おはようございます!マネジメントオフィスいまむらの今村敦剛です。
GDPRでは、データ管理者がデータ主体に対して、簡潔で、透明性があり、理解しやすく、容易にアクセスできる方法により、明確かつ平易な文言を用いて、個人データの取り扱いに関する情報を提供しなければならないと決められています。具体的にどのように考えればよいでしょうか。
スポンサーリンク
第12条第1項に定められている「情報提供」について
情報提供の基本的な考え方については、GDPR第12条第1項に定められています。また第13条ではデータ主体から直接個人情報を入手する場合の情報提供について、第14条では個人データを第三者から入手する場合の情報提供について定められています。
1. 管理者は、データ主体に対し、簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式により、明確かつ平易な文言を用いて、取扱いに関する第13条及び第14条に定める情報並びに第15条から第22条及び第34条に定める連絡を提供するために、特に、子どもに対して格別に対処する情報提供のために、適切な措置を講じる。
(個人情報委員会 一般データ保護規則条文より)
また、データ主体への適切な情報提供を行うことは、第6条第1項(f)にある「正当な利益」を適法根拠に選ぶ場合にも重要になります。前文(47)に「正当な利益の存在に関しては、注意深い評価を要するであろう。データ主体が合理的にさらなる取扱いを予期しない状況下で個人データが取扱われる場合、特に、データ主体の利益及び基本的な権利は、データ管理者の利益よりも優先しうる」とあるように、データ主体が自身の個人情報の処理について明確に情報提供されているときに、管理者は「正当な利益」に依拠できると言えるからです。
データ主体から個人データが取得される場合におけるデータ主体への情報提供(第13条)
第13条では、データ主体から個人データが取得される場合におけるデータ主体への情報提供義務について記されています。
第1項 取得時点で提供すべき情報
第1項では、取得時点で次の情報がデータ主体に提供されなければならないとしています。
- 管理者(および該当する場合は管理者の代理人)の身元および連絡先の詳細
- データ保護オフィサー(DPO)の連絡先の詳細
- 処理の目的と法的根拠
- 管理者の正当な利益又は第三者の正当な利益(GDPR第6条1項(f)に基づく)の目的のために処理が必要な場合には、管理者又は第三者によって追求される正当な利益
- 個人データの取得者または取得者のカテゴリ(もしあれば)
- 管理者が個人データを第三国または国際機関に移転するつもりであるかどうか。もしそうであれば以下の2つのいずれかも含まなければならない
- 移転に関して、欧州委員会による適切な決定(=十分性認定)が存在するかどうか
- GDPR第46条又は第47条に基づく場合(例えばBCRがあるなど)、またはGDPR第49条第1項第2項後段に基づく移転(正当な利益であるなど)の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報
第2項 公正かつ透明性ある取り扱いを確保するために付加する情報
上記(第1項)に加えて、下記の情報も提供しなければなりません。
- 個人データが記録保存される期間(それが不可能なときは、その期間を決定するために用いられる基準)
- データ主体の権利。具体的には①個人データヘのアクセス、個人データの訂正又は消去する権利、②データ主体と関係する取扱いの制限を管理者から得ることを要求する権利、③取扱いに対して異議を述べる権利、④データポータビリティの権利が存在すること
- 個人データの処理が第6条第1項(a)(同意)または第9条第2項(a)(センシティブデータ)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること
- 監督機関に異議を申立てる権利
- 個人データの提供が制定法上若しくは契約上の要件であるか否か、又は、契約を締結する際に必要な要件であるか否か、並びに、データ主体がその個人データの提供の義務を負うか否か、及び、そのデータの提供をしない場合に生じうる結果について
- プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、これが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデー夕主体に生ずると想定される結果に関する意味のある情報
第1項も第2項も、どちらも義務(shall)なのですが、どうして別の項に分けて示されているかはよくわかりません。英国の当局であるICOが発行しているガイダンスでも、第1項と第2項は区別をしておらず、どちらに書かれていることも必須であると解説しているようです。実務上はこれらすべてを満たすような情報を提供するのが安全です。