一般データ保護規則(GDPR)条項

    第6条

    取扱いの適法性

    1. (1) 取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である:
      1. データ主体が、同意を、取扱い(自己の個人データ)について、一つ又は複数の特定の目的のために与えた場合。
      2. 取扱いが、データ主体が契約当事者となっている契約の履行のために必要である場合、又は契約締結の前に、データ主体の要求に際して手段を講ずるために必要である場合。
      3. 取扱いが、管理者が服する法的義務を遵守するために必要である場合。
      4. 取扱いが、データ主体又は他の自然人の生命に関する利益を保護するために必要である場合。
      5. 取扱いが、公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために必要である場合。
      6. 取扱いが、管理者又は第三者によって求められる正当な利益の目的のために必要である場合。ただし、その利益よりも、データ主体個人データの保護を求める利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。
      第1項(f)は、公的機関によってその職務の遂行のために行われる取扱いには適用されない。
    2. (2) 加盟国は、本規則の規定の適用を、取扱いについて(c)及び(e)第1項)の遵守に関し適応するため、取扱いのためのより詳細で細目的な要件及びその他の措置を定めることによって、より細目的な条項を維持し、又は導入できる。これは、第IX章に定めるその他の特別の取扱いの状況の場合を含め、適法かつ公正な取扱いを確保するためのものである。
    3. (3) 取扱いについて、(c)及び(e)第1項)に定めるもののための根拠は、以下によって定められる:
      1. EU 法。
      2. 又は、管理者が服する加盟国の国内法。
      取扱いの目的は、その法的根拠に従って決定され、又は、(e)第1項)に定める取扱いに関しては、公共の利益において、若しくは、管理者に与えられた公的な権限の行使において行われる職務の遂行のために必要なものとする。 その法的根拠は、本規則の規定の適用を調整するための特別の条項を含みうる。特に、取扱いの適法性を規律する一般的な条件(管理者による)、取扱いの対象となるデータの種類、関係するデータ主体個人データが開示されうる組織及びその目的、目的の限定、記録保存期間、並びに、取扱い業務及び取扱い手続(適法かつ公正な取扱いを確保するための措置、例えば第IX章に定めるその他の特別の取扱いの状況のための措置を含む)を含めることができる。 EU 法又は加盟国の国内法は、公共の利益の目的に適合し、かつ、追求される正当な目的に比例的でなければならない。
    4. (4) 収集された目的以外の目的のための取扱いが、個人データについて、データ主体同意に基づくものではなく、また、第23条第1項にいう目的を保護するために民主主義社会において必要かつ比例的な手段を構成するEU法又は加盟国の国内法に基づくものでもない場合、管理者は、別の目的のための取扱いが、当初に収集された目的と適合するか否かを確認するため、特に、以下を考慮に入れる。ここでいう個人データとは、最初に収集された個人データをいう。
      1. その個人データが収集された目的と、予定されている追加的取扱いの目的との間の関連性。
      2. その個人データが収集された状況、特にデータ主体管理者との関係。
      3. 個人データの性質。特に、第9条に従い特別な種類の個人データが取扱われるのか、又は、第10条に従い有罪判決又は犯罪行為に関する個人データが取扱われるのか。
      4. 予定されている追加的取扱いの結果としてデータ主体に生じうる可能性のある事態。
      5. 適切な保護措置の存在(暗号化又は仮名化を含みうる)。