1.GDPR
GDPRは、2018年5月25日に発効しました。GDPRは、EUにおいて実現した統一市場の加盟国の市民のデータ保護を目的としたEU規則です。この「EU規則」は、EUにおける立法のうちで、その全体と共に加盟各国にも直接に効果が及ぶ強い規律です。加盟国は、更にこのGDPRを受けて各国独自の個人の情報保護関係の法令を定めると共に、その具体的規律のためにデータ保護監督機関を設けて活動しています。
2.各国のデータ保護監督体制
具体的な処置を行うのは各国のデータ保護機関であり、一般に市民などの申立て等に基づいて、違反行為の調査、是正勧告、これに従わない場合の制裁などを行います。その監督体制は、一般に行政機関が担いますが、その体制は加盟国により大きく異なります。まず、ヨーロッパ大陸諸国では、行政機関は一般の司法裁判所には服さず、独自の裁判制度を持ちます。また、国家体制として連邦制を採るドイツでは、それを構成する16の州が市民のデータ保護の権限を有するため、連邦のデータ保護局の他、各州に市民のデータ保護監督機関があります。
(1)ドイツ
連邦全体の国内法制は、2017年7月に公布されGDPR と共に2018年5月25日に施行された連邦データ保護法(Bundesdatenshutzgesetz: BDSG)が基礎となります。ドイツにおけるデータ保護監督機関は、原則として各州のデータ保護局の管轄に属します。なお、これらの機関の決定に不服がある場合には行政訴訟による是正を求めることになりますが、この行政訴訟裁判所も通常の民事・刑事の裁判所とは完全に独立した行政裁判手続きによることになります。その裁判所は、各州に置かれた、第一審行政裁判所、同行政控訴裁判所を経て、連邦行政裁判所が審理します。
(2)フランス
国内法は、2018年6月20日の個人データ保護に関する法律2018-493及び命令(Decree)2018.687を基礎とします。データ保護監督機関は,Commision Nationale de L’information et des Libertes: CNIL です。その決定に不服がある場合は、国務院(Conseile d’Etat)に提訴することになります。
(3)イタリア
国内法は、2018年9月19日の委任命令101/2018(Privacy Code)が基礎となります。このPrivacy Codeによって設けられた個人情報保護局 Garante per la protezionedel dati personali(Garante)が行政機関として保護監督の任にあたります。その決定に対しては行政裁判所が審査します。その第一審は州行政裁判所(Tribunale Aminstrativo Regionale:TAR)、その判断に対する上訴はローマに所在する国務院(Consiglio di Stato)が管轄することになっています。
(4)EU裁判所
GDPR の保護監督業務は各国の機関に任されていますが、その解釈が分かれたり、運用上需要な問題が生じうる場合には、最終的な判断はルクセンブルクに所在するEU裁判所に留保されており、各国裁判所のみならず加盟国はその判断を求め、それに従わなければなりません。