office-terakawa のすべての投稿

GDPR

透明性のガイドライン(WP260 rev.01)を読む(50)

2018-08-30 office-terakawa

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
GDPR第13条、GDPR第14条で記載すべきことについてのWP29の見解をまとめておきます。
【データ主体の権利行使】
行使可能な権利の種類、権利行使の方法、権利行使が制限される場合はどのような場合かの情報
処理に反対する権利については明確に、他と区別して最初にデータ主体とコンタクトを取る前に提示すること。
データ・ポータビリティについてはガイドラインを参照のこと。

【同意（又は明確な同意）に基づく処理の場合、同意をいつでも撤回できる権利】
データ主体が同意を撤回する方法。これは同意を与えるのと同じくらい容易である必要がある。

【監督機関に苦情を申し立てる権利】
データ主体は、自身の居住している場所、勤務地の監督機関に、GDPR違反について苦情申し立てができることを明記すること。

【法的要件、契約上の要件、契約の履行に必要、情報提供義務があるか、情報提供を行わなかった場合の結果】
雇用契約の場合は契約上ある一定の情報を現在の従業員または雇用予定の従業員から取得する必要がある。
オンラインフォームの場合は、どの情報が「必須」でどの情報が「任意」か明治
「必須」情報に入力しなかった場合の結果についても記載のこと。

【個人データの入手源、公開データベースから入手したか】
データ取得源は明示すること。
明示できない場合、情報取得源の性質（公的な情報源か、私的に取得された情報源か）
情報取得源の組織、産業、セクターの種類

【プロファイリングを含む自動化した意思決定の有無、該当する場合は有意な使用ロジック情報、そのような処理による重大なまたは意図する結果】
プロファイリングを含む自動化した意思決定についてのガイドライン参照のこと。

GDPR

透明性のガイドライン(WP260 rev.01)を読む(44)

2018-08-22 office-terakawa

【データ・ローカライゼーションの動向】インドがECの国家フレームワークを起案
２年間の猶予期間後、e-commerceを行う会社はインド国内にある種のデータを保管するよう求められる模様。インド国内に保管すべきデータは以下。e-commerceプラットフォーム内、ソーシャルメディア、サーチエンジンでインド国内ユーザによって生成されたデータ。その他、不特定多数を目的とした電子コミュニケーションを規制する法的枠組みを強化し、消費者が生成したデータのポータビリティ権を実装しています。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<法律によって明示的にデータ取得、公開を命じられた場合>
【66】
GDPR第14条(5)には、「管理者が従うべき加盟国法によって明示的に」個人データを取得または開示するよう求められた場合、GDPR第１４条(1)、GDPR第１４条(2)、GDPR第１４条(4)の規定が除外されます。
ただし、この場合、加盟国法が「データ主体の正当な利益を適切に保護する手段」を提供していることが条件となっています。

加盟国法は管理者に直接適用されるため、管理者はどのように当該法が適用sれ、個人データを取得・開示しなければならなかったかについて説明できなければなりません。
「データ主体の正当な利益を適切に保護する手段」を規定するのは加盟国法ですが、管理者は、データの取得・開示時に加盟国法の規定を遵守しなければなりません。
同時に、管理者はデータ主体に対して、法的要求に従いデータを取得・開示する場合があることを明言しておく必要があります。（法律で禁止されている場合は除く）

GDPR前文41は、適法根拠、法的手段は明確で正確であり、データ主体が予測可能である必要があるとしています。
GDPR第14条(5)は、GDPR第13条が適用される直接取得の場合には適用されません。

GDPR第13条で例外規定が適用されるのはGDPR第13条(4)が該当する場合のみです。（データ主体が既に当該情報を持っている場合）
詳細は【68】を参照してください。加盟国はGDPR第23条により透明性の権利に制限をかける場合があります。

例）
税務当局は雇用主から雇用者の給与情報の詳細を取得する義務が加盟国法によってあります。
個人データは直接取得されていないので、税務当局はGDPR第14条に準拠する義務があります。
税務当局が雇用主からデータを取得することは明示的に法律で規定されているためGDPR第14条の規程は、税務当局には該当しないと判断できます。

GDPR

透明性のガイドライン(WP260 rev.01)を読む(43)

2018-08-21 office-terakawa

フランスの監督機関CNILが行った監査で、マーケティング・ソリューション会社の使用しているアプリが違法と判断されました。
アプリは起動していないときもスマートフォン・ユーザのデータ（位置情報）をターゲットマーケティング目的で取得しており、そのことをユーザに通知していませんでした。
また、位置情報データを必要以上長期にわたって保有していました。（13か月）

CNILは会社に対して同意取得のための期間を３か月与え、保管期間を適正化するポリシーの実装をこの期間内に行うよう指導しました。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<目的を著しく損ねる場合　Serious impairment of objectives>
【65】
この条件に準拠する場合、GDPR第14条(1)で義務付けられている情報を提供だけで目的が損なわれることを証明しなければなりません。
GDPR第14条(5)(b)の前提条件としてGDPR第5条の原則をすべて満足していることがあることも忘れてはなりません。
個人データの処理は、公正で適法根拠を持っている必要があります。

例）
銀行Aは資金洗浄防止法に従う必要があり、同行がもつ口座について疑いのある活動を認めた場合、関連する金融法管轄当局に報告しなければなりません。
銀行Aは別の加盟国にある銀行Bから、銀行Bの口座保有者が銀行Aに資金を移動するよう要求を受けたと通知を受けました。

銀行Aはその資金移動に疑問を抱き、関連する金融法管轄当局に情報を提供しました。
資金洗浄防止法は、口座保有者に情報提供することを有罪行為として規定しています。

このような場合、GDPR第14条(5)(b)の適用が可能となります。GDPR第14条(1)の情報提供を行うことによって、金融法の目的が著しく損なわれ、
口座保有者に情報共有する結果となるためです。

しかし、一般的な情報として銀行Aは開示された情報が資金洗浄防止法のために処理されるケースがあることをすべての講座所有者に通知することはできます。

GDPR

透明性のガイドライン(WP260 rev.01)を読む(42)

2018-08-20 office-terakawa

ブラジルで新たなプライバシー法が施行されました。2020年2月15日に施行されます。
管理者は苦情を受け付け、従業員がデータ保護を適切に行うように指導するDPOを任命することを義務付けられます。
管理者は、同意、正当な利益、契約の履行、子どものための最善の利益といった適法根拠をデータ処理に示す必要があります。
新製品、新技術に対してはPIA（プライバシー・インパクト・アセスメント）を行う必要があります。
管理者はデータ主体の要求（ポータビリティー権、修正権、同意の撤回、自動化された意思決定の見直し）に対して対応しなければなりません。
また、セキュリティ事故が発生した場合はDPAおよび影響を受けたデータ主体に通知する必要があります。
違反者には最大15億円の制裁金が課せられます。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
【64】
管理者は「埠頭に過大な労力」を必要とするためGDPR第14条(5)(b)に基づいて情報通知を行わないと決定する際、バランシングテストを実施すべきです。
管理者がデータ主体に情報を提供するとした場合の労力とデータ主体に情報通知を行わない場合のデータ主体への影響を比較します。

バランシングテストの結果はアカウンタビリティの資料として有用となることでしょう。
同時に、管理者はデータ主体の自由と権利を護るために適切な安全保護策を講じておくことが推奨されます。

管理者は各データ主体に通知できないと判断した場合、公にアクセス可能な場所で情報通知を行っておくべきです。
ウェブサイトに掲示する、新聞に掲示する、ポスターを自社の敷地内に掲示する等の方法が取れることでしょう。

また、状況によっては、DPIAを実施する、データに仮名化技術を適用する、取得したデータを最小化する、保管期間を最小化する、高いレベルの安全保護策を組織的、技術的に講じる、といったことが行えます。

データ主体の特定を不要とする処理（仮名化されたデータの処理）の場合は、GDPR第11条(1)で示されているように、わざわざ個人を特定する必要はありません。