透明性のガイドライン(WP260 rev.01)を読む(12)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

7月9日の交流会は定員に達しましたので新規の募集を終了いたします。
参加ご希望の方は直接弊社あてにご連絡いただければ幸いです。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<口頭での情報通知も可能(…the information may be provided orally)>

【20】
GDPR第12条(1)では特に、データ主体からの要求があれば口頭での情報提供も可能とされています。
この場合、データ主体の身元確認を行っておく必要があります。この身元確認は名前の確認だけではなく、より高い確からしさをもってデータ主体が当人であることを確認できる方法である必要があります。

この口頭での情報提供が許容されるのは、GDPR第15条からGDPR第22条およびGDPR第34条に記載されているデータ主体の権利行使を行う場合に限ります。

GDPR第13条、GDPR第14条で要求されている情報通知はこれからユーザとなる人やこれから顧客となる相手に伝えられる必要があります。(それらの相手について管理者は相手を特定する術を持っていません。)
GDPR第13条、GDPR第14条で要求されている情報通知を口頭で行いたい場合は、データ主体の身元確認を必要としない場合のみに許容されることとなります。

【21】
GDPR第13条、GDPR第14条で要求されている高騰での情報提供は、必ずしも人-人のコミュニケーションである必要はありません。
文章での情報に追加する形で自動音声での情報を提供するということも考えられます。

目の不自由な人が情報社会サービスを使用する場合や【19】で言及したようなスクリーンのないスマートデバイスでは自動音声を使用するというオプションがあり得ます。

管理者が音声での情報提供を行う場合、又はデータ主体の要求にしたがって音声での情報提供を行う場合、WP29としては事前に録音しておいた音声情報をもう一度聞けるようにすることが好ましいと考えています。目の不自由なデータ主体や文章での情報通知にアクセスすることができないデータ主体にとっては、自動音声をもう一度聞けるという選択肢があることがとても大切なことです。

データ管理者は(i) 口頭での情報提供の要求があったこと、(ii)データ主体の身元を確認した方法(【20】参照)、(iii)データ主体に情報が提供されたという事実
といったことを確実に記録し、説明責任を果たすために実証できる必要があります。