おはようございます!マネジメントオフィスいまむらの今村敦剛です。
GDPRでは、データ管理者がデータ主体に対して、簡潔で、透明性があり、理解しやすく、容易にアクセスできる方法により、明確かつ平易な文言を用いて、個人データの取り扱いに関する情報を提供しなければならないと決められています。今回は、個人データがデータ主体から取得されたものではない場合に提供すべき情報について解説します。
第14条 個人データがデータ主体から取得されたものではない場合において提供される情報
GDPRの第14条では、個人データがデータ主体から取得されたものではない場合に提供される情報について示しています。このような場合であっても、管理者は第13条(1)及び第13条(2)と同じ情報をデータ主体に提供しなければなりません。そのうえで第14条(1)および(2)にしたがって、管理者は以下の情報も提供する必要があります。
- 関係する個人データの種類(もしあれば個人データの取得者又は取得者の類型も)
- どの情報源からその個人データが生じたか、及び、該当する場合は、公衆がアクセス可能な情報源からその個人データが来たものかどうか。(様々な情報源が用いられたために、データ主体に対してその個人データの入手元を示すことができない場合には、一般的な情報を提供しなければならないと前文(61)で規定している)
また、これ以外にも追加的な情報提供が必要な場合があります。これについては以下に説明します。
追加的な情報提供が必要な場合 (1) 取り扱い制限の権利を行使する際
GDPR第18条では、データ主体は管理者に対して、取り扱い(処理)を制限する権利を持っているとされています。データ主体がこの権利を行使する場合に、管理者はデータ主体に対して、その処理が解除される前に、通知をしなければならないとされています。(第18条第3項)
追加的な情報提供が必要な場合 (2)越境データ移転の際
管理者の「正当な利益」を根拠に移転する場合は、データ主体に移転の事実と「正当な利益」について通知しなければなりません。(前文113および第49条)
同意に基づいて移転をする場合は、データ主体に対して、起こりうるリスクについて通知しなければなりません。(第49条1(a))
BCRにしたがって移転をする場合は、データ主体に対して、BCRに含まれるデータ保護原則に関する情報を通知しなければなりません。(第47条2(g))
追加的な情報提供が必要な場合 (3)新しい処理の目的がある際
もともとの処理の目的以外に、新たに処理の目的が生じた場合は、その新たな目的とともに、関連する情報を通知しなければなりません。(第13条3項・第14条4項)
追加的な情報提供が必要な場合 (4)漏えいなどの事故がおきた際
漏えいなどの事故が起きた場合には、データ主体にその旨を通知しなければなりません。(第34条)
いつ通知をしなければならないか
通知のタイミングについては、第14条第3項で明示されています。
- その個人データが取扱われる具体的な状況を考慮に入れ、個人データ取得後の合理的な期間内。ただし、遅くとも1 か月以内。
- その個人データがデータ主体との間の連絡のために用いられる場合、遅くとも、当該データ主体に対して最初の連絡がなされる時点において。又は、
- 他の取得者に対する開示が予定される場合、遅くともその個人データが最初に開示される時点において。
また、当該個人データが入手された際の目的とは別の目的のための個人データの取扱いを管理者が予定する場合、その管理者は、データ主体に対し、当該追加的取扱いの開始前に、当該別の目的に関する情報及び第2 項に定める関連する付加的な情報を提供するとされています。(第13条第3項・第14条第4項)
データ主体が処理に異議を申し立てる権利についての通知は、遅くともデータ主体との最初のコミュニケーションまでに通知が必要です。同意撤回の権利についての通知は、データ主体が同意をする前に通知されなければなりません。(第7条第3項)
どうやって通知すべきか
GDPRでは、データ主体に提供される情報は、明確でわかりやすい言葉を使用して、簡潔、透明、わかりやすく、アクセスしやすい形式で提供する必要があることを明確に規定しています。特に、子供を対象とした情報は、簡単に理解できるようにする必要があります。
GDPRではまた、情報は書面で、または適切な場合には「電子的手段」を含む他の手段によって提供されるものとしています。前文によると、ウェブサイトでの通知も電子的手段に含まれています。処理に関係する当事者が多数いる場合は、ウェブサイトでの通知が有効ですよね。データ主体の身元がはっきりとわかっているのであれば、データ主体によって要求された場合には、口頭で提供されてもよいとされています。また、第13条および第14条に基づいてデータ主体に提供される情報は無料でなければなりません。
GDPRでは、「視覚化」も許可されています。標準化されたアイコンを使用して、処理の概要をわかりやすくわかりやすく示すようなことが該当します。(欧州データ保護委員会がこれらのアイコンに関することについて委任されているようです)。
データ主体から同意を得る場合は、フォーマットについての要件も課されています。同意が他の事項にも関係する書面(例えばユーザー規約など)で与えられる場合、同意の要求はそれらの他の事項と明確に区別できる方法で、また明瞭で平易な言葉を用いて、分かりやすくそして容易にアクセスできる形式で提示されなければならないということです。
処理への異議申し立ての権利についての情も、他の情報とは別にそして明確に提示されなければなりません。