OUTLINE

• 本回覧は、UKクラブ及びメンバーに係わるEUの一般データ保護規則（GDPR）に関し、メンバーへ一般的ガイダンスを提供するものです。

メンバー各位

EU一般データ保護規則2016/679の実施
- メンバー向け一般的ガイダンス前書き一般データ保護規則（以下「GDPR」または「規則」）を含む（EU）規則2016/679は、2018年5月25日に施行され、EU/ EEA 加盟諸国にて直接効力が及びます。英国ではGDPR施行のための国内法を整備することはないものの、GDPRを補完する規定を定めるUK Data Protection Bill法案が議会に提出されています。本規則の完全版（全88ページ）は、こちらからご覧いただけます。http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=enこの一般的ガイダンスは、GDPRに係わるUKクラブとそのメンバーにその概要を提供することのみを意図しています。 本規則は、人身傷害や疾病、または自然人や個人のデータを伴うその他のケースに関するクレームに最も関連してくることになります。 個人情報を含まない法人、または自然人に関係のない情報は、影響を受けることはありません。本規則の広範な意図は、EUデータ保護指令95/46/ECに代わり、個人データの収集、保管、処理、アクセス、使用、転送および消去に関するEU / EEAの手順を強化し、調整させることにあります。 本規則は、個人データの「管理者」と「処理者」の責任を確立することにより、自然人にEU / EEA全域で同レベルの法的強制力のある権利を提供し、法令を遵守させるための監督と施行の枠組みを提供することを目指しています。GDPRの目的は、データの処理に関して自然人を保護することです。本規則は、そのようなデータを保持することができるEU / EEA内の人々に適用されるだけでなく、その地域内の自然人に商品やサービスを提供したり、EU / EEA内の組織に個人情報を送信したり、EU / EEA内の受信者に個人情報を送信するEU / EEA外の人々にも適用されます。　UKクラブはEU / EEA内で運営されているため、GDPRはクラブに適用されます。同様に、EU / EEA内で活動、またはその地域内の自然人に商品やサービスを提供するメンバーや第三者サービス提供者、およびEU / EEA内に保持されているEU / EEA外の個人データに適用されます。

違反に対する罰則

新体制下での行政罰金の水準は、旧法下より大幅に高額になっています。罰金の額は、個々の事例における要因の数に依拠します。その要因には違法性とその期間、データ主体が被った損害を軽減するために取られた措置を含みますが、それらに限定されません。しかし、GDPR違反に対する罰金は、特定の規定では最大2000万ユーロ、または企業の場合、前財務年度の全世界の年間売上高の最大4％と2,000万ユーロのいずれか高い方になる可能性があることに注意が必要です。

•  「個人データ（Personal Data）」とは、データ主体に関するすべての情報を意味します。
•  「データ主体（Data Subject) 」とは、識別されたまたは識別可能な存命の生存する自然人または個人を意味します。これは、名前、識別番号、位置データ、オンライン識別子、またはその自然人に特有の身体的、生理学的、遺伝的、精神的、経済的、文化的または社会的アイデンティティに特有の1つ以上の要因などの識別子を参照することによって、直接的または間接的に識別できる人物です。
•  「管理者（Controller）」とは、関連データの処理の目的および手段を単独でまたは他者と共同して決定する自然人または法人、公的機関、代理店またはその他の団体を意味します。
•  「処理者（Processor）」とは、管理者に代わり個人データを処理する自然人または法人、公的機関、代理店またはその他の団体を意味します。
•  「処理（Processing）」とは、自動手段であるかどうかに係わらず、収集、記録、組織化、構造化、保管、修正又は変更、復旧、参照、使用、移転による開示、周知、利用可能にする他の方法、整列又は結合、制限、消去又は破棄などの、個人データまたは個人データのセットに対して行われる操作または一連の操作を意味します。

UKクラブ、メンバー、ブローカー、外部サービス提供者、クレイマンツの役割

UKクラブは、本規則における管理者にあたると考えています。　UKクラブは、日々のUKクラブの管理をトーマス・ミラー社へ委託しています。トーマス・ミラー社は、場合によっては共同管理者として役割を果たします。これにより、クラブはトーマス・ミラー社によって構築されたGDPRの枠組みの下で活動することができ、トーマス・ミラー社は管理者または共同管理者だけが行える管理業務を実行することができます。トーマス・ミラー社は、データ監督当局に対応する際UKクラブを代表することもできます。

さらに、GDPRが適用される場合、メンバー、ブローカー、クラブ・コレスポンデンツ、サーベイヤー、専門家などの外部サービス提供者は、それぞれ独立して関連データの処理の目的と手段を決定する可能性が高いため、一般的に管理者にあたります。処理者が「処理の目的と手段」を決定した場合、処理者はその処理に関して管理者であるとみなされます。

これは、例えば傷病クレームなどで、個人データを含む場合にのみ関係します。その場合、クレームを提起した個人は、GDPRで提供される権利を付与されるデータ主体ということになります。

• 個人データ処理の原則
• データ主体の権利
• 管理者と処理者の責任
• データ保護監督当局に通知する義務
• データ保護責任者の任命
• 第三国への個人データの転送

個人データ処理の原則は、以下のように要約されます。

• 適法性  - 個人データは、同意、契約、法的義務がある場合、またはデータ主体の重要な利益を保護するために必要な場合や、管理者の正当な利害関係のための場合など、そのための法的根拠がある場合にのみ処理される必要があります。
• 公平性 - 個人データの処理に関与する者は、データ主体に処理内容およびデータ主体の権利に関する十分な情報を提供しなければなりません。
• 透明性 - 情報は簡潔かつ容易に理解できる方法で提供する必要があります。
• 目的の制限 - 個人データは、特定の、明示的かつ正当な目的でのみ収集および処理されるべきであり、これらの目的と関係のない理由で処理されるべきではありません。
• データの最小化 - 個人データは、適切かつ関連性があり、収集および処理される目的に必要なものに限定されている必要があります。
• 正確性 - 個人データは正確で最新のものでなければなりません。
• 保管制限 - 個人データは、必要な期間を超えてデータ主体の識別を可能にする形で保管されないようにする必要があります。
• セキュリティ - 適切な措置を用いて、不正または不法な処理、偶発的な損失、破壊または損傷から守るために、個人データを保護する必要があります。

明示的な同意があるか、データ処理が法的クレームの証明、行使または弁護の必然的帰結である場合、または裁判所が司法権に拠って行動している場合など、特定の条件が適用されない限り、個人データの処理は禁止されています。 しかし、すべてのメンバー及び関連の共同被保険者、ブローカー、代理人などは、契約、雇用契約、団体交渉協定、チケット条件などに、許可された基準で機密性の高い個人データが処理できるよう、GDPR上の適切な文言を含むことを考慮することが推奨されます。これは、より厳しいGDPRの条件が適用される未成年者が関連するクレームに対処する場合に特に重要になります。機密性の高い個人データには、より厳密な要件が適用されます。これには、データ主体に関する人種、民族的背景、宗教的、政治的所属、保健医療情報などのデータが含まれます。

以下に、情報を要求する権利を含む、データ主体が有するいくつかの権利の要約を示します。

• 透明性と情報 - 管理者の詳細と関連する個人データの処理の目的を含む、必要な情報を、データ主体に提供するための措置を取る必要があります。 これには、データ主体へその個人データが開示される第三者を通知することが含まれます。
• アクセス権 - データ主体は、個人データがどのような目的で処理されているかどうかの確認と、個人データへのアクセスを要求する権利を有します。 
• 訂正する権利 - データ主体は、不正確な情報を修正する権利を有します。 
• 忘れられる権利 - データ主体は、一定の条件が適用される場合、過度の遅滞なく、個人データの消去を要求する権利を有します。 
• 処理を制限する権利 - データ主体は、例えば、個人データの正確さがデータ主体によって争われている場合、処理の制限を管理者から得る権利を有します。

管理者と共同管理者

管理者および共同管理者は、この規則に従って個人データの処理に適切な措置を講ずる必要があります。  これには、以下のような「データ保護ポリシー」とその他の特定の要件の確立と実施が含まれます。

• 目的に必要なデータに限る - 目的に必要な個人データのみが処理されることを確実にしなければなりません。 
• 処理者 - 手続きは処理者が規則に準拠した措置を講じていることを確実にしなければなりません。

管理者と共同管理者は、法令遵守を実証する責任があります。

UKクラブの場合、クラブは管理者（Controller）、トーマス・ミラー社は共同管理者（Joint Controller）となることが想定されています。 メンバーおよびその被保険者は、乗組員やクレイマンツから受け取った個人データの管理者になります。

処理者は、処理が本規則の要件を満たし、データ主体の権利の保護を確実にするために、適切な技術的および組織的措置を管理者に保証しなければなりません。  管理者と処理者の間では、特定の要件を満たす個別の契約または契約を締結する必要があります。

管理者と処理者の両方が以下に責任を負うことになります。

• 処理の記録 - 処理の記録は維持されなければならず、これらは監督当局の検査のために利用可能でなければなりません。
• 処理の安全性 - 適切なセキュリティ対策が講じられなけばなりません。

管理者は、データ主体の権利と自由が影響を受けた場合には、GDPRに従い適切な監督当局に個人データ違反 を通知しなければなりません。 処理者は、GDPR違反を認識したかどうかを通知する義務があります。 データ保護責任者個人データが大規模に処理される場合を含む、特定の状況においては、データ保護責任者（以下「DPO」という）を任命する義務があります。  DPO には、本規則への準拠の監視、報告、内部アドバイスなど、特定の責任があります。 UKクラブはDPOとして、ジム・アシュトン氏を任命しました。第三国へのデータ転送例えば人身傷害クレームなどの保険請求のためにデータの転送が必要な場合（法的義務に従って）など、第三国、換言すればEU / EEA外にデータを転送するための有効な法的根拠やGDPRに基づく特例が認められない限り、 第三国にデータを転送するには、EU委員会が、適切なレベルの保護を確立していると認めるか、第三国 の管理者または処理者 が適切なセキュリティレベルを確立したと認められることが必要になります。 

場合によっては、EU標準モデル条項（EU Standard Model Clauses） の使用が適切かもしれません。

本規則はUKクラブとそのメンバーにとって何を意味し、どのような措置を取るべきか？

GDPRに応じて、UKクラブがすでに実施した、または実施している行動は次のとおりです。

• データ保護ポリシーが確立され、実行されています。
• DPOが任命されました。
• 文書化した内部手続およびプロセスは、例えば、不要な個人データが削除されることを確実にするための定期的なレビューを含むように更新されています。
• 必要に応じて、GDPRの下での権利の詳細を示すデータ主体に対する標準のプライバシー通知が発行されます。 
• 個人データを含むシステムと機密個人データを含むシステムの両方に関して、ITおよび通信システムのセキュリティと完全性が検証されています。

メンバーへのさらなる影響

EU / EEA地域内で活動するメンバーおよびEU / EEA外の人々が、その地域の個人に商品やサービスを提供したり、EU / EEA外の個人に関するEU / EEA内の個人データを保持している場合、同様の措置をとる必要があります。UKクラブは、影響を受けるメンバーに以下の点に重点を置いて検証を行うことを推奨しています：

• データ保護ポリシーの更新または採用と実施
• 大規模なデータを扱う組織は、DPOの任命を検討する
• データ主体が個人データおよびその権利の処理に関する適切な情報を確実に受け取れるようにするためのルーティーンを確立する
• 個人データを保管し続ける法的根拠がない限り、必要のなくなった個人データを削除する必要がある
• 定義されている機密性の高い個人データ（例：健康および医療データ）に関連する第三者（他のP＆Iクラブを含む）とのコミュニケーションのためにセキュリティを強化する必要がある、そして
• 許可されている場合のみ（例えば、法的根拠がある場合や別途契約が存在する場合）、個人データが第三国に確実に転送されるように、追加チェックを行う必要があります。

本回覧は、法的アドバイスを提供するものではありません。 メンバーは、GDPR規則を確実に遵守するために作業手順を変更する際、弁護士またはその地域のデータ保護当局から個別に助言を求めていただかなければいけません。

ご意見、ご質問はUKクラブのロンドン事務所、コンプライアンス責任者Paul Knight（メール：

Tel +44 20 7204 2229）にお問合せください。

国際グループのすべてのクラブは、同様の回覧を発行しています。

UK P&Iクラブ日本支店