透明性のガイドライン(WP260 rev.01)を読む(42)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

ブラジルで新たなプライバシー法が施行されました。2020年2月15日に施行されます。
管理者は苦情を受け付け、従業員がデータ保護を適切に行うように指導するDPOを任命することを義務付けられます。
管理者は、同意、正当な利益、契約の履行、子どものための最善の利益といった適法根拠をデータ処理に示す必要があります。
新製品、新技術に対してはPIA(プライバシー・インパクト・アセスメント)を行う必要があります。
管理者はデータ主体の要求(ポータビリティー権、修正権、同意の撤回、自動化された意思決定の見直し)に対して対応しなければなりません。
また、セキュリティ事故が発生した場合はDPAおよび影響を受けたデータ主体に通知する必要があります。
違反者には最大15億円の制裁金が課せられます。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

【64】
管理者は「埠頭に過大な労力」を必要とするためGDPR第14条(5)(b)に基づいて情報通知を行わないと決定する際、バランシングテストを実施すべきです。
管理者がデータ主体に情報を提供するとした場合の労力とデータ主体に情報通知を行わない場合のデータ主体への影響を比較します。

バランシングテストの結果はアカウンタビリティの資料として有用となることでしょう。
同時に、管理者はデータ主体の自由と権利を護るために適切な安全保護策を講じておくことが推奨されます。

管理者は各データ主体に通知できないと判断した場合、公にアクセス可能な場所で情報通知を行っておくべきです。
ウェブサイトに掲示する、新聞に掲示する、ポスターを自社の敷地内に掲示する等の方法が取れることでしょう。

また、状況によっては、DPIAを実施する、データに仮名化技術を適用する、取得したデータを最小化する、保管期間を最小化する、高いレベルの安全保護策を組織的、技術的に講じる、といったことが行えます。

データ主体の特定を不要とする処理(仮名化されたデータの処理)の場合は、GDPR第11条(1)で示されているように、わざわざ個人を特定する必要はありません。