RevFADPがスイス国外の企業に与える影響、具体的には「適用範囲の拡大」、「現地代理人」、「罰金の可能性」について理解することは、データコンプライアンス対応を進める上で重要な項目になります。 | Prighter
ニュース
注意事項: この記事は、英語から自動翻訳されています。原文については、英語の記事をご覧ください。一部の自動翻訳が不自然な場合がありますが、予めご理解いただけますようお願い申し上げます。
Picture

スイスの改正連邦データ保護法への準備はお済みですか? スイス国外企業への影響

Charlotte Mason, Andreas Maetzler

改正スイス連邦データ保護法(RevFADP)が2023年9月1日に施行となります。1992年版からのアップグレードにより、スイスのデータ保護体制はGDPRの規定との整合性が高まりました。スイスで事業を行う非スイス企業には、スイスの代理人を任命する義務をはじめとする、より厳格な義務が新たに導入されます。また、データ主体の権利へのコミットメントや、データ侵害発生時の報告に関する新たな要件も重視され、企業はこれらに対応する必要があります。本記事では、これらの変化がスイス国外の企業に与える主な影響を見ていきます。

適用範囲の拡大

RevFADPは、GDPRからヒントを得て、スイスのデータ保護制度の適用地域を大幅に拡大し、世界中の企業がスイスの個人情報保護に責任を持ち続けることを保証します。しかし、RevFADPの域外適用範囲は、国外からの活動であってもスイス国内に影響を及ぼす状況には適用されるという点で、欧州データ保護法の適用範囲よりも広いです。つまり、スイスの監督当局であるFDPICは、スイス国内に影響を及ぼすあらゆる活動に関して、たとえそのような影響がスイス国外で生じたとしても、RevFADPを施行する権限を有するということになります。これは、GDPRと同様、スイスの個人を対象とした商品やサービスを提供する組織や、その行動を監視する組織は、RevFADPの要件を遵守しなければならないことを意味します。さらに、スイスにあるサーバーに個人データを保存している組織は、スイスの新しいデータ保護法の適用を受けることになります。

スイスにおける代理人選任の新たな義務

RevFADPの域外適用に該当する組織にとって重要な変更点は、スイスにおける代理人の選任という新たな義務です。このような要件は、スイスに法人所在地を持たない組織がスイスにいる個人の個人情報を処理し、その処理活動が以下に関連している場合に対象となります。

  • 商品またはサービスの提供(「ターゲティング」)、または行動監視(「モニタリング」)
  • 加えて、そのようなデータ処理が
    • 大規模である場合
    • 定期的に取り扱われる場合
    • データ主体に高いリスクをもたらす場合

スイス代理人の選任義務はGDPRに触発されたものであることに間違いはないですが、相違点もあります。主な違いは以下の2点です。

  • 現地の管理者とみなされる組織体系の違い。RevFADPでは “企業所在地” (corporate seat)、GDPRでは拠点(establishment)。
  • RevFADPでは、データ処理が大規模、定期的、高リスクであることが適用基準であるのに対しGDPRではこれらの条件が逆転して、例外として規定されています。

GDPRの下での拠点(establishment)は、例えば支店や事務所のような安定したものを指し、「企業の設立」は必ずしも必要ではありません。対照的に、RevFADPの文言では法人の席(corporate seat)が必要であり、非公式な英語訳ではこれが「登録された事務所」とされています。

現在のところ、どのような組織体系の場合にスイスで代理人を選任する必要がないかを明確にするための解説文献は存在していません。文言では、個別の事務所または登録事務所として少なくとも何らかの登録が必要であると示しており、これがRevFADPの下での代理人の選任要件がGDPRよりも広範である理由になります。スイスに法人を有する企業は、その子会社を代理人に指名することもできますが、その前に子会社がスイスのデータ保護に関する対応項目を適切に処理できるか検討が必要になります。

一方で、「データの取り扱い」に関する追加的な要件は、データの取り扱いが活発でリスクのあるビジネスモデルを対象としているため、対象範囲を狭めています。これとは対照的に、GDPRの下では同じ免除基準が適用されることはほとんどありません。

スイス代理人についての詳細はこちらをご覧ください。

代理人の役割

スイスの代理人の役割は、明らかにGDPRから進化しています。代理人は、スイスのデータ主体やスイスの監督機関(FDPIC)にとっての現地で問い合わせ可能な連絡先として存在します。代理人は公的に選任されるべきであり、RevFADPはデータ主体が代理人を介して自らの権利を容易に行使できるようにするため、管理者が選任した代理人の名前と住所を公開することを求めています。RevFADPにはGDPRのように、この情報を管理者のプライバシーポリシーに含める明示的な要件はありませんが、プライバシーポリシーは明らかに代理人の情報を開示できる場所の1つです。代理人選任の要件の導入は、1992年のスイスのデータ保護法と比較してRevFADPの下で規定されたデータ主体の権利がより広範になったことを反映しており、個人が自分の個人情報を引き続き管理できるようにすることに重点が置かれていることを強調しています。代理人はデータ主体に対して権利の行使方法に関する情報を提供し、スイス外の管理者に対してそのような要求を通知することを可能にし、スイス人個人の権利を維持できるようにする必要があります。

このため、代理人はスイスに拠点を置く企業またはそこに住む個人である必要があります。郵便受けを設置するという方法では代理人の役割を果たすことはできず、代理人選任の要件を満たすのに適していません。

スイス以外の組織とFDPICとの間のコミュニケーションの円滑化を確保することに加え、代理人は管理者の処理活動の記録を管理する責任を負い、要求に応じて監督当局にこれらを提供することが求められます。

データ侵害に関する新しい規定

新しいデータ侵害通知の要件により、データ管理者は、侵害がデータ主体の個性または基本的な権利に重大なリスクをもたらす可能性がある場合に、できるだけ早くFDPICにデータ侵害を通知する義務が生じます。FDPICからのガイダンスがない状態では、現時点では、GDPRが72時間以内に通知しなければならないと規定しているのと同様に、「できるだけ早く」という点において、時間制限があるかどうかは不明です。また管理者は、データ主体の保護のために必要な場合、例えば、データ主体がデータ侵害の影響を制限するための措置を講じることができる場合には、影響を受けるデータ主体に通知する必要があります。スイス以外の組織は、データ侵害の届出が必要な場合、スイスの代理人にサポートを求めることができる。

違反に対する罰金

GDPRとは対照的に、RevFADPは準拠していない組織に対して民事罰を設けていません。その代わり、管理者の下で個人が改正スイス法に意図的に違反した場合、最高で25万スイスフランの罰金という形で刑事罰を受ける可能性があります。このような罰金はおそらく、経営幹部や組織のデータ保護プログラムの責任者(DPOなど)に対して課される可能性が高く、以下の違反に対して課されます。

  • (i)個人情報が収集された時点(第19条)、(ii)自動化された意思決定(第21条)、(iii)プライバシー通知義務(第25~27条)に違反して、故意に虚偽または不完全な情報を提供すること 。(第60条(1・2)参照)
  • 故意に虚偽の情報を提供し、必要な情報をFDPICに提供しないことを含め、FDPICの調査に協力しないこと。(第49条(3))(第60条(3)参照)
  • 国境を越えた移転に関する規定(第16条および第17条)に違反した、スイス国外への故意の個人情報の開示、およびデータ処理者の任命に関する第9条の要件を満たさない故意の不履行 。(第61条)
  • 個人情報に関する職務上の守秘義務違反。(第62条)
  • DPICの命令に故意に従わない場合。(第63条)

RevFADPの不履行または意図的な違反に責任を負う個人を合理的に特定できない場合、組織自体に罰金を科すことが可能です。ただし、私的な管理者に対するこの種の罰金は5万スイスフランを超えることはありません。

RevFADPとGDPRの比較

以下の表では、上で説明しているGDPRとスイスのRevFADPの違いをまとめています。

GDPRRevFADP違い
実体的適用範囲
第2条(1): 個人データの取り扱い第2条(1): 個人データの取り扱いRevFADPは識別可能データに関してより実用的なアプローチを取っています。誰かが意図的に、合理的な努力でデータを個人にリンクすることができる場合のみ、そのデータは識別可能と見なされます。ヨーロッパ第一審裁判所(EGC)の判例 T‑557/20 でも同様のアプローチが取られました。
地理的適用範囲
第3条(2):EU域内のデータ主体を対象とする場合、またはデータ主体を監視する場合、拠点を持たない管理者および処理者第3条(2):スイスに影響を及ぼす状況GDPRが管理者または処理者が行った行為に適用を縛るのに対し、スイスの効果原則は受動的なアプローチをとり、スイス市場での商品・サービスの販売やスイスのデータ主体の行動の監視に関係しない状況も含まれます。
代理人
第27条: 代理人を選任する場合:
- EU域内に拠点がない場合
- EUのデータ主体ターゲットにしているか行動を監視する場合
第14条:代表を選任する場合:
- スイス域内に企業所在地がない場合;
- スイス域内の個人を対象とするか行動を監視する場合;
- 大規模かつ定期的に高リスクを伴う処理を行う場合
RevFADPにおける代理人選任の要件が、GDPRにおける拠点とは対照的に、法人格を持たないすべての組織に適用されるという事実は、適用範囲を広げる結果となる一方で、追加的な資格要件は範囲を狭めることになります。
データ侵害の報告
第33条(1): 72時間以内にあらゆるリスクを伴うデータ侵害を報告する義務第24(1): できるだけ早く高リスクを伴うデータ侵害を報告する義務RevFADPでは、“高リスク “の閾値以下の違反はすべて除外され、通知のタイミングについてもより柔軟になっています。
罰金
第83条(4・5):違反の種類に応じて、企業に対して1000万ユーロ/世界売上高の2%、または2000万ユーロ/世界売上高の4%の制裁金第60~63: 責任者の刑事責任は最高25万スイスフランの罰金GDPRはその過度な罰金で有名になりましたが、スイスの RevFADPは 刑事責任によって、経営幹部の人々を怯えさせています。

まとめ

スイスはEUに囲まれているため、スイスのRevFADPがGDPRからヒントを得るのは自然なことです。また、EUとスイスのデータ保護制度をより調和させ、コンプライアンスを容易にすることは、非常に理にかなっていると考えます。一方で、企業が注意すべき重大な相違点もあり、スイス国外の企業は、2023年9月1日に向けて代理人の選任を検討する必要があります。 スイスのRevFADPに関する詳細、またはスイスの代理人をお探しの場合は, Prighterまでお気軽にお問い合わせください。