【コスタリカ共和国の個人データ保護法制に関する概要】

個人情報の保護に関する制度の有無

包括的な法令として、以下の法令が存在する。

「個人データの取扱いにおいて個人を保護する法律」(”the Law on the Protection of Persons Regarding the Processing of their Personal Data No. 8968”  2011 年7月成立。以下「現行法」という)。

及びその執行法(”Executive Decree No. 37554-JP”  2012 年10月成立。以下「執行法」という)

  •  URL(現状、スペイン語のみ利用可能)

現行法:OEA :: SAJ :: Departamento de Derecho Internacional (DDI):: Protección de Datos Personales (oas.org) 

執行法:Sistema Costarricense de Información Jurídica (pgrweb.go.cr)

  • 施行状況:2013 年3月施行
  • 対象範囲:自動または手動データベースにて保持されている公的機関または民間組織の個人データ
  • 対象情報:識別され又は識別可能な、生存する個人に関連する情報

なお、現在コスタリカの立法議会では、現行法をEUのGDPRの内容に概ね沿う方向に大幅に改正する内容の議案の審議が行われている。

 

個人情報の保護に関する制度についての指標となり得る情報

EU の十分性認定:なし

APEC の CBPR システム:なし

 

OECD プライバシーガイドライン8原則

OECD プライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。

① 収集制限の原則

上記法令に規定されている。

② データ内容の原則

上記法令に規定されている。

③ 目的明確化の原則

上記法令に規定されている。

④ 利用制限の原則

上記法令に規定されている。

⑤ 安全保護の原則

上記法令に規定されている。

⑥ 公開の原則

上記法令に規定されている。

⑦ 個人参加の原則

上記法令に規定されている。

⑧ 責任の原則

上記法令に規定されている。

 

その他本人の権利利益に重大な影響を及ぼす可能性のある制度

(特にデータ主体の利益に重大な影響を及ぼすような運用ではないかもしれないが)

マーケティング等商業目的で使用されるデータベースはPRODHABというデータ保護当局(以下「当局」という)への登録が義務づけられており、当局は無制限に当該データベースにアクセスする権限を持つためガバメントアクセスと一見類似している。しかし、運用上は、(当局は)データベースの不適切な管理に関する証拠や書面による苦情申立てがあった場合にのみ当該アクセス権を行使するものであり、むやみに職権を濫用するものではなく、その目的はデータ及びデータ主体の保護であり、監査役のようなかたちで機能している(当局のFAQ等への回答より)。