| 2022年個人情報保護法第9号 | |
|---|---|
 | |
| スリランカ議会 | |
| |
| 引用 | 2022年個人情報保護法第9号 2025年個人情報保護(改正)法第22号 |
| 領土の範囲 | 全世界 |
| 制定者 | スリランカ議会 |
| 制定 | 2022年3月9日 2025年10月21日(改正) |
| 署名者 | 国会議長 |
| 署名 | 2022年3月19日 2025年10月30日(改正) |
| 効果的 | 2023年7月17日(第5部) 2023年12月1日(第6部、第8部、第9部、第10部) 残りの部分は実施日を待っています[a] |
| 管理: | スリランカのデータ保護当局 |
| 立法史 | |
| 法案タイトル | 個人情報保護法案 |
| 法案引用 | 個人情報保護法案 個人情報保護(改正)法案 |
| 紹介者 | 技術大臣 デジタル経済大臣(改正) |
| 紹介された | 2021年11月25日 2025年3月27日(改正) |
| 初読 | 2022年1月20日 2025年5月8日(改正) |
| 第二読会 | 2022年3月9日 2025年6月3日(改正) |
| 第三読会 | 2022年3月9日 2025年10月21日(改正) |
| キーワード | |
| データ保護、プライバシー、個人データ | |
| 状況:完全には施行されていない | |
2022年第9号個人データ保護法(略称PDPA )は、スリランカにおける個人データの処理を規制するために制定された包括的なデータ保護法です。[2]この法律は、個人のプライバシーを保護し、データ主体の権利を確立し、データ管理者と処理者に義務を課すことを目的としています。
背景
この法律は、デジタル時代におけるデータ保護の必要性の高まりに対応するため、2022年にスリランカ議会で可決されました[3]。この法律は、正当なデータ処理活動を可能にしながら、個人データを保護することを目的としています。
主な特徴
範囲と適用
この法律は、個人データの処理に適用されます。
- スリランカ国内の全部または一部
- スリランカに居住または設立された管理者または処理者による
- スリランカのデータ主体への商品またはサービスの提供に関連する
- スリランカにおけるデータ主体の行動の監視
データ保護機関
この法律は、法律の施行とデータ保護慣行の推進を担当する主要な規制機関としてスリランカのデータ保護局を設立します。
データ主体の権利
この法律は、データ主体に次のようないくつかの権利を付与しています。
- 個人データへのアクセス権
- 不正確なデータの訂正権
- 消去権(「忘れられる権利」)
- 処理に異議を申し立てる権利
- 同意を撤回する権利
- 自動化された意思決定を審査する権利
データ管理者および処理者の義務
主な義務は次のとおりです。
- 個人データの合法的な処理の確保
- データ保護管理プログラムの実装
- 特定のケースにおけるデータ保護影響評価の実施
- 特定の状況下でのデータ保護責任者の任命
- 個人データ漏洩について当局および影響を受ける個人に通知する
国境を越えたデータ転送
この法律は、スリランカ国外への個人データの転送を規制し、適切な保護措置または特定の条件を満たすことを義務付けています。
個人データの特別なカテゴリ
この法律は、人種や民族の起源、政治的意見、宗教的信念、健康データ、生体認証データを明らかにするデータを含む、機密性の高い個人データに対する追加の保護を規定しています。
罰則
この法律は、当局に不遵守に対する罰則を課す権限を与えている。
- 初回の不遵守に対しては、1,000 万ルピー以下の罰金が科せられる可能性があります。
- それ以降の不遵守に対しては、前回の不遵守に対して課せられた金額の 2 倍の追加罰金が課される場合があります。
当局は、罰則を決定する際に、違反の性質と期間、影響を受けるデータ主体の数、損害を軽減するために講じられた措置など、いくつかの要素を考慮します。
実装タイムライン
この法律は段階的に施行されます。当初の施行スケジュールは官報公示により定められ、その後改正されました。
フェーズ1:2023年7月17日
法律の以下の部分は、官報第2341/59号(2023年7月21日付)に基づいて発効した。[4]
第5部 – データ保護機関の設立。
フェーズ2:2023年12月1日
この法律の以下の規定は、官報第2366/08号(2024年1月8日付)により発効した。[5]
第6部 – データ保護当局の局長および職員
第8部 – 当局の基金
第9部 – 雑則
第10部 – 解釈
フェーズ3:2025年3月18日の施行日の廃止
官報第2366/08号によれば、当初、以下の規定は2025年3月18日に発効する予定であった。[5]
第一部 予備規定
第2部 – データ主体の権利
パートIII – 管理者と処理者
第7部 – 罰則
しかし、この施行日は官報第2427/34号(2025年3月14日付)により廃止された。[1]その結果、これらの規定の施行日は確定しておらず、政府による更なる発表を待つこととなった。
フェーズ4:パートIV(保留中)
データ保護当局によると、[6]「個人データを用いた勧誘メッセージの配信」に関する第4部は、議長による法案の承認日から24ヶ月から48ヶ月以内に施行される。第4部の正確な施行日はまだ決定されていない。
この段階的な実施は、組織および関係当局による十分な準備と遵守を可能にすることを目的としています。第3段階の廃止は、これらの規定の発効前に政府による更なる検討が行われることを示しています。
影響と重要性
個人データ保護法は、スリランカのデジタルガバナンスの枠組みにおける重要な一歩です。スリランカのデータ保護体制を国際基準に準拠させ、国境を越えたデータ流通とデジタル貿易の促進につながる可能性があります。この法律は、デジタル取引とサービスへの信頼を高めるとともに、公共部門と民間部門の両方で責任あるデータ取り扱いを促進することが期待されています。
参照
注記
- ^ 注:パートI、II、III、VIIの以前の予定発効日(2025年3月18日)は、2025年3月14日付官報第2427/34号により廃止されました。これらのパートの新たな施行日は政府からまだ発表されていません。[1]
参考文献
- ^ ab "Gazette No. 2427/34" (PDF) . documents.gov.lk . 2025年3月14日.
- ^ 「2022年個人データ保護法第9号」(PDF)スリランカ議会。2022年3月19日。
- ^ 「個人データ保護法案が修正を加えて可決」News First、2022年3月9日。
- ^ 「官報第2341/59号」(PDF) . documents.gov.lk . 2023年7月21日.
- ^ ab "Gazette No. 2366/08" (PDF) . documents.gov.lk . 2024年1月8日.
- ^ 「個人データ保護法の施行日が発表されました - 施行は2025年3月18日から開始されます」dpa.gov.lk 2024年1月8日。
外部リンク
- スリランカデータ保護局の公式ウェブサイト
