一般データ保護に関するEU規則をスペイン国内法令化するための緊急措置として、2018年7月27日付勅令法第27号が閣議にて承認され、同月31日に施行された。
本勅令法は、個人データに関する個人の保護および同データの自由な移動に関する欧州議会及び欧州理事会の2016年4⽉27⽇規則第2016/679号(以下「本件EU規則」とする)の規定のうち、スペイン国内の基本法に規定が存在せず、かつ、その法制度化をこれ以上延期すべきではない条項を国内法令化することを目的としている。
本件EU規則は、2018年5月25日以降スペイン国内にて完全に適用開始となり、したがって本件EU規則に定められている条項に反する全てのスペイン国内法令が廃止となった。
前述のEU一般データ保護規則(現在手続き過程にある)を採用するスペイン基本法に影響を与えることなく、今回承認された勅令法の条項は、以下の措置を緊急に採択することを認めている。
1)データ保護に関する監査
データ保護の遵守状況の監査を目的として、本勅令法は、監査の実行に適した人材について規定する。同法は、当該監査を実施権限は、スペインデータ保護局に勤務する職員(公務員)、又は、他の公務員のうち監査権限を有することを明示的に示すことができる者によって行使される旨、定められた。これらの公務員は、職務の実行において知りうる情報の秘密を保持する義務を持つ。
2)刑事処分制度
新勅令法は、データ管理の責任者、同責任者の代理人、又はEU域内において確立されていないデータの取り扱い職務につく者、証明機関、及び行動規範を監督する認定を受けた機関に対する刑事処分についても言及する。
更に、EU規則では企業による違反があったと判断した場合には、第83条第4、5及び6項においてそれぞれ、1千万ユーロ、2千万ユーロ、又は当該企業の直近事業年度の全世界の売上高の4%の罰金とそれぞれの時効を規定するが、新勅令法も同規定を含む。
3)データ保護規制違反の可能性がある場合の手続き
本勅令法は、手続き開始方法と手続き期間、請求の手続き受付、手続きの範囲地の決定、調査前の事前手続き、制裁措置発動のための手続きを開始する合意書、及び暫定措置についても言及している。
最後に新勅令法は、欧州委員会におけるスペイン代表としてスペインデータ保護局を任命している。
エステル・ウゴ (Hugo Ester)
ヴィラ法律事務所
詳細な情報につきましては下記までご連絡ください。
2018年8月10日