透明性のガイドライン(WP260 rev.01)を読む(15)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

JETRO広島さんでのワークショップは日本全国からご参加いただけるようです。それだけGDPRについての情報が足りていないということなのだと思います。
私もJETROさんのご依頼でいろいろとご説明に伺っていますが、月数件が限度であり、まだまだ専門家が足りていないと感じます。

JETROさんではGDPRの専門家をあと3名追加したと聞いています。ぜひご活用いただいたらと思います。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<情報提供のタイミング(Timing for provision of information)>

【26】
データ処理のサイクルの開始時点でデータ主体に提示しなければならない情報の種類を定めているのがGDPR第13条GDPR第14条です。
GDPR第13条はデータ主体から直接データを取得するとき、GDPR第14条はデータ主体から間接的にデータを取得するときを想定しています。

直接取得するときとは以下の場合です。

  • データ主体は管理者に対してデータを提供していると認識している場合(e.g.オンラインフォームに入力)
  • 管理者がデータ主体を観察することによってデータを取得している場合(e.g.カメラ、ネットワーク装置、Wi-Fiトラッキング、RFID、その他センサーといった自動的にデータを取得する装置やソフトを用いて取得)
  • 間接的に取得するときとは以下の場合です

  • 第三者の管理者からデータを取得
  • 公に入手可能な情報源から取得
  • データ・ブローカーから購入
  • 当事者以外のデータ主体から取得
  • 【27】
    情報提供のタイミングはとても大切です。適切なタイミングに情報を提供できているかどうかで透明性の義務やデータを公正に処理する義務を果たせているかが決まります。
    GDPR第13条が該当する場合はGDPR第13条(1)で記載されているように、「個人データが取得されるタイミング」で情報を提示しなければなりません。

    GDPR第14条が該当する、間接的に個人データが取得される場合はGDPR第14条(3)(a) – (c)に定められるタイミングでデータ主体に情報を提供しなければなりません。

  • 一般的な要件として、情報提供は個人データを取得した後「合理的な期間」の間に(遅くとも一ヶ月以内に)、個人データが処理された特定の状況に関連して、提供されなければなりません
  • GDPR第14条(3)(a)で定められる1ヶ月という期間は、GDPR第14条(3)(b)をみるとさらに短くなる可能性があります。GDPR第14条(3)(b)では、個人データがデータ主体とのコミュニケーション時に使用される場合について書いていますが、この場合、情報は遅くともデータ主体と最初にやり取りするときに提示されなければなりません。データ主体との最初のコンタクトがデータ取得後1ヶ月以内に行われるのであれば、この場合、1ヶ月よりもはやいタイミングでの情報通知が必要ということになります。反対にデータ主体との最初のコンタクトがデータ取得後1ヶ月を越えたタイミングで行われるのであれば、GDPR第14条(3)(a)に従い、先に情報通知を行う必要があります。
  • データが(第三者であるかを問わず)他の開示先から開示された場合について述べたGDPR第14条(3)(c)も、最初にデータを開示されたタイミングで情報通知を行う必要があるため、1ヶ月よりも早いタイミングで情報通知を行う必要があるケースがでてきます。GDPR第14条(3)(b)で述べたケースと同様に考えてください。