規則を遵守するものであるか否か、又は、本条の第3項で定める状況において適切な保護措置を提供するものか否かに関し、意見を述べるものとする。

8.　第7項で定める意見書が、その行動規範案、改正又は追補が本規則を遵守するものであることを確認するものである場合、又は、第3項で定める状況の下における適切な保護措置を提供することを確認するものである場合、欧州データ保護会議は、欧州委員会に対し、その意見を送付するものとする。

9.　欧州委員会は、実装法令によって、本条第8項により欧州委員会に対して送付された承認された行動規範、その改正及び追補がEU域内において一般的な有効性をもつと決定することができる。その実装法令は、第93条第2項で規定される審議手続に従って採択されなければならない。

10.　欧州委員会は、第9項に従って一般的な有効性をもつと決定された承認された規範に関し、適切な周知を確保するものとする。

11.欧州データ保護会議は、全ての承認された行動規範、その改正及び追補を登録簿に整理列挙し、かつ、適切な手段によって、公衆がそれを利用できるようにするものとする。

1.　第57条及び第58条に基づく所轄監督機関の職務及び権限を妨げることなく、第40条による行動規範の遵守の監視は、当該行動規範の対象事項と関連する適切なレベルの専門性をもち、かつ、所轄監督機関によってその目的のために認定される組織によって行われうる。

2.　第1項に規定する組織は、次のいずれも満たす場合に、行動規範の遵守を監視するための認定を受けることができる:

(a)その組織の独立性及び行動規範の対象事項に関する専門性について、所轄監督機関が納得する程度に証明したこと

(b)管理者又は処理者による行動規範の条項遵守を監視し、かつ、これらの業務を定期的に見直すための、関係する管理者及び処理者が行動規範の適用に努めることの適格性を評価できるようにする手続が設けられていること

(c)行動規範に対する違反、又は、管理者若しくは処理者によってなされ、若しくはなされつつある行動規範の実装手法に関する苦情を取り扱うための手続及び組織が定められ、かつ、そのような手続及び組織をデータ主体及び公衆にとって透明性のあるものとしていること

(d)その組織の職務と義務が利益相反を発生させないことを、所轄監督機関が納得する程度に説明したこと

3.　所轄監督機関は、第63条に規定する一貫性メカニズムによって、欧州データ保護会議に対し、本条第1項に規定する組織の認定のための基準案を送付する。

4.　所轄監督機関の職務及び権限並びに第8章の規定を妨げることなく、本条第1項に規定する組織は、適切な保護措置の下で、管理者又は処理者が行動規範に違反した場合において、行動規範の一時停止又は関係する管理者若しくは処理者の行動規範からの排除を含め、適切な対応を講じなければならない。当該組織は、当該対応について、これを講じる理由とともに、所轄監督機関に通知する。

5.　所轄監督機関は、認定の条件が満たされていない場合、若しくは、満たされなくなった場合、又は、当該組織の行動が本規則に違反する場合、第1項に規定する組織の認定を取り消さなければならない。

6.　本条は、公的機関及び公的組織によって行われる取扱いには適用されない。

1.　加盟国、監督機関、欧州データ保護会議及び欧州委員会は、とりわけ、EUレベルにおいて、管理者及び処理者による取扱業務が本規則を遵守することを証明する目的のために、データ保護認証方法、データ保護シール及びデータ保護マークを設けることを奨励しなければならない。中小零細企業の特殊事情を考慮に入れるものとする。

2.　本規則に服する管理者又は処理者の遵守に加え、第46条第2項(f)に規定する条件に基づく第三国又は国際機関に対する個人データの移転の枠組みにおける、第3条により本規則の適用対象となっていない管理者又は処理者によって提供される適切な保護措置の存在を示す目的のために、本条第5項によって認められるデータ保護認証方法、データ保護シール又はデータ保護マークを設けることができる。当該管理者又は処理者は、契約文書又はその他の法的拘束力ある法律文書を介して、データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な約束を形成しなければならない。

3.　認証は、自由であり、かつ、透明性のある手続を介して利用されるものとする。

4.　本条による認証は、管理者又は処理者の本規則の遵守に係る責務を軽減することはなく、また、第55条又は第56条による所轄監督機関の職務及び権限を妨げない。

5.　本条による認証は、第58条第3項により所轄監督機関によって承認された基準、又は、第63条により欧州データ保護会議によって承認された基準に基づき、第43条に規定する認証機関又は所轄監督機関から発行されるものとする。当該基準が欧州データ保護会議によって承認されたものである場合、それは、共通の認証、すなわち、欧州データ保護シールとなりうる。

6.　その取扱いを認証方法に服させる管理者又は処理者は、第43条に規定する認証機関に対し、又は、該当する場合には、所轄監督機関に対し、認証手続を実施するために必要となる全ての情報及びその取扱活動へのアクセスを提供しなければならない。

7.　認証は、管理者又は処理者に対し、最長3年の期間で発行されるものとし、関連する要件に適合し続けていることを条件として、同じ条件で更新されうる。認証のための要件が満たされていない場合、又は、満たされなくなった場合、その認証は、第43条に規定する認証機関又は所轄監督機関によって、しかるべく取り消されるものとする。

8.　欧州データ保護会議は、全ての認証方法、データ保護シール及びデータ保護マークを登録簿に整理列挙し、かつ、適切な手段によって、公衆がそれを利用できるようにしなければならない。

1.　第57条及び第58条に基づく所轄監督機関の職務及び権限を妨げることなく、データ保護に関する適切なレベルの専門性をもつ認証機関は、その必要があるときは、第58条第2項(h)による権限を行使できるようにするために監督機関に通知した後、認証を発行し、又は、それを更新するものとする。加盟国は、加盟国の認証機関が、以下の一方又は両方から認定されることを確保するしなければならない。

(b)EN-ISO/IEC17065/2012に準拠する欧州議会及び欧州連合の理事会の規則(EC)No765/2008＊２＊に従い、かつ、第55条又は第56条による所轄監督機関によって定められる付加的な要件に従って指定される国内認定機関。

2.　第1項に規定する認証機関は、次のいずれも満たす場合に限り、同項に従って、認定を受けるものとする。

(a)その組織の独立性及び認証の対象事項に関する専門性について、所轄監督機関を納得させる程度に証明したこと

(b)第42条第5項に規定する基準を満たし、かつ、第55条若しくは第56条による所轄監督機関による承認、又は、第63条により欧州データ保護会議による承認を受けたこと

(c)データ保護認証、データ保護シール及びデータ保護マークの発行、定期的な見直し及び取消しの手続が設けられていること

(d)認証に対する違反、又は、管理者若しくは処理者によってなされ、若しくはなされつつある認証事項実装手法に関する苦情を取り扱うための手続及び組織が定められ、かつ、そのような手続及び組織をデータ主体及び公衆にとって透明性のあるものとしていること

(e)その組織の職務と義務が利益相反を発生させないことを、所轄監督機関が納得する程度に証明したこと

3.　本条第1項及び第2項に規定する認証機関の認定は、第55条又は第56条により所轄監督機関によって承認された基準、又は、第63条により欧州データ保護会議によって承認された基準に基づいて行われなければならない。本条第1項(b)による認定の場合、当該(b)にいう要件は、規則(EC)No765/2008及び認証機関の方法及び手順を示す技術規則に掲げられる要件を補完するものでなければならない。

4.　第1項に規定する認証機関は、本規則の遵守に関する管理者又は処理者の責任を妨げることなく、認証又はその取消を導く適正な評価について責任を負うものとする。認定は、認証機関が本条に定める要件に適合することを条件として、最長で5年以内の期間で発行されるものとし、また、同じ条件の下で更新されうる。

5.　第1項に規定する認証機関は、所轄監督機関に対し、求められた認証の付与又はその取消の理由を提供する。

6.　本条第3項に規定する要件及び第42条第5項に規定する基準は、容易にアクセス可能な方式で、監督機関によって、公表されなければならない。監督機関は、また、欧州データ保護会議に対し、当該要件及び基準を送付しなければならない。欧州データ保護会議は、全ての認証方法及びデータ保護シールを登録簿に整理列挙し、かつ、適切な手段によって、公衆がそれを利用できるようにしなければらない。

7.　第8章を妨げることなく、認定の要件に適合していない場合、若しくは、適合しなくなった場合、又は、認証機関の行為が本規則に違反する場合、所轄監督機関又は国内認定機関は、本条の第1項による認証機関の認定を取り消さなければならない。

8.　欧州委員会は、第42条第1項に規定するデータ保護認証方法のために考慮に入れられるべき要件の細目を定めるために、第92条に従い、委任法令を採択する権限を有するものとする。

9.　欧州委員会は、認証方法、データ保護シール及びデータ保護マークのための技術基準、並びに、認証方法、データ保護シール及びデータ保護マークを推奨し、周知するための仕組みを定める実装法令を採択することができる。この実装法令は、第93条第2項に規定する審議手続に従って採択されなければならない。

現に取扱われている又は第三国又は国際機関への移転の後に取扱いを意図した個人データ移転は、その第三国又は国際機関から別の第三国又は国際機関への個人データの転送に関するものを含め、本規則の他の条項に従い、本章に定める要件が管理者及び処理者によって遵守される場合においてのみ、行われる。本章の全ての条項は、本規則によって保証される自然人保護のレベルが低下しないことを確保するために適用される。

1.　第三国、第三国内の地域又は一若しくは複数の特定の部門、又は、国際機関が十分なデータ保護の水準を確保していると欧州委員会が決定した場合、当該第三国又は国際機関への個人データの移転を行うことができる。その移転は、いかなる個別の許可も要しない。

2.　保護水準の十分性を評価する場合、欧州委員会は、とりわけ、以下の要素を考慮に入れる:

(a)法の支配、人権及び基本的自由の尊重、公共の安全、国防、国家安全保障及び犯罪法を含め、一般的又は分野別の関連立法、及び、公的機関による個人データへのアクセス、並びに、そのような立法の実装、他の第三国又は国際機関への個人データの再移転に関する規定であって、当該第三国又は国際機関が遵守する法令を含め、データ保護規則、職業上の準則及び保護措置、判例法、並びに、効果的で執行可能なデータ主体の権利、その個人データが移転されつつあるデータ主体のための行政上及び司法上の救済;

(b)適切な執行権限を含め、データ保護法令の遵守を確保し、かつ、執行することに関し、データ主体がその権利を行使する際に支援し助言することに関し、及び、加盟国の監督機関と協力することに関して責任を負う第三国内の、又は、国際機関が服する1若しくは複数の独立の監督機関が存在し、かつ、それが効果的に機能していること;並びに、

(c)当該第三国若しくは国際機関が加入している国際的な取決め。特に、個人データ保護に関する法的拘束力のある条約若しくは法律文書から生ずるそれ以外の義務、並びに、多国間システム又は領域システムへの参加から生ずる義務。

3.　欧州委員会は、保護のレベルの十分性を評価した後、実装行為により、第三国、第三国内の地域又は1若しくは複数の特定の部門又は国際機関が、本条第2項の趣旨における十分なレベルのデータ保護を確保している旨を決定することができる。その実装行為は、少なくとも4年毎の定期的な見直しの仕組みを定め、その見直しは、その第三国又は国際機関の関係する全ての進展を考慮に入れるものとする。その実装行為は、その領域上及び部門上の適用範囲を特定し、かつ、適用可能なときは、本条第2項(b)に定める監督機関を明らかにしなければならない。この実装行為は、第93条第2項に定める審議手続に従って採択されなければならない。

4.　欧州委員会は、有効である基準に基づき、本条第3項により採択された決定及び指令95/46/ECの第25条第6項に基づいて採択された決定が機能することに対して影響を及ぼしうる第三国内及び国際機関内の進展を監視しなければならない。

5.　欧州委員会は、当該第三国、第三国内の地域又は1若しくは複数の特定の部門又は国際機関が本条第2項の趣旨における十分なレベルのデータ保護を確保していないことが、利用可能な情報から、特に、本条第3項に定める見直しの結果から、明らかにされた場合、実装行為により、遡及効をもつことなく、必要な範囲内で、本条第3項に定める決定を取り消し、修正し、又は、停止しなければならない。この実装行為は、第93条第2項に定める審議手続に従って採択されなければならない。

　緊急性という正当化事由に基づき、欧州委員会は、第93条第3項で定める手続に従い、直ちに、適用可能な実装行為を採択しなければならない。

6. 欧州委員会は、第5項によって行われた決定を生じさせている状況を救済するという観点から、第三国又は国際機関と協議に入らなければならない。

7.　本条第5項による決定は、第46条から第49条による当の第三国、第三国内の地域又は1若しくは複数の特定の部門又は国際機関への個人データの移転を妨げるものではない。

8.　欧州委員会は、EU官報及びそのウェブサイト上において、十分なレベルの保護がある旨の決定がなされ、又は、確保されていない旨の決定がなされた第三国、第三国内の地域若しくは特定の部門又は国際機関の一覧を公表する。

9.　指令95/46/ECの第25条第6項に基づき欧州委員会によって採択された決定は、本条第3項又は第5項に従って採択される欧州委員会の決定によって修正され、差し替え、又は、廃止されるまで、その有効性が維持されなければならない。

1.　第45条第3項による決定がない場合、管理者又は処理者は、その管理者又は処理者が適切な保護措置を提供しており、かつ、データ主体の執行可能な権利及びデータ主体のための効果的な司法救済が利用可能なことを条件としてのみ、第三国又は国際機関への個人データを移転することができる。

2.　第1項で定める適切な保護措置は、監督機関から個別の承認を必要とせず、以下のいずれかによって講じることができる:

(a)公的機関又は公的組織の間の法的拘束力及び執行力のある文書;

(c)第93条第2項で定める審議手続に従って欧州委員会によって採択された標準データ保護条項;

(d)監督機関によって採択され、かつ、第93条第2項で定める審議手続に従って欧州委員会によって承認された標準データ保護条項;

(e)データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第40条による承認された行動規範;又は、

(f)データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第42条による承認された認証方法。

3.　所轄監督機関から承認を受けることを条件として、第1項で定める保護措置は、特に、以下の方法によっても講じることができる:

(a)管理者又は処理者と第三国又は国際機関内の管理者、処理者又は個人データの取得者との間の契約条項;又は、

(b)公的機関又は公的組織の間の取決めの中に入れられる条項であって、執行可能かつ効果的なデータ主体の権利を含むもの。

4.　監督機関は、本条第3項で定める場合において、第63条で定める一貫性メカニズムを適用する。

5.　指令95/46/ECの第26条第2項に基づく加盟国又は監督機関による承認は、その必要に応じて、監督機関によって改正され、差し替え、又は、廃止されるまで、その有効性が維持されなければならない。指令95/46/ECの第26条第4項に基づき欧州委員会によって採択された決定は、必要に応じて、本条第2項に従って採択される欧州委員会決定により改正され、差し替え、又は、廃止されるまでその有効性が維持されなければならない。

1.　所轄監督機関は、次に掲げる場合、第63条に定める一貫性メカニズムに従い、拘束的企業準則を承認しなければならない:

(a)その従業者を含め、企業グループ又は共同経済活動に従事する企業グループの関係する全てのメンバーを法的に拘束し、それらの者に適用され、かつ、それらの者によって執行され;

(b)その個人データの取扱いと関連するデータ主体の執行可能な権利を明示で与えており;かつ、

2.　第1項で定める拘束的企業準則は、少なくとも、以下の事項を明記しなくてはならない:

(a)企業グループ若しくは共同経済活動に従事する企業グループ又はそれらを構成する個々のメンバーの組織体制及び連絡先;

(b)個人データの種類、取扱いの種類及びその目的、影響を受けるデータ主体の類型、及び問題となっている特定された第三国若しくは複数の第三国の事項を含むデータ移転又はデータ移転の集合

(d)一般的なデータ保護の原則の適用。特に、目的の制限、データの最小化、記録保存期間の制限、データの品質、データ保護バイデザイン及びバイデフォルト、取扱いの法的根拠、特別な種類の個人データの取扱い、データの安全性を確保するための措置、並びに、拘束的企業準則によって拘束されない組織に対するデータ再移転に関する要件;

(e)取扱いに関するデータ主体の権利及び当該権利行使の履行手段。第22条に従うプロファイリングを含む自動取扱いのみによる決定に服しない権利、所轄監督機関に対し異議を申し立てる権利、第79条に従い加盟国の裁判所に異議を申し立てる権利、並びに、救済の権利、及び、適切な場合、拘束的企業準則の侵害に関する損害賠償を求める権利を含む。;

(f)EU域内に拠点のない関連するあらゆるメンバーによる拘束的企業準則の違反行為による法的責任を有する加盟国の領土に拠点のある管理者又は処理者の承諾;その管理者又は処理者は、当該メンバーがその損害の発生を生じさせる出来事に関して責任を負わないことを証明した場合に限り、その法的責任の全部又は一部を免れるものとする;

(g)拘束的企業準則に関する情報、特に、第13条及び第14条に加え、本項(d)、(e)及び(f)で定める各条項に関する情報をデータ主体に提供する方法;

(h)第37条に従って任命されたデータ保護オフィサー、又は企業グループ内又は共同で経済活動に従事する企業グループ内において、拘束的企業準則の遵守並びに訓練及び異議申立ての取扱いの監視を実施する責任があるあらゆるその他の人物若しくは組織の業務;

(j)企業グループ若しくは共同で経済活動に従事する企業グループのメンバー内における拘束的企業準則の遵守の確認を確保するための仕組み。その仕組みは、データ保護監査、及び、データ主体の権利を保護するための是正活動を確保するための方法を含むものでなければならない。その確認の結果は、(h)で定める者若しくは組織並びに企業グループ若しくは共同で経済活動に従事する企業グループの内の事業を管理している会議に対して通知され、また、要求に応じて、所轄監督機関に利用可能なものにしなければなならない;

(k)規則の変更の報告及び記録の仕組み、並びに、監督機関に対する当該変更の報告;

(l)企業グループ若しくは共同で経済活動に従事する企業グループのメンバーによる遵守を確保するための、とりわけ、(j)で定める措置の有効性検証の結果を監督機関が利用できるようにすることによる、監督機関との協力の仕組み;

(m)企業グループ若しくは共同で経済活動に従事する企業グループのメンバーが服する第三国における法律上の要件であって、その拘束的企業準則によって提供される保証に対して実質的な悪影響を及ぼすおそれのあるものを監督機関に報告するための仕組み;並びに、

(n)永続的に又は継続的に個人データへのアクセスをもつ者に対する適切なデータ保護トレーニング。

3.　欧州委員会は、本条の趣旨における拘束的企業準則に関する管理者、処理者及び監督機関の間の情報交換の形式及び手続を定めることができる。この実装行為は、第93条第2項で規定された審議手続に従って採択されるものとする。

　管理者又は処理者に対して個人データの移転又は開示を命ずる第三国の裁判所若しくは法廷の判決及び公的機関の決定は、本章による移転のための別の法的根拠を妨げることなく、いかなる態様によるにせよ、司法共助条約のような要請元である第三国とEU又は加盟国との間で有効な国際合意に基づく場合においてのみ、認められるか又は執行力を有することができる。

1.　第45条第3項による十分性認定がない場合、又は拘束的企業準則を含め、第46条による適切な保護措置がない場合、以下の条件中のいずれかを満たしている場合においてのみ、第三国又は国際機関への個人データの移転又は個人データ移転の集合を行うことができる:

(a)十分性認定及び適切な保護措置が存在しないために、そのような移転がそのデータ主体に対して発生させる可能性のあるリスクの情報提供を受けた後に、そのデータ主体が、提案された移転に明示的に同意した場合;

(b)データ主体と管理者との間の契約の履行のためにその移転が必要となる場合、又は、データ主体の要求により、契約締結前の措置を実施するためにその移転が必要となる場合;

(c)管理者及びそれ以外の自然人若しくは法人との間でデータ主体の利益のために帰する契約の締結、又は、その契約の履行のために移転が必要となる場合;

(e)法的主張時の立証、行使又は抗弁に移転が必要となる場合;

(f)データ主体が物理的又は法的に同意を与えることができない場合において、データ主体又はそれ以外の者の生命に関する利益を保護するために移転が必要となる場合;

(g)EU法又は加盟国の国内法に従い、公衆に対して情報を提供することを予定しており、かつ、公衆一般及び正当な利益をもつことを説明することのできる者の両者に対して開かれているが、個々の案件において、照会に関してEU法又は加盟国の国内法により定められた条件が充足する限度内のみに制限されている登録機関に限り、登録機関からの移転が必要となる場合。

　拘束的企業準則の条項を含め、第45条又は46条に基づいて移転を行うことができず、かつ、本項(a)から(g)による特定の状況における例外がいずれも適用可能ではない場合、その移転が、反復的なものではなく、限定された人数のデータ主体に関係するものであり、データ主体の権利及び自由によって優先されるものではない管理者が求める義務的な正当な利益の目的のために必要であり、かつ、管理者がデータ移転と関連する全ての事情を評価しており、かつ、その評価に基づき、その管理者が個人データの保護に関連して適合する保護措置を提供した場合に限り、第三国又は国際機関に対する移転を行うことができる。その管理者は、監督機関に対して、その移転を通知しなければならない。その管理者は、そのデータ主体に対し、第13条及び第14条に規定する情報に加え、その移転及び求められる義務的な正当な利益に関し、情報提供しなければならない。

2.　第1項(g)による移転は、その登録機関に収録されている個人データ全体又は全ての種類の個人データを含むものではない。登録機関が公正な利益を有する者からの協議での利用を意図している場合、その者の要求、又は、その者が取得者となる場合に限定して、その移転が行われる。

3.　第1項前段(a)、(b)及び(c)並びに同項後段は、その権限の行使において公的機関によって実施される行為には適用されない。

4.　第1項(d)で定める公共の利益は、EU法又は管理者が従う加盟国の国内法において認められていなければならない。

5.　十分性認定がない場合、EU法又は加盟国の国内法は、重要な公共の利益を理由として、第三国又は国際機関への特別な種類の個人データの移転について、明示の制限を設けることができる。加盟国は、欧州委員会に対し、そのような条項を通知しなければならない。

6.　管理者又は処理者は、評価及び本条第1項後段で定める適切な保護措置を第30条で定める記録の中で文書化しなければならない。

第三国及び国際機関に関連して、欧州委員会及び監督機関は、以下の適切な手立てを講じなければならない:

(a)個人データ保護立法の効果的な執行を促進するための国際協力の仕組みを構築すること;

(b)個人データ保護及びそれ以外の基本的な権利及び自由の保護のための適切な保護措置の下で、通知、苦情相談、調査支援及び情報交換を介する場合を含め、個人データ保護立法の執行に関して国際的な共助を提供すること;

(c)個人データ保護立法の執行における国際的協力の促進を目的とした議論及び活動への関連する利害関係者との意見交換;

(d)第三国との裁判管轄権の抵触に関するものを含め、個人データ保護の立法及び慣例の情報交換及び文書化を促進すること。

1.　各加盟国は、取扱いと関連する自然人の基本的な権利及び自由を保護し、かつ、EU域内における個人データの自由な流れを促進するため、本規則の適用を監視する職責を負う1若しくは複数の独立の公的機関を定めるなければならない(「監督機関」)。

2.　各監督機関は、EU全域における本規則の一貫性のある適用に貢献しなければならない。この目的のために、監督機関は、第7章に従い、相互に協力し、かつ、欧州委員会と協力しなければならない。

3.　1つの加盟国内において複数の監督機関が設けられる場合、当該加盟国は、欧州データ保護会議においてそれらの監督機関を代表する監督機関を指定し、かつ、第63条で定める一貫性メカニズムと関連する規定を他の監督機関が遵守することを確保するための仕組みを定める。

4.　各加盟国は、欧州委員会に対し、2018年5月25日までに、本章により加盟国が採択した加盟国の法律の条項を通知し、かつ、遅滞なく、その条項に影響を与えるその後の改正を通知する。

1.　各監督機関は、本規則に従ってその職務を遂行し、かつ、その権限を行使する際、完全に独立して行動しなければならない。

2.　各監督機関のメンバー又はメンバーたちは、本規則に従ってその職務を遂行及び権限の行使において、直接又は間接を問わず、外部からの影響を受けることなく、かつ、誰に対しても指示を求めず、また、誰からの指示も受けない。

3.　各監督機関の構成員は、その職責と適合しない行動を慎み、かつ、その在任中は、収入の有無を問わず、その仕事と適合しない業務に従事してはならない。

4.　各加盟国は、各監督機関が、欧州データ保護会議における共助、協力及び参加の過程において行われる職務を含め、その職務の効果的な遂行及びその権限の行使のために必要となる人的、技術的及び財政的資源、施設及びインフラの提供されるよう確保しなければならない。

5.　各加盟国は、各監督機関が、関係する監督機関のメンバー又はメンバーたちの指示のみに従うその監督機関自身の職員を選任し、かつ、これを雇用することを確保しなければならない。

6.　各加盟国は、各監督機関が、監督機関の独立性に影響を与えない財政上の管理に服すること、及び、監督機関が独立の公的年度予算をもつことを確保しなければならない。その予算は、全州又は国家予算の一部であってもよい。

1.　加盟国は、以下によって、その加盟国の監督機関の個々のメンバーが、透明性のある手続により任命されることを定める:

-　加盟国の国内法に基づく指定権限が与えられた独立組織。

2.　個々のメンバーは、特に、個人データの保護の領域において、その職務を遂行し、かつ、その権限を行使するために求められる資格、経験及び技能を備えていなければならない。

3.　メンバーの職務は、関係する加盟国の国内法に従い、任期が終了した時、辞職の時、又は、強制的な退職の時に終了しなければならない。

4.　メンバーは、重大な非違行為があった場合、又は、その構成員がその職務の遂行のために求められる条件をもはや満たさなくなった場合においてのみ、解任されるものとする。

1.　各加盟国は、法律によって、以下の全てを定めなければならない:

(b)各監督機関のメンバーとして任命されるための資格及び適格性の条件;

(d)2016年5月24日以降の最初の任命を除き、個々の監督機関のメンバー又はメンバーたちの少なくとも4年以上の任期。交互的な任命手続によって監督機関の独立性を保護するために必要なときは、その構成員の一部をより短い任期とすることができる;

(e)各監督機関のメンバー又はメンバーたちの再任の可否、及び、再任する場合、再任できる回数;

(f)各監督機関のメンバー又はメンバーたち及び職員の義務、その在任中及び退任後を通じて職務と適合しない行動、就業及び収入の禁止を規律する条件、並びに、雇用の終了を規律する規則。

2.　各監督機関のメンバー又はメンバーたち及び職員は、EU法又は加盟国の国内法に従い、その職務の遂行及び権限の行使の過程において知ることとなった全ての機密情報に関し、その在任中及び退任後とも、職務上の守秘義務を負う。その在任中、その職務上の守秘義務は、とりわけ、本規則の違反行為に関する自然人からの通報に適用されなければならない。

1.　各監督機関は、その監督機関の加盟国の領土上において、本規則に従って割り当てられる職務を遂行し、かつ、付与された権限を行使するための職務権限をもつものとする。

2.　公的組織によって、又は、第6条第1項(c)又は(e)に基づいて活動する民間組織によって取扱いが行われる場合、関係する加盟国の監督機関は、その職務権限をもつものとする。この場合、第56条は、適用されない。

3.　監督機関は、その司法権限における裁判所の取扱業務を監督する職務権限をもたない。

1.　第55条を妨げることなく、管理者又は処理者の主たる拠点又は単一の拠点の監督機関は、第60条に定める手続に従い、その管理者又は処理者によって行われる越境取扱いに関し、主監督機関として行動するための職務権限をもつものとする。

2.　第1項からの例外により、その対象事項がその監督機関の加盟国内にある拠点のみに関係する場合、又は、その監督機関の加盟国内のデータ主体に対してのみ実質的に影響を与える場合、各監督機関は、その監督機関に申立てられた異議、又は、本規則の潜在的な違反行為を取り扱うための職務権限をもつものとする。

3.　本条第2項で定める場合において、その監督機関は、主監督機関に対し、遅滞なく、その事項を通知する。その通知を受けてから3週間以内に、主監督機関は、その事柄の通知をした監督機関の加盟国内にその管理者又は処理者が設けられているか否かを考慮に入れた上で、第60条に定める手続に従い、その案件を取り扱うか否かを判断しなければならない。

4.　その主監督機関がその案件を取り扱うと決める場合、第60条に定める手続が適用されるものとする。主監督機関に対して通知をした監督機関は、主監督機関に対し、決定に関する草案(adraftforadecision)を送付できる。その主監督機関は、第60条第3項で定めるを準備する際、送付された決定案を最大限考慮に入れる。

5.　その主監督機関がその案件を取り扱わないと決定する場合、主監督機関に対して通知をした監督機関は、第61条及び第62条に従い、その案件を取り扱うものとする。

6.　主監督機関は、当該管理者又は処理者によって行われる越境取扱いについて、その管理者又は処理者の単独の担当窓口となる。

1.　本規則に定める他の職務を妨げることなく、各監督機関は、その領土上において:

(b)取扱いと関連するリスク、規則、保護措置及び権利の公衆への周知及び認識を促進するものとする。とりわけ、子ども向けの活動に格別の注意を払わなければならない;

(c)加盟国の国内法に従い、国民議会、政府及びそれ以外の機関及び組織に対し、取扱いと関連する自然人の権利及び自由の保護に関する立法上の措置及び行政上の措置に関し、助言するものとする;

(d)本規則に基づく管理者及び処理者の義務について、それらの者に対する周知を促進するものとする;

(e)要請に応じて、本規則に基づくデータ主体の権利の行使に関し、いかなるデータ主体に対しても情報を提供し、また、それが適切なときは、その目的のために、別の加盟国の監督機関と協力するものとする;

(f)第80条に従い、データ主体、又は、組織、団体若しくは協会から申立てられた異議を取り扱い、適切な範囲内で、異議申立てのあった事項について調査し、かつ、とりわけ、さらに調査すること又は他の監督機関と協力することが必要な場合、合理的な期間内に、異議申立人に対し、その進捗状況及び結果について、情報提供するものとする;

(g)本規則の適用及び執行の一貫性を確保するため、情報共有及び共助の提供を含め、他の監督機関と協力するものとする;

(h)他の監督機関又は公的機関から提供された情報に基づく場合を含め、本規則の適用に関する調査を行うものとする;

(i)個人データの保護に対して影響をもつものである限り、関連する発展、特に、情報通信技術の発展及び商慣行を監視するものとする;

(j)第28条第8項及び第46条第2項(d)に定める標準契約条項を採択するものとする;

(k)第35条第4項に定めるデータ保護影響評価の要件に関連する一覧を作成し、維持管理するものとする;

(l)第36条第2項で定める取扱業務に関し、助言を与えるものとする;

(m)第40条による行動規範の作成を奨励し、第40条第5項により、意見を提供し、かつ、十分な保護措置を提供する行動規範を承認するものとする;

(n)第42条第1項によるデータ保護認証メカニズム、データ保護シール及びデータ保護マークを設けることを奨励し、かつ、第42条第5項による認証の基準を承認するものとする;

(o)該当する場合(whereapplicable)、第42条第7項に従って発行される認証の定期的な見直しを行うものとする;

(p)第41条による行動規範を監視するための組織の認定に関する基準及び第43条による認証機関の認定に関する基準を策定し、それを公表するものとする;

(q)第41条による行動規範を監視するための組織の認定、及び、第43条による認証機関の認定を行うものとする;

(r)第46条第3項で定める契約条項及び条項を承認するものとする;

(u)本規則の違反行為の内部資料及び第58条第2項に従って講じられた措置に関する内部資料を保管するものとする;並びに、

(v)個人データの保護に関連する上記以外の職務を尽くすものとする。

2.　各監督機関は、他の伝達手段を排除することなく、電子的に完了させることのできる異議申立様式のような手段によって、第1項(f)で定める異議申立てを容易にする。

3.　各監督機関の職務の遂行は、データ主体に対しては無償とし、該当する場合は、データ保護オフィサーに対しても無償とする。

4.　要求が明らかに根拠のない場合又は過剰な性質のものである場合、特にそれが反復する性質による場合、監督機関は、業務運営費用に基づく合理的な手数料を徴収し、又は、その要求を拒むことができる。その監督機関は、その要求が明らかに根拠のないものであること又は過剰なものであることを説明する責任を負うものとする。

1.　各監督機関は、以下の全ての調査権限をもつものとする:

(a)管理者及び処理者に対し、並びに、該当する場合、管理者の代理人又は処理者の代理人に対し、監督機関が職務遂行のために必要とするあらゆる情報の提供を命ずること;

(c)第42条第7項により発行される認証に関し、見直しを行うこと;

(d)管理者又は処理者に対し、本規則の違反行為があるとの主張を通知すること;

(e)管理者及び処理者から、その職務を遂行する上で必要となる全ての個人データへのアクセス及び全ての情報へのアクセスを得ること;

(f)EUの手続法又は加盟国の手続法に従い、データ取扱いの装置及び手段を含め、管理者及び処理者の施設へのアクセスを得ること。

2.　各監督機関は、以下の全ての是正権限をもつものとする:

(a)管理者又は処理者に対し、意図されている取扱業務が本規則の条項に違反するおそれがある旨の警告を発すること;

(b)取扱業務が本規則の条項に違反する場合、管理者又は処理者に対し、懲戒を発すること;

(c)管理者又は処理者に対し、本規則による自らの権利を行使するデータ主体の要求に従うように命ずること;

(d)管理者又は処理者に対し、本規則の条項を遵守するものとさせるように命ずること。適切な場合、特定の態様により及び特定の期間内に、取扱業務を、本規則の条項を遵守するものとさせるように命ずること;

(e)管理者に対し、個人データ侵害をデータ主体に連絡するように命ずること;

(f)取扱いの禁止を含め、一時的な制限又は恒久的な制限を課すこと;

(g)第16条、第17条及び第18条により、個人データの訂正若しくは削除又は取扱いの制限を命ずること、並びに、第17条第2項及び第19条により、そのような行為について、個人データの開示を受けた取得者に対して開示するように命ずること;

(h)認証を取り消すこと、若しくは、認証機関に対し、第42条及び第43条によって発行した認証を取り消すように命ずること、又は、認証の要件に適合しない場合、若しくは、もはや適合しなくなった場合、認証機関に対し、認証を発行しないように命ずること;

(i)第83条による制裁金を科すこと。この制裁金は、個々の事案の事情に応じて、本項に規定する措置に加え、又は、その代わりに、科される;

(j)第三国又は国際機関の取得者に対するデータ流通の停止を命ずること。

3.　各監督機関は、以下の全ての承認及び助言の権限をもつものとする:

(a)第36条で定める事前協議手続に従い、管理者に対し、助言すること;

(b)自らの発意により、又は、要請に応じて、国民議会、加盟国政府に対し、個人データ保護と関連する問題に関し、意見書を発すること。又は、加盟国の国内法に従い、それ以外の機関及び組織に対し、並びに、公衆に対し、個人データ保護と関連する問題に関し、意見書を発すること;

(c)加盟国の国内法がそのような事前の承認を要求する場合、第36条第5項で定める取扱いを承認すること;

(d)第40条第5項による行動規範案について意見を発し、それを承認すること;

(f)第42条第5項に従い、認証を発行し、及び、認証の基準を承認すること;

(g)第28条第8項及び第46条第2項(d)で定める標準データ保護条項を採択すること;

4.　本条により監督機関に付与された権限の行使は、効果的な司法救済及び適正手続を含め、憲章に従ってEU法及び加盟国の国内法の中に定める適切な保護措置に服するものとする。

5.　各加盟国は、加盟国の監督機関が、本規則の違反行為に対して司法当局の関心を向けさせる権限、及び、それが適切なときは、本規則の条項を執行するために、訴訟手続を開始し、又は、それに関与する権限をもつことを、法律によって定めるものとする。

6.　各加盟国は、第1項、第2項及び第3項で定める権限に加え、その加盟国の監督機関が付加的な権限をもつことを、法律によって定めることができる。それらの権限の行使は、第7章の効果的な遂行を損なうものであってはならない。

　各監督機関は、その活動に関する年次報告書を作成するものとする。それは、通知を受けた違反行為の種類及び第58条第2項に従って講じられた措置の種類の一覧を含めることができる。それらの報告書は、国民議会、政府及び加盟国の国内法によって指定されたそれ以外の機関に対して送付されるものとする。それらの報告書は、公衆、欧州委員会及び欧州データ保護会議が利用可能なものでなければならない。

1.　主監督機関は、本条に従い、合意に至る努力を尽くして、他の関係監督機関と協力するものとする。主監督機関及び関係監督機関は、相互に、全ての関連情報を交換するものとする。

2.　主監督機関は、いつでも、他の関係監督機関に対し、第61条による共助の提供を要請することができ、また、とりわけ、調査を行うため、又は、別の加盟国に設けられた管理者又は処理者に関する措置の実装を監視するために、第62条による共同の職務遂行を行うことができる。

3.　主監督機関は、遅滞なく、他の関係監督機関に対し、案件と関連する情報を伝達するものとする。主監督機関は、遅滞なく、他の関係監督機関に対し、それらの関係監督機関の意見を求め、そして、その見解を適正に考慮に入れるため、決定案を送付するものとする。

4.　本条の第3項に従って協議がなされた後、4週間以内に、他の関係監督機関がその決定案に対して関連性があり理由を付した異議を述べたときは、その主監督機関は、その関連性があり理由を付した異議に従わない場合、又は、その異議が関連性のないもの、若しくは、理由のないものであるとの意見をもつ場合、第63条に規定する一貫性メカニズムに対し、その案件を送付する。

5.　その主監督機関が、その関連性があり理由を付した異議に従う意向である場合、その主監督機関は、他の関係監督機関に対し、それらの関係監督機関の意見を求めるため、改訂版の決定案を送付する。改訂版の決定案は、2週間以内の期限で、第4項で定める手続に服するものとする。

6.　第4項及び第5項に規定する期間内に、主監督機関から送付された決定案に対して他の関係監督機関から何らの異議も述べられなかった場合、主監督機関及び関係監督機関は、その決定案に同意したものとみなされ、かつ、それによって拘束されるものとする。

7.　その主監督機関は、その決定書を採択し、かつ、管理者又は処理者の主たる拠点又は単一の拠点に対して通知し、場合によっては、他の関係監督機関及び欧州データ保護会議に対し、関連事実の要旨及び決定理由を含め、当の決定を通知するものとする。異議を申立てられた監督機関は、その異議申立人に対し、その決定に関して通知するものとする。

8.　第7項の例外として、異議申立てが棄却又は却下となる場合、異議を申立てられた監督機関は、その決定書を採択し、それを異議申立人に通知し、かつ、その管理者に対し、その旨を通知するものとする。

9.　主監督機関と関係監督機関が異議の一部について棄却又は却下し、その異議の残部について措置をすることに合意するときは、それらの事項各部分に分けた別の決定書を採択するものとする。その主監督機関は、管理者に関する措置と関連する部分について決定書を採択し、その加盟国の領土上にある管理者又は処理者の主たる拠点又は単一の拠点に対してそれを通知し、そして、異議申立人に対してその旨を通知するものとする。一方、異議申立てを受けた監督機関は、当該異議の棄却又は却下に関係する部分に関する決定書を採択し、当該異議申立人に対してそれを通知し、そして、管理者又は処理者に対し、その旨を通知するものとする。

10.　第7項及び第9項による主監督機関からの決定書が通知された後、管理者又は処理者は、EU域内にあるその全ての拠点の中における取扱行為に関して、その決定の遵守を確保するために必要となる措置を講じなければならない。管理者又は処理者は、主監督機関に対し、その決定の遵守のために講じられた措置を通知しなければならない。主監督機関は、他の関係監督機関に対し、それを通知するものとする。

11.例外的な状況において、関係監督機関が、データ主体の利益を保護するために行動すべき緊急の必要性があると判断する理由があるときは、第66条で定める緊急の手続が適用するものとする。

12.　主監督機関及びそれ以外の関係監督機関は、本条に基づき求められる情報を、電子的な手段により、標準的なフォーマットを用いて、相互に提供するものとする。

1.　監督機関は、一貫性のある態様で本規則を実装し、適用するため、関連情報及び共助を相互に提供し、また、相互に効果的な協力のための措置を設けるものとする。共助は、とりわけ、事前の承認及び協議、検査並びに調査を行うことの要請のような、情報提供の要請及び監督措置を含むものとする。

2.　各監督機関は、不適切な遅滞なく、かつ、その要請を受けてから遅くとも1か月以内に、他の監督機関からの要請に対処するために必要な全ての適切な措置を講ずるものとする。その措置は、特に、調査を行う上での関連情報の送信を含めることができる。

3.　支援要請は、その要請を求める目的及び理由を含め、必要な全ての情報を含めるものとする。交換された情報は、それが要請された目的のみのために用いられる。

4.　要請を受けた監督機関は、以下の場合を除き、その要請への対応を拒否してはならない:

(a)要請を求められた事項について、若しくは、執行を求められた措置について、職務権限をもたない場合;又は、

(b)要請に従うことが、本規則の違反、又は、その要請を受けた監督機関が服するEU法若しくは加盟国の国内法の違反となりうる場合。

5.　要請を受けた監督機関は、要請元の監督機関に対し、その結果を通知し、又は、事案により、その要請にこたえるために講じられる措置の進捗状況を通知するものとする。要請を受けた監督機関は、第4項により要請に応ずることを拒否する場合、その理由を提供するものとする。

6.　要請を受けた監督機関は、原則として、電子的な手段により、標準的なフォーマットを用いて、他の監督機関から求められた情報を提供するものとする。

7.　要請を受けた監督機関は、共助の要請に対処するために当該監督機関によって行われる活動の手数料を請求しない。監督機関は、例外的な状況において共助を提供することから生ずる特別の支出を相互に補填するための規則に同意できる。

8.　監督機関が、他の監督機関から要請を受けた時から1か月以内に本条第5項で定める情報を提供しない場合、その要請元の監督機関は、第55条第1項に従い、その監督機関の加盟国の領土上における暫定的な措置を採択できる。その場合、第66条第1項に基づく行為をすべき緊急の必要性があることは、第66条第2項による欧州データ保護会議による緊急の拘束力のある決定の要件に該当し、その要請があるものと推定されるものとする。

9.　欧州委員会は、実装行為により、本条で定める共助のためのフォーマット及び手続、並びに、各監督機関の間及び監督機関と欧州データ保護会議との間における電子的な手段による情報交換のための取決め、特に、本条の第6項で定める標準的なフォーマットを定めることができる。これらの実装行為は、第93条第2項で定める審議手続に従って採択されるものとする。

1.　監督機関は、それが適切なときは、別の加盟国の監督機関のメンバー又は職員が関与する共同調査及び共同の執行措置を含め、共同作業行を行うものとする。

2.　管理者又は処理者が複数の加盟国に拠点をもつ場合、又は、複数の加盟国内の大勢のデータ主体が取扱業務によって実質的に影響を受けるおそれがある場合、当該加盟国の各監督機関は、共同作業に参加する権利を有するものとする。第56条第1項又は第4項により職務権限をもつ監督機関は、その共同作業の参加のため、当該加盟国の各監督機関を招請し、また、遅滞なく、監督機関からの参加の要請に対処するものとする。

3.　監督機関は、加盟国の国内法に従い、かつ、補佐監督機関の承認を得て、当該共同作業に関与する補佐監督機関のメンバー若しくは職員に対し、調査権限を含め、権限を与えることができ、また、ホスト監督機関の加盟国の国内法が許容する範囲内で、補佐監督機関の加盟国の国内法に従い、補佐監督機関のメンバー若しくは職員がその調査権限を行使することを認めることができる。そのような調査権限は、運用指針に基づき、かつ、ホスト監督機関のメンバー若しくは職員の立会いの下においてのみ、行使されうる。補佐監督機関のメンバー若しくは職員は、ホスト監督機関の加盟国の国内法に服しなければならない。

4.　第1項に従い、補佐監督機関の職員が別の加盟国において職務遂行する場合、ホスト監督機関の加盟国は、それらの職員が職務遂行する領土のある加盟国の国内法に従い、それらの職員の職務遂行の間にそれらの職員によって発生した損害に関し、法的責任を含め、それらの職員の行動の責任を負うものとする。

5.　その領土上において損害が発生した加盟国は、自国の職員が損害を発生させた場合に適用される条件に基づき、その損害を回復するものとする。別の加盟国の領土内の人に対して損害を発生させた職員の補佐監督機関の加盟国は、当該別の加盟国に対し、その加盟国が補佐加盟国の代わりに権利者に対して支払った総額を弁償するものとする。

6.　第三者それぞれとの間におけるその権利の行使を妨げることなく、かつ、第5項場合を除き、各加盟国は、第1項に定める場合において、第4項で定める損害と関連する別の加盟国からの求償請求を免れるものとする。

7.　共同作業が意図されており、かつ、ある監督機関が、1か月以内に、本条第2項第2文に定める義務を遵守しない場合、他の監督機関は、第55条に従い、その監督機関の加盟国の領土上において暫定的な措置を採択できる。その場合、第66条第1項に基づく行為をすべき緊急の必要性があることは、第66条第2項による欧州データ保護会議による緊急の拘束力のある決定の要件に該当し、その要請があるものと推定される。

EU全域における本規則の一貫性のある適用に資するものとするため、監督機関は、本節に定める一貫性メカニズムを介して、相互に協力し、また、それが適切なときは、欧州委員会と協力する。

1.　所轄監督機関が以下の措置中のいずれかを採択しようとする意向である場合、欧州データ保護会議は、意見を発する。その目的のために、以下の場合においては、所轄監督機関は、委員会に対し、その決定案を送付する:

(a)第35条第4項によるデータ保護影響評価に関する要件に服する取扱業務のリストの採択をしようとする場合;

(b)行動規範案、行動規範の改定又は追補が本規則を遵守するものであるか否かに関する第40条第7項に定める事項と関係する場合;

(c)第41条第3項による組織又は第43条第3項による認証機関の認定の基準の承認をしようとする場合;

(d)第46条第2項(d)及び第28条第8項に規定する標準データ保護条項を定めようとする場合;

(e)第46条第3項(a)に規定する契約条項承認をしようとする場合;又は、

(f)第47条の意味における拘束的企業準則の承認をしようとする場合。

2.　監督機関、欧州データ保護会議の議長又は欧州委員会は、とりわけ、所轄監督機関が第61条による共助の義務又は第62条による共同の業務遂行の義務を遵守しない場合、意見を得るため、欧州データ保護会議において一般的な適用に関する事項、又は、複数の加盟国に影響がある事項審議を求めることができる。

3.　第1項及び第2項に規定する場合において、欧州データ保護会議は、同じ事項に関して欧州データ保護会議が未だ意見を発していない場合、欧州データ保護会議に提議された事項に関し、意見を発する。その意見は、8週間以内に、欧州データ保護会議の構成員の単純多数決によって採択されなければならない。この期限は、対象事項複雑性を考慮に入れた上で、さらに6週間延長できる。第1項に規定する決定案が第5項に従って欧州データ保護会議の構成員に回覧されることに鑑み、議長によって指定された合理的な期限内に異議を述べない構成員は、その決定案に同意したものとみなされる。

4.　監督機関及び欧州委員会は、欧州データ保護会議に対し、不当な遅滞なく、電子的な手段により、標準的なフォーマットを用いて、関連情報を伝達する。当該情報には、事案により、事実関係の要旨、決定案、そのような措置を行う必要性の根拠、及び、他の関係監督機関の見解を含むこともありえる。

5.　欧州データ保護会議の議長は、不当な遅滞なく、電子的な手段によって、以下のとおり通知する:

(a)標準的なフォーマットを用いて議長に通知された関連する全ての情報を、欧州データ保護会議の構成員及び欧州委員会に対して通知する。欧州データ保護会議の事務局は、必要があるときは、関連情報の翻訳を提供する;及び、

(b)事案により、第1項及び第2項に規定する監督機関及び欧州委員会に対して意見を通知し、公表する。

6.　所轄監督機関は、第3項に規定する期間内は、第1項に規定する当該監督機関の決定案を採択してはならない。

7.　第1項に規定する監督機関は、欧州データ保護会議の意見を最大限考慮に入れ、かつ、その意見書を受領した時から2週間以内に、欧州データ保護会議の議長に対し、電子的な手段により、標準的なフォーマットを用いて、その決定案を維持するか、それとも、それを修正するかについて送信し、かつ、それを修正する場合、修正された決定案を送信する。

8.　関係監督機関が、欧州データ保護会議の議長に対し、本条の第7項に規定する期間内に、関連する根拠を提供して、欧州データ保護会議の意見の全部又は一部に従う意図がないことを通知する場合、第65条第1項が適用される。

1.　個々の事案における本規則の適正かつ一貫性のある適用を確保するため、欧州データ保護会議は、以下の場合、拘束力のある決定を採択する:

(a)第60条第4項に規定する場合において、主監督機関の決定案に対して、関係監督機関が、関連性があり理由を付した異議を述べた場合、又は、主監督機関が、関連性若しくは理由がないものとして、その異議を却下した場合。その拘束力のある決定は、関連性があり理由を付した異議の対象となっている全ての事項、とりわけ、本規則の違反があるか否かに関するものとする。

(b)どの関係監督機関が主たる拠点に対する職務権限をもつかに関し、見解の対立がある場合;

(c)第64条第1項に規定する場合において、職務権限をもつ監督機関が欧州データ保護会議の意見を求めない場合、又は、第64条に基づいて発せられる欧州データ保護会議の意見に従わない場合。その場合、関係監督機関又は欧州委員会は、欧州データ保護会議に対し、そのことを連絡できる。

2.　第1項に規定する決定は、その事項付託があった時から1か月以内に、欧州データ保護会議の構成員の3分の2の多数によって、採択される。この期間は、対象事項複雑性を考慮に入れた上で、さらに1か月延長できる。第1項に規定する決定は、その理由を付し、主監督機関及び全ての関係監督機関に宛てるものとし、かつ、それらの者を拘束する。

3.　欧州データ保護会議が第2項に規定する期間内に決定を採択できない場合、欧州データ保護会議は、第2項に規定する2か月目が経過した後の2週間以内に、欧州データ保護会議の構成員の単純多数決により、その決定を採択する。欧州データ保護会議の構成員が可否同数の場合、その決定は、議長の投票によって採択される。

4.　関係監督機関は、第2項及び第3項に規定する期間内においては、第1項に基づいて欧州データ保護会議に付託された事項に関する決定を採択してはならない。

5.　欧州データ保護会議の議長は、関係監督機関に対し、不当な遅滞なく、第1項に規定する決定を通知する。議長は、欧州委員会に対し、そのことを通知する。その決定書は、その監督機関が第6項に規定する最終決定の通知をした後、遅滞なく、欧州データ保護会議のWebサイト上で公表される。

6.　主監督機関、又は、事案により、異議申立てを受けた監督機関は、本条第1項に規定する決定に基づき、不当な遅滞なく、かつ、欧州データ保護会議がその決定を通知した後遅くとも1か月以内に、その監督機関の最終決定書を採択する。その主監督機関、又は、事案により、その異議申立てを受けた監督機関は、欧州データ保護会議に対し、その最終決定書が管理者又は処理者及びデータ主体に送付された日付を通知する。関係監督機関の最終決定は、第60条第7項、第8項及び第9項条件に基づいて採択される。最終決定書は、本条第1項に規定する決定書を参照するものとし、かつ、同項に規定する決定書が本条の第5項に従って委員会のWebサイト上で公表されることを表記する。最終決定書は、本条第1項に規定する決定書を添付する。

1.　関係監督機関が、データ主体の権利及び自由を保護するために緊急の必要があると判断する例外的な状況において、その監督機関は、第63条、第64条及び第65条に規定する一貫性メカニズムからの特例により、又は、第60条に規定する手続からの特例により、直ちに、3か月を超えない指定された有効期限で、当該監督機関の加盟国の領土上において法的効力を発生させる意図で、暫定的な措置を採択できる。その監督機関は、遅滞なく、他の関係監督機関、欧州データ保護会議及び欧州委員会に対し、当該措置及びその措置を採択する理由を送付する。

2.　監督機関が第1項による措置を講じ、かつ、確定的な措置を緊急に採択する必要があると判断するときは、その意見又は決定を求める理由を付して、欧州データ保護会議から緊急の意見又は緊急の拘束力のある決定を求めることができる。

3.　データ主体の権利及び自由を保護するために緊急に行動する必要性のある状況において、職務権限をもつ監督機関が適切な措置を講じなかった場合、事案に応じて、いかなる監督機関も、欧州データ保護会議に対し、行動すべき緊急の必要性に関するものを含め、そのような意見又は決定を求める理由を付して、緊急の意見又は緊急の拘束力のある決定を求めることができる。

4.　第64条第3項及び第65条第2項からの特例により、本条の第2項及び第3項に規定する緊急の意見及び緊急の拘束力のある決定は、欧州データ保護会議の構成員の単純多数決により、2週間以内に採択される。

欧州委員会は、監督機関の間及び監督機関と欧州データ保護会議との間で、電子的な手段による情報交換のための覚書を定めるため、とりわけ、第64条に規定する標準的なフォーマットに関し、一般的な適用範囲の実装行為を採択することができる。

　この実装行為は、第93条第2項に規定する審議手続に従って採択される。

1.　欧州データ保護会議(「欧州データ保護会議」)は、ここに、EUの組織として設置され、そして、法人格をもつ。

2.　欧州データ保護会議は、その議長によって代表される。

3.　欧州データ保護会議は、各加盟国につき1の監督機関の長及び欧州データ保護監察機関、又は、それらのそれぞれの代理人によって構成される。

4.　1つの加盟国内において複数の監督機関が本規則による条項適用の監視について職責を負う場合、当該加盟国の国内法に従い、共同代理人が任命される。

5.　欧州委員会は、議決権なく、欧州データ保護会議の活動及び会合に参加する権利を有する。欧州委員会は、代理人を任命する。欧州データ保護会議の議長は、欧州委員会に対し、欧州データ保護会議の活動を連絡する。

6.　第65条に規定する場合において、欧州データ保護監察機関は、本規則上の組織と実質的に対応するEUの機関、組織、事務局及び部局に対して適用される基本原則及び規定に関する決定についてのみ、議決権をもつ。

1.　欧州データ保護会議は、第70条及び第71条による職務を遂行し、又は、その権限を行使する際、独立して行動する。

2.　第70条第1項(b)及び第70条第2項に規定する欧州委員会からの要請を妨げることなく、欧州データ保護会議は、その職務を遂行し、又は、その権限を行使する際、誰に対しても指示を求めることがなく、誰からも指示を受けることがない。

1.　欧州データ保護会議は、本規則の一貫性のある適用を確保する。その目的のために、欧州データ保護会議は、欧州データ保護会議自身の発意により、又は、それが適切なときは、欧州委員会の要請により、とりわけ:

(a)国内監督機関の職務を妨げることなく、第64条及び第65条に定める場合において、本規則の適正な適用を監視し、かつ、それを確保する;

(b)本規則の改正提案を含め、EU域内における個人データ保護と関連する問題に関し、欧州委員会に対して助言する;

(c)管理者、処理者及び監督機関の間における拘束的企業準則に関する情報交換のためのフォーマット及び手続に関し、欧州委員会に対して助言する;

(d)個人データへのリンク、そのコピー又は複製物を、第17条第2項に規定する公衆が利用可能な通信サービスから削除するための手順に関する運用指針、勧告及びベストプラクティスを発行する;

(e)自らの発意により、又は、欧州データ保護会議の構成員の一員若しくは欧州委員会からの要請に応じて、本規則の適用の範囲内にある全ての問題について検討し、かつ、本規則の一貫性のある適用を奨励するための運用指針、勧告及びベストプラクティスを発行する;

(f)第22条第2項によるプロファイリングに基づく決定のための基準及び条件の細目を定めるために、本項(e)に従い、運用指針、勧告及びベストプラクティスを発行する;

(g)第33条第1項及び第2項に規定する個人データ侵害の判断及び不当な遅延の判断に関し、並びに、管理者又は処理者が個人データ侵害の通知を求められる特定の状況に関し、本項(e)に従い、運用指針、勧告及びベストプラクティスを発行する;

(h)第34条第1項に規定する個人データ侵害が自然人の権利及び自由に対する高いリスクをもたらす可能性のある状況に関し、本項(e)に従い、運用指針、勧告及びベストプラクティスを発行する;

(i)管理者によって遵守される拘束的企業準則及び処理者によって遵守される拘束的企業準則に基づく個人データの移転のための基準及び要件の細目を定める目的のために、並びに、第47条に規定する関係するデータ主体の個人データの保護を確保するための必要な別の要件に関し、本項(e)に従い、運用指針、勧告及びベストプラクティスを発行する;

(j)第49条第1項に基づく個人データの移転のための基準及び要件の細目を定める目的のために、本項(e)に従い、運用指針、勧告及びベストプラクティスを発行する;

(k)第58条第1項、第2項及び第3項に規定する措置の適用、並びに、第83条による行政罰の量刑に関し、監督機関のための運用指針を策定する;

(l)(e)及び(f)に規定する運用指針、勧告及びベストプラクティスの実務上の適用を見直す;

(m)第54条第2項による本規則の違反行為の自然人による通報のための共通の手続を設けるため、本項(e)に従い、運用指針、勧告及びベストプラクティスを発行する;

(n)行動規範の作成、並びに、第40条及び第42条によるデータ保護認証方法、データ保護シール及びデータ保護マークを設けることを推進する;

(o)認証機関の認定、及び、第43条によるその定期的な見直しを行い、並びに、第43条第6項により認定された認証機関の公的記録を維持管理し、第42条第7項により第三国内で設立され、認定された管理者又は処理者の公的記録を維持管理する;

(p)第42条に基づく認証機関の認定のため、第43条第3項に規定する要件の細目を定める;

(q)欧州委員会に対し、第43条第8項に規定する認証の要件に関する意見を提供する;

(r)欧州委員会に対し、第12条第7項に規定するアイコンに関する意見を提供する;

(s)欧州委員会に対し、第三国、第三国内の地域若しくは一つ若しくは複数の特定の部門又は国際機関が十分なレベルの保護を確保しなくなったか否かの評価に関するものを含め、第三国又は国際機関における保護のレベルの十分性の評価に関する意見を提供する。この目的のために、欧州委員会は、欧州データ保護会議に対し、第三国の政府との書簡のやりとりを含め、当該第三国、第三国内の地域若しくは特定の部門又は国際機関と関連する全ての必要な文書を提供する;

(t)第64条第1項に規定する一貫性メカニズムにより、監督機関の決定案に関し、及び、第64条第2項により付託された事項に関する意見を発し、並びに、第66条に規定する場合を含め、第65条により拘束力のある決定を発する;

(u)監督機関の間における協力並びに二国間又は多国間の効果的な情報交換及びベストプラクティスの交換を促進する;

(v)共通の訓練計画を促進し、並びに、監督機関の間の、及び、それが適切であるときは、第三国の監督機関との間又は国際機関との間の人材交流を容易にする;

(w)世界各国のデータ保護監督機関との間で、データ保護立法及びその実務に関する知識及び文書の交換を促進する;

(x)第40条第9項によるEUレベルにおける行動規範の策定に関し、意見書を発行する;並びに、

(y)一貫性メカニズムの中で取り扱われた問題に関する監督機関及び裁判所による判断についての公衆がアクセス可能な電子的記録を維持管理する。

2.　欧州委員会が欧州データ保護会議からの助言を求める場合、その事項緊急性を考慮に入れた上で、回答期限を指示できる。

3.　欧州データ保護会議は、欧州委員会及び第93条に規定する委員会に対し、合理的な期間内に、その意見書、運用指針、勧告及びベストプラクティスを転送し、かつ、それらを公表する。

4.　欧州データ保護会議は、それが適切なときは、利害関係者と協議し、そして、合理的な期間内にそれらの者が意見を述べる機会を与える。欧州データ保護会議は、第76条を妨げることなく、その協議手続の結果を公衆が利用可能なものとする。

1.　欧州データ保護会議は、EU域内における取扱い、並びに、それが適切なときは、第三国内及び国際機関内における取扱いと関連する自然人の保護に関する年次報告書を作成する。この報告書は、公表され、かつ、欧州議会、理事会及び欧州委員会に対して送付される。

2.　その年次報告書は、第70条第1項(l)に規定する運用指針、勧告及びベストプラクティス並びに第65条に規定する拘束力のある決定の実際の適用の見直しを含める。

1.　欧州データ保護会議は、本規則に別の定めがない限り、単純多数決により議決を行う。

2.　欧州データ保護会議は、委員会の構成員の3分の2の多数決により自身の手続規則を採択し、そして、自らの業務覚書を作成する。

1.　欧州データ保護会議は、単純多数決により、構成員の中から1名の議長及び2名の副議長を選任する。

2.　議長及び副議長の任期は5年とし、1度だけ再任されうる。

(a)欧州データ保護会議の会合を招集し、その議題を準備すること;

(b)主監督機関及び関係監督機関に対し、第65条により欧州データ保護会議によって採択された決定を通知すること;

(c)とりわけ、第63条に規定する一貫性メカニズムと関連して、欧州データ保護会議の職務の適時な遂行を確保すること。

2.　欧州データ保護会議は、その手続規則中において、議長と副議長との間の職務分担を定める。

1.　欧州データ保護会議は、事務局をもつ。それは、欧州データ保護監察機関から提供される。

2.　事務局は、欧州データ保護会議の議長の指示のみに基づいて、その職務を遂行する。

3.　本規則によって欧州データ保護会議に与えられる職務の遂行に関与する欧州データ保護監察機関の職員は、欧州データ保護監察機関に与えられた職務の遂行に関与する職員とは区別された指揮命令系統の下に置かれる

4.　それが適切なときは、欧州データ保護会議及び欧州データ保護監察機関は、本条を実装し、それらの協力の条件を定め、そして、本規則によって欧州データ保護会議に与えられる職務の遂行に関与する欧州データ保護監察機関の職員に適用される了解覚書を定め、それを刊行する。

5.　事務局は、欧州データ保護会議に対して、分析、業務運営及び庶務に関する支援を提供する。

(b)欧州データ保護会議の構成員、議長及び欧州委員会の間の連絡;

(d)内部の連絡及び外部との連絡のための電子的な手段の利用;

(g)欧州データ保護会議によって採択される監督機関の間の対立の解決に関する意見書、決定書、並びに、それら以外の文書の準備、起草及び刊行。

1.　欧州データ保護会議における討議は、欧州データ保護会議がそれを必要と認める場合、欧州データ保護会議の手続規則に定めるところに従い、秘密のものとされる。

2.　欧州データ保護会議の構成員、専門委員及び第三者の代理人に対して送付された文書へのアクセスは、欧州議会及び理事会の規則(EC)No1049/2001＊３＊によって規律される。

1.　他の行政上の救済又は司法上の救済を妨げることなく、全てのデータ主体は、そのデータ主体が、自己と関係する個人データの取扱いが本規則に違反すると判断するときは、特に、データ主体の居住地の加盟国、就業場所の加盟国又は違反行為があると主張する場所の加盟国において、監督機関に異議を申立てる権利を有する。

2.　異議の申立てを受けた監督機関は、その異議申立人に対し、第78条による司法救済の可能性を含め、異議の進捗状況及び結果に関し、情報提供する。

第78条　監督機関を相手方とする効果的な司法救済の権利

1.　他のいかなる行政上の救済又は裁判外の救済をも妨げることなく、個々の自然人又は法人は、それらの者に関する監督機関の法的拘束力のある決定を不服として、効果的な司法救済を得る権利を有する。

2.　他のいかなる行政上の救済又は裁判外の救済をも妨げることなく、第55条及び第56条により管轄権をもつ監督機関が異議を取り扱わない場合、又は、第77条により申立てられた異議の進捗状況若しくは結果に関し、データ主体に対して3か月以内に情報提供しない場合、個々のデータ主体は、効果的な司法救済を得る権利を有する。

3.　監督機関を相手方とする訴訟手続は、その監督機関が設けられている加盟国の裁判所において提起されるものとする。

4.　一貫性メカニズムの中における委員会の意見又は決定の後の監督機関の決定を不服として訴訟手続が提起される場合、その監督機関は、裁判所に対し、その意見書又は決定書を転送する。

第79条　管理者又は処理者を相手方とする効果的な司法救済の権利

1.　第77条により監督機関に異議を申立てる権利を含め、利用可能な行政上の救済又は裁判外の救済を妨げることなく、個々のデータ主体は、自ら、本規則を遵守せずに自己の個人データの取扱いがなされた結果として本規則に基づく自己の権利が侵害されたと判断するときは、効果的な司法救済の権利を有する。

2.　管理者又は処理者を相手方とする訴訟手続は、管理者又は処理者が拠点をもつ加盟国の裁判所において提起されるものとする。その管理者又は処理者がその公権力の行使において行動する加盟国の公的機関である場合を除き、代替的なものとして、データ主体が自身の居住地のある加盟国の裁判所において、そのような訴訟手続を提起できる。

1.　データ主体は、加盟国の国内法に従って適正に組織され、公共の利益に属する制定法上の目的をもち、かつ、データ主体の個人データの保護と関連するデータ主体の権利及び自由の保護の分野において活動する非営利の組織、団体又は協会に対し、自身の代わりに異議を申立てること、自身の代わりに第77条、第78条及び第79条に規定する権利を行使すること、並びに、加盟国の国内法が定めている場合、自身の代わりに第82条に規定する賠償金を受ける権利の行使を委任する権利を有する。

2.　加盟国は、本条の第1項に規定する組織、団体又は協会が、データ主体の委任とは独立に、当該加盟国内において、第77条により管轄権をもつ監督機関に異議を申立てる権利、及び、取扱いの結果として本規則に基づくデータ主体の権利が侵害されたと判断する場合、第78条及び第79条に規定する権利を行使する権利を有することを定めることができる。

1.　加盟国の管轄権をもつ裁判所が、同じ管理者又は処理者の取扱いと関連する同じ訴訟原因と関係する訴訟手続が別の加盟国の裁判所に係属しているという情報をもつときは、その裁判所は、そのような訴訟の存在を確認するため、当該別の加盟国の裁判所と連絡をとる。

2.　同じ管理者又は処理者の取扱いと関連する同じ訴訟原因と関係する訴訟手続が別の加盟国の裁判所に係属している場合、最初に訴えの提起のあった裁判所以外の管轄権をもつ裁判所は、その訴訟手続の進行を停止できる。

3.　それらの訴訟手続が第一審として係属している場合、最初に訴訟係属した裁判所が当の訴訟手続に関する管轄権をもっており、かつ、その加盟国の国内法が訴訟事件の併合を認めているときは、最初に訴訟係属した裁判所以外の裁判所は、いずれかの当事者からの申立てにより、その管轄権を劣後させることもできる。

1.　本規則の違反行為の結果として財産的な損害又は非財産的な損害を被った者は、管理者又は処理者から、その被った損害の賠償を受ける権利を有する。

2.　取扱いに関与した管理者は、本規則に違反する取扱いによって発生した損害に関し、法的責任を負う。処理者は、処理者に対して特に課される本規則上の義務をその処理者が遵守しなかった場合、又は、管理者の適法な指示の範囲外で処理者が行動した場合、若しくは、その指示に反して行動した場合においてのみ、取扱いによって発生した損害に関し、法的責任を負う。

3.　管理者又は処理者は、その損害を生じさせた出来事に関し、いかなる意味においても責任を負わないことを証明したときは、第2項に基づく法的責任を免れる。

4.　複数の管理者若しくは処理者が同一の取扱いに関与し、又は、管理者及び処理者が共に同一の取扱いに関与しており、かつ、第2項及び第3項に基づき、それらの者が取扱いによって生じた損害に対して責任を負う場合、データ主体の効果的な損害賠償を確保するため、個々の管理者及び処理者は、それぞれ、損害全部に関して法的責任を負う

5.　管理者又は処理者が、第4項に従い、被った損害に関し、賠償金全額を支払ったときは、その管理者又は処理者は、第2項に定める条件に従い、その損害に関して責任のある部分に対応する賠償分担部分について、同一の取扱いに関与した他の管理者又は処理者に対して求償請求する権利を有する。

6.　損害賠償を受ける権利を行使するための裁判所の手続は、第79条第2項に規定する加盟国の国内法に基づく管轄権をもつ裁判所において行われる。

1.　各監督機関は、第4項、第5項及び第6項に規定する本規則の違反行為に関し、本条による制裁金を科すことが、個々の案件において、効果的であり、比例的であり、かつ、抑止力のあるものであることを確保する。

2.　制裁金は、個々の案件の事情に応じて、第58条第2項(a)から(h)及び(j)に規定する措置に加えて、又は、その措置に代えて、科される。個々の案件において、制裁金を科すか否かを判断する場合、及び、制裁金の額を判断する場合、以下の事項を適正に考慮に入れる:

(a)関係する取扱いの性質、範囲及び目的を考慮に入れた上で、違反行為の性質、重大性及び持続期間、並びに、その違反行為によって害を受けたデータ主体の人数及びデータ主体が被った損害の程度;

(c)データ主体が被った損失を軽減するために管理者又は処理者によって講じられた措置;

(d)第25条及び第32条により管理者又は処理者によって実装された技術上及び組織上の措置を考慮に入れた上で、管理者又は処理者の責任の程度;

(f)違反を解消するための、及び、違反の潜在的な悪影響を低減させるための、監督機関との協力の程度;

(h)その違反が監督機関の知るところとなった態様、とりわけ、その管理者又は処理者がその違反を通知したのかどうか、及び、通知した場合、どの範囲で通知したのか;

(i)関係する管理者又は処理者に対し、同じ事項に関して、第58条第2項に規定する措置が過去に命じられていた場合、それらの措置の遵守;

(j)第40条による承認された行動規範の遵守、又は、第42条による承認された認証方法の遵守;並びに、

(k)その違反行為から直接又は間接に得た財産的な利益若しくは回避された損失のような、その案件の事情に適用可能な上記以外の悪化要素又は軽減要素。

3.　管理者又は処理者が、故意又は過失により、同じ取扱業務又は関連する取扱業務に関し、本規則の複数の条項に違反する場合、その制裁金の総額は、その最も重い違反行為に関して定められた額を超えることができない。

4.　以下の条項違反行為は、第2項に従い、1000万ユーロ以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の2%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする:

(a)第8条、第11条、第25条から第39条並びに第42条及び第43条による管理者及び処理者の義務;

5.　以下の条項違反行為は、第2項に従い、2000万ユーロ以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の4%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする:

(a)同意の条件を含め、第5条、第6条、第7条及び第9条による取扱いの基本原則;

(c)第44条から第49条による第三国内又は国際機関内の取得者に対する個人データの移転;

(d)第9章に基づいて採択された加盟国の国内法による義務;

(e)第58条第2項による監督機関からの命令、取扱いの一時的な制限若しくは恒久的な制限又はデータ移転の停止の不服従、又は、第58条第1項に違反するアクセスの不提供。

6.　第58条第2項に規定する監督機関の命令に対する不服従は、本条第2項に従い、2000万ユーロ以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の4%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする。

7.　第58条第2項による監督機関の是正権限を妨げることなく、各加盟国は、当該加盟国内に設けられている公的機関及び公的組織に対して制裁金を科すか否か、並びに、その範囲に関する法令を定めることができる。

8.　本条に基づく監督機関による権限の行使は、効果的な司法救済及び適正手続を含め、EU法及び加盟国の国内法に従い、適切な手続上の保護措置に服する。

9.　加盟国の法制度が制裁金を定めていない場合、法的救済措置が効果的なものであり、かつ、監督機関によって科される制裁金と均等な効果をもつことを確保しつつ、その罰金が、所轄監督機関によって開始され、かつ、国内管轄裁判所によって科されるような態様で、本条を適用できる。いかなる場合においても、科される罰金は、効果的であり、比例的であり、かつ、抑止力のあるものとする。それらの加盟国は、欧州委員会に対し、2018年5月25日までに、本項により採択するそれらの加盟国の国内法の条項を通知し、かつ、遅滞なく、その後の改正法又はそれらの条項に影響を与える改正を通知する。

1.　加盟国は、本規則の違反行為、とりわけ、第83条による制裁金に服さない違反行為に適用可能な別の制裁に関する法令を定め、かつ、その法令が実装されることを確保するために必要となる全ての措置を講ずる。その制裁は、効果的であり、比例的であり、かつ、抑止力のあるものとする。

2.　各加盟国は、欧州委員会に対し、2018年5月25日までに、第1項により採択した加盟国の国内法の条項を通知し、かつ、遅滞なく、それらの条項に影響を与えるその後の改正を通知する。

1.　加盟国は、法律によって、本規則による個人データ保護の権利と、報道の目的のための取扱い、及び、学術上、芸術上又は文学上の表現の目的のための取扱いを含め、表現の自由及び情報伝達の自由の権利との調和を保つ。

2.　報道の目的、又は、学術上の表現、芸術上の表現又は文学上の表現の目的のために行われる取扱いに関し、加盟国は、個人データの保護の権利と表現の自由及び情報伝達の自由との調和を保つ必要がある場合、第2章(基本原則)、第3章(データ主体の権利)、第4章(管理者及び処理者)、第5章(第三国及び国際機関への個人データの移転)、第6章(独立監督機関)、第7章(協力と一貫性)及び第9章(特別のデータ取扱いの状況)の例外又は特例を定める。

3.　各加盟国は、欧州委員会に対し、第2項に従って加盟国が採択した加盟国の国内法の条項を通知し、かつ、遅滞なく、その後の改正法又はそれらの条項に影響を与える改正を通知する。

　公的機関若しくは公的組織によって、又は、公共の利益において行われる職務の遂行のために民間組織によって保有される公文書の中にある個人データは、公文書への公衆のアクセスと本規則による個人データの保護の権利との調和を保つため、公的機関又は組織が服するEU法又は加盟国の国内法に従い、その機関又は組織から開示できる。

　加盟国は、国民識別番号又はそれ以外の一般に利用されている識別子の取扱いのための特別の条件を別に定めることができる。その場合、国民識別番号又はそれ以外の一般に利用されている識別子は、本規則によるデータ主体の権利及び自由のための適切な保護措置の下においてのみ、これを用いることができる。

1.　雇用の過程における労働者の個人データの取扱いと関係する権利及び自由の保護、とりわけ、求人、法律又は団体協約に定める義務の遂行を含む労働契約の履行、仕事の管理、企画及び編成、職場における平等と多様性、職場における健康と安全、労働者の財産又は顧客の財産の保護の目的、及び、個人ベース及び集団ベースで、雇用と関連する権利及び利益の行使及び享受の目的、並びに、雇用関係の終了の目的のための取扱いと関係する権利及び自由の保護を確保するため、加盟国は、法律又は団体協約によって、より細目的な規定を定めることができる。

2.　それらの規定は、とりわけ、取扱いの透明性、企業グループ又は共同で経済活動に従事する企業グループ内における個人データの移転、並びに、職場における監視システムに関し、データ主体の人間の尊厳、正当な利益及び基本的な権利を保護するための適切かつ個別の措置を含む。

3.　各加盟国は、欧州委員会に対し、2018年5月25日までに、第1項に従って採択した加盟国の国内法の条項を通知し、かつ、遅滞なく、それらの条項に影響を与えるその後の改正を通知する。

第89条　公共の利益における保管の目的、科学調査若しくは歴史調査の目的又は統計の目的のための取扱いと関連する保護措置及び特例

1.　公共の利益における保管の目的、科学調査若しくは歴史調査の目的又は統計の目的のための取扱いは、本規則に従い、データ主体の権利及び自由のための適切な保護措置に服する。それらの保護措置は、とりわけ、データの最小化の原則に対する尊重を確保するため、技術的及び組織的な措置を設けることを確保する。それらの措置は、それらの目的がそのような態様で充足されうる限り、仮名化を含むことができる。データ主体の識別を許容しない又は許容することのない別の目的による取扱いによってそれらの目的が充足されうる場合、それらの目的は、その態様によって充足される。

2.　個人データが科学調査若しくは歴史調査の目的又は統計の目的で取扱われる場合、EU法又は加盟国の国内法は、そのような権利が、個別具体的な目的を達成できないようにしてしまうおそれがある場合、又は、その達成を深刻に阻害するおそれがある場合であり、かつ、そのような特例がそれらの目的を果たすために必要である場合に限り、本条第1項に規定する条件及び保護措置に従い、第15条、第16条、第18条及び第21条に規定する権利の特例を定めることができる。

3.　個人データが公共の利益における保管の目的のために取扱われる場合、EU法又は加盟国の国内法は、そのような権利が、個別具体的な目的を達成できないようにしてしまうおそれがある場合、又は、その達成を深刻に阻害するおそれがある場合であり、かつ、そのような特例がそれらの目的を果たすために必要である場合に限り、本条第1項に規定する条件及び保護措置に従い、第15条、第16条、第18条、第19条、第20条及び第21条に規定する権利の特例を定めることができる。

4.　第2項及び第3項に規定する取扱いが、同時に他の目的のためにも供される場合、その特例は、それらの項に規定する目的のための取扱いのみに適用される。

1.　加盟国は、個人データの保護の権利と守秘義務との調和を保つために必要かつ比例的である場合、EU法若しくは加盟国の国内法又は職務権限をもつ国内組織によって定められた規則に基づき、職務上の守秘義務又はそれに類する守秘義務に服する管理者又は処理者と関係する第58条第1項(e)及び(f)に規定する監督機関の権限を定める特別の法令を採択できる。それらの法令は、管理者又は処理者がその守秘義務の適用のある行為の結果として取得し、又は、その行為の中で得た個人データに関してのみ、適用される。

2.　各加盟国は、欧州委員会に対し、2018年5月25日までに、第1項に従って採択した規定を通知し、かつ、遅滞なく、それらの規定に影響を与えるその後の改正を通知する。

1.　加盟国内おいて、本規則が発効する時点で、教会及び宗教団体若しくは宗教上の集団が、取扱いに関する自然人の保護と関連する包括的な法令を適用している場合、そのような法令は、本規則に調和している限り、引き続き適用できる。

2.　本条の第1項に従って包括的な法令を適用する教会及び宗教団体は、独立の監督機関の監督に服する。それは、本規則の第6章に定める条件を満たす限り、特別のものとしうる。

1.　委任される行為を採択する権限は、本条に定める条件に従い、欧州委員会に対して与えられる。

2.　第12条第8項及び第43条第8項に規定する権限の委任は、2018年5月24日から不定期間で、欧州委員会に対して与えられる。

3.　第12条第8項及び第43条第8項に規定する権限の委任は、欧州議会又は理事会によって、いつでも、取消されうる。取消しの決定は、その決定の中に示される権限の委任を終了させる。この決定は、EU官報でそれが公示された日の翌日、又は、遅くともその決定の中で示される日に発効する。この決定は、既に発効している委任される行為の有効性を害さない。

4.　欧州委員会は、委任される行為の採択後、直ちに、欧州議会及び理事会に対し、同時に、そのことを通知する。

5.　第12条第8項及び第43条第8項に従って採択された委任される行為は、欧州議会及び理事会に対する通知の日から3か月以内に欧州議会又は理事会のいずれからも何らの異議も表明されなかった場合、又は、その期間が経過する前に、欧州議会及び理事会の両者から異議を述べない旨が欧州委員会に対して通知された場合においてのみ、発効する。この期間は、欧州議会又は理事会からの発意により、3か月間延長される。

1.　欧州委員会は、委員会によって補佐される。この委員会は、規則(EU)No182/2011の意味における委員会である。

2.　本項への参照がある場合、規則(EU)No182/2011の第5条が適用される。

3.　本項への参照がある場合、規則(EU)No182/2011の第8条が同規則の第5条と共に適用される。

1.　指令95/46/ECは、2018年5月25日から効力を生ずるものとして、廃止される。

2.　廃止される指令への参照は、本規則への参照として解釈される。指令95/46/ECの第29条によって設置された個人データの取扱いと関連する個人の保護に関する作業部会に対する参照は、本規則によって設置される欧州データ保護会議への参照として解釈される。

　本規則は、EU域内にある公衆通信ネットワークにおける公衆が利用可能な電子通信サービスの提供と関連する取扱いと関係する自然人又は法人に対し、指令2002/58/ECにおいて同じ目的で定められ、特別な義務として服する事柄に加え、追加的な義務を課すものではない。

　第三国又は国際機関に対する個人データの移転を含む国際協定であって、2016年5月24日より以前に加盟国によって締結され、かつ、その日よりも前に適用可能なEU法に適合するものは、それが改正され、置き換えられ、又は、廃止されるまでの間、その有効性を維持する。

1.　2020年5月25日までに、その後は4年毎に、欧州委員会は、欧州議会及び理事会に対し、本規則の評価及び見直しに関する報告書を送付する。その報告書は、公表される。

2.　第1項に規定する評価及び見直しの過程において、欧州委員会は、とりわけ、以下の事柄の適用及び有効性を検討する:

(a)本規則の第45条第3項によって採択される決定及び指令95/46/ECの第25条第6項に基づいて採択される決定と特に関連して、第三国又は国際機関に対する個人データの移転に関する第5章;

3.　第1項目的のために、欧州委員会は、加盟国及び監督機関から情報提供を求めることができる。

4.　第1項及び第2項に規定する評価及び見直しを行う際、欧州委員会は、欧州議会、理事会及びそれ以外の関連組織又は情報源からの意見書及び決議書を考慮に入れる。

5.　欧州委員会は、必要があるときは、とりわけ、情報技術の発展を考慮に入れ、かつ、情報社会における進歩の状況に照らし、本規則を改正するための適切な提案書を送付する。

第98条　データ保護に関するEUの他の法的行為の見直し

　欧州委員会は、それが適切なときは、取扱いと関連する自然人の統一的で一貫性のある保護を確保するため、個人データの保護に関する他のEUの法的行為を改正するための立法の提案書を送付する。これは、EUの機関、組織、事務局及び部局による取扱いと関連する自然人の保護並びにそのデータの自由な移動に関する規則と特に関係するものである。

1.　本規則は、EU官報上で公示された翌日から20日目の日に発効する。

本規則は、その全部について拘束力があり、かつ、全ての加盟国において直接に適用可能である。

｛＊１＊　技術標準の分野における情報の提供のための手続及び情報社会サービスに関する規則を定める欧州議会及び理事会の2015年9月9日の指令(EU)2015/1535(OJL241,17.9.2015,p.1)｝
｛＊２＊　製品のマーケティングと関連する認定及び市場調査の要件を定め、規則(EEC)No339/93を廃止する欧州議会及び理事会｝
の2008年7月9日の規則(EC)No765/2008（OJL218,13.8.2008,p.30）
｛＊３＊　欧州議会、理事会及び欧州委員会の文書に対する公衆のアクセスに関する欧州議会及び理事会の2001年5月30日の規則(EC)No1049/2001（OJL145,31.5.2001,p.43）｝