おはようございます!マネジメントオフィスいまむらの今村敦剛です。
先日から、GDPRで要求されている「データ主体への通知」について、条文を見ていっています。通知が義務ではなくなるケースもGDPRに明記されているのですが、それがどういうケースなのかを抑えていきたいと思います。
前文(62)に書かれていること
通知が義務でないケースの全体的なことは、前文(62)に書かれています。引用しましょう。
データ主体が既にその情報を保有している場合、その個人データの記録若しくは開示が法律によって明確に定められている場合、又は、データ主体に対する情報の提供が明らかに不可能であるか、若しくは過大な負担を生じさせるような場合、情報を提供すべき義務を課す必要はない。特に、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために取扱いが行われる場合、データ主体に対する情報の提供が明らかに不可能であるか、若しくは、過大な負担を生じさせるような場合に該当しうる。この点に関し、データ主体の人数、データの経過年数及び導入されている適切な保護措置が考慮に入れられなければならない。
(個人情報保護委員会 一般データ保護規則の前文)
第13条および第14条で書かれていること
義務ではないケースについては、GDPR第13条および第14条に書かれています。下記にまとめますね。
- データ主体が既にその情報を持っている場合
- 管理者がそれに服し、かつ、データ主体の正当な利益を保護するための適切な措置を定めるEU 法又は加盟国の国内法によって、その入手又は開示が明示で定められている場合
- 制定法上の守秘義務の場合を含め、EU 法又は加盟国の国内法によって規律される職務上の守秘義務によって、その個人データを機密のものとして維持しなければならない場合
- 公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的、又は、統計の目的のための取扱いに関し、そのような情報の提供が不可能であるか、又は、過大な負担を要することが明らかな場合
- 第14条第1 項に定める義務が当該取扱いの目的の達成を不可能としてしまうおそれ、又は、それを深刻に阻害するおそれがある場合
通知が義務でない場合の留意点
GDPR第14条第5項(b)では、次のような表現があります。
そのような場合、その管理者は、その情報を公衆が利用可能とすることを含め、データ主体の権利及び自由並びに正当な利益を保護するための適切な措置を講ずるものとする。
これは、第5項(b)の前半部分(公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的、又は、統計の目的のための取扱いに関し、そのような情報の提供が不可能であるか、又は、過大な負担を要することが明らかな場合)にかかるのか、それとも後半部分(第14条第1 項に定める義務が当該取扱いの目的の達成を不可能としてしまうおそれ、又は、それを深刻に阻害するおそれがある場合)にかかるのかは不透明ですが、両方に当てはまると考えるのが安全でしょう。
また、前文(62)にある「過大な負担」(disproportionate effort)の定義は明確ではありませんが、文字通り「かなり大きな負担」という風にとらえておいたほうがよいでしょう。
第23条では、災害に対する生命の保護や公共の安全をはじめとするいくつかのケースの場合は、各加盟国の立法措置によって、GDPRで定められている権利・義務(12条から22条、34条、第5条)を制限できるとしています。その制限の中にはデータ主体に対する情報提供の権利やデータ主体に対する個人データ侵害の連絡なども含まれており、このようなケースも通知が行われないということになるでしょう。(前文(73)も参考にしてください)
最後に、加盟国法でもこのような通知の除外規定を設けることもありえます。各国の対応も考慮しなければなりませんね。