ブラジルがGDPRの影響を受けた法案をパブリック・コンサルテーションに付しました。
GDPR型のデータ・プライバシー法がますます広がっています。海外展開している場合は対策を進めてください。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<情報提供のタイミング(Timing for provision of information)>
【28】
GDPR第14条に基づいた情報提供のタイムリミットは、結局1ヶ月以内ということになります。
一方で、GDPRの原則である「公平性」と「説明責任」に立ち戻るのであれば、管理者は常にデータ主体の合理的期待、データ処理がデータ主体に与える影響、データ処理についてデータ主体が行使できる権利、を考慮しなければなりません。データ主体にいつ情報通知を行う際は、こういった観点から決定してください。
「説明責任」という意味では、管理者は情報通知を行っているタイミングが正当なものであることを合理的に説明できなければなりません。
これらを考慮すれば、「ぎりぎり1ヶ月」という選択肢はなくなるでしょう。
GDPR前文39では以下の点が強調されています。
「データ主体はそのような個人データの処理がもたらすリスク、処理に関するルール、安全保護策、および処理に付随するデータ主体の権利および権利の行使の仕方」について知らされている必要があります。
GDPR前文60では「データ主体は個人データの処理が存在すること、処理の公平性と透明性の原理に基づいて処理の目的について知らされていなければならない」という要件について指摘されています。
上記の理由から、WP29は以下のような立場をとっています。
データ管理者は、可能である限り、公平性の原理に基づいて、記載されているタイムリミットよりも十分前にデータ主体に対して情報通知を行うべきである。
処理業務についてデータ主体に通知するタイミングについての適切性および実際にそのような処理業務が行われるまでの感覚については【30】、【31】、【48】で言及します。
【29】
透明性の原理はデータ取得時だけではなく、データのライフサイクルすべてに適用されなければなりません。
たとえば既存のprivacy statement/noticeに大きな変更、差し替えがあった場合はどうすべきでしょうか?
この場合、データ管理者は最初のprivacy statement/noticeについてあてはまるルールを当てはめます。
「大きな変更」や「差し替え」が何を指すかは、データ主体への影響の大きさ(データ主体の権利を行使可能かどうかを含む)とその変更がデータ主体の予想を上回るものか、データ主体が驚くようなものか、という点から判断します。
privacy statement/noticeへの変更は常にデータ主体に伝えられなければなりません。
特に、処理の目的が変更となった場合、管理者の身元が変更となったとき、処理についてデータ主体が権利講師をするための方法に変更が生じたときは確実に情報を伝える必要があります。
反対に、WP29が「大きな変更」、「差し替え」に該当しないと考えるのは以下のような場合です。
既存の顧客、ユーザは通常privacy statement/noticeへの変更をちらっと見る程度なので、管理者はあらゆる方法を用いて大半の受領者が変更に気がつくような状態を確実に作らなければなりません。変更の通知は適切な方法をとる必要があるでしょう。たとえば、e-mailを送る、書面の手紙を送付する、ウェブページ上でのポップアップといった、GDPR第12条に記載されている「正確で透明性を保ち、理解可能で、容易にアクセスでき、明快で平易な言葉を使ったコミュニケーション」方法が考えられます。
Privacy statement/noticeの変更についてはデータ主体が継続的に確認するようにと伝えるだけでは不十分ですし、GDPR第5条(1)(a)の公平性の原理に合致していないと判断されます。
データ主体に変更について通知するタイミングについては【30】、【31】でさらに検討します。