GDPRの次はePrivacy regulationというのが目下の話題です。
ePrivacy regulationでは行動ターゲティング広告が困難となるため、オンラインでビジネスをしている企業にとっては注意が必要です。
とはいっても、まだGDPR対応が間に合っていない企業も数多くあるため、データ・プライバシーの専門家はあと一年程度はGDPR対応で忙しい日々を過ごすこととなるかもしれません。
あと一年もすれば、Privacy NoticeやPrivacy Policyのフォーマットも固まり始めることでしょう。少しずつGDPR対応が定着していくことと思います。
このブログではずっとお伝えしていますが、GDPRさえ対応したら問題ない、という認識は誤っています。
世界中のデータ・プライバシーの兆候を常にモニターしておく必要があります。
新技術とプライバシーの関係も注意が必要な分野です。
IAPPの東京ナレッジチャプターでは、7月19日にISACAと合同で「AIとプライバシー」というテーマの勉強会を行います。
東京ですが、ご都合がつけば、ぜひいらっしゃってください。
では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。
—
1.主監督機関の特定:鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
1.1 「個人データの越境処理」(‘Cross-border processing of personal data’)
1.1.1 「大きな影響を与える」(‘Substantially affects’)
昨日の続きです。
さまざまな加盟国に所在する個人のデータを数多く(かなり多く)処理することが、すぐに大きな影響を与える(可能性がある)というわけではありません。
たとえデータ数が多くても大きな影響を与えない処理は、二つ目の定義でいう越境処理の要件を満たしません。
「大きな影響」がどういうものかについては監督機関の時々の判断にゆだねられることでしょう。
どういう文脈で処理されているのか、どのようなデータが処理されているのか、処理の目的は何かといったことの他、以下のことを考慮しておくことが大切です。
「大きな影響を与える(substantial effect)」かどうかの判断は、最終的には監督機関間での調整にゆだねられます。(GDPR前文135)