- (1) 取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である:
- データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。
- データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。
- 管理者が服する法的義務を遵守するために取扱いが必要となる場合。
- データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。
- 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。
- 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。
第 1 項(f)は、公的機関によってその職務の遂行のために行われる取扱いには適用されない。 - (2) 加盟国は、第 1 項(c)及び(e)を遵守する取扱いに関し、第9 章に定めるその他の特別の取扱いの状況に関する場合を含め、適法かつ公正な取扱いを確保するため、取扱いのためのより詳細で細目的な要件及びその他の措置を定めることによって、本規則の規定の適用を調整するためのより細目的な条項を維持し、又は、これを導入できる。
- (3) 第 1 項(c)及び(e)に定める取扱いのための根拠は、以下によって定められる:
- EU 法。又は、
- 管理者が服する加盟国の国内法。
取扱いの目的は、その法的根拠に従って決定され、又は、第 1 項(e)に定める取扱いに関しては、公共の利益において、若しくは、管理者に与えられた公的な権限の行使において行われる職務の遂行のために必要なものとする。その法的根拠は、本規則の規定の適用を調整するための特別の条項を含みうる。特に、管理者による取扱いの適法性を規律する一般的な条件、取扱いの対象となるデータの種類、関係するデータ主体、個人データが開示されうる組織及びその目的、目的の限定、記録保存期間、並びに、第9 章中に定めるその他の特別の取扱いの状況のための措置のような適法かつ公正な取扱いを確保するための措置を含めた取扱業務及び取扱手続を含めることができる。EU 法又は加盟国の国内法は、公共の利益の目的に適合するものであり、かつ、その求める正当な目的と比例的なものとする。 - (4) 個人データが収集された目的以外の目的のための取扱いが、データ主体の同意に基づくものではなく、又は、 第23 条第 1 項に定める対象を保護するために民主主義の社会において必要かつ比例的な手段を構成する EU法若しくは加盟国の国内法に基づくものではない場合、管理者は、別の目的のための取扱いが、その個人データが当初に収集された目的と適合するか否かを確認するため、特に、以下を考慮に入れる。
GDPR 規則 (EU) 2016/679
第6条