今日からは「透明性のガイドライン(WP260 rev.01)」を読んでいきます。これは、ガイドラインの中でももっとも重要なものの一つで、かつもっとも長いものの一つです。
実際、各国の監督機関は繰り返し「透明性」の重要性に言及してきました。
確実に対応されることを推奨します。
透明性のガイドラインはパラグラフごとに番号がふられています。
全部で70パラグラフあるため、2ヶ月ほどかかりそうですがどうぞお付き合いいただければ幸いです。
—
はじめに (Introduction)
【1】
このガイドラインは、GDPR下で個人データを処理する際に求められる透明性の義務について、実務上、解釈上の補助となるようにWP29が作成したものです。
透明性の原則はGDPR全体を支配する義務であり、以下の3つの領域で適用されます。
(1)公正な処理に関連してデータ主体に情報を提供すること
(2)GDPR下で管理者がデータ主体にどのように情報を提供するか
(3)データ主体による権利の行使について管理者がどう支援するか
ガイドラインで記載される内容は、あらゆる管理者に適用されますので、管理者である限りはこのガイドラインに記載されていることにしたがっていることが期待されます。
業界、分野、産業ごとに生じうる変数については網羅されませんが、高次でのWP29による解釈を示すものとして理解してください。
【2】
「透明性」は、EU法において長い間確立されてきたものの一つです。
処理の影響を受ける市民が理解し、要すれば処理に対して異議を申し立てることができるようにすることで処理に対する信頼を生み出してきたのが「透明性」です。
欧州人権憲章(Charter of Fundamental Rights of the European Union)の第8章にある個人データの処理に関する「公平性の原理」を実現するのも、「透明性」の果たす役割の一つです。
GDPRでは(個人)データを処理する要件として、適法性、公平性という要件に加え、透明性が加わりました。
透明性は、その性質上、公平性および「説明責任」とも結びついています。
GDPR第5条(2)によれば、管理者はデータ主体に対して透明性をたもった処理を行っていることを示さなければなりません。GDPRではこれに関連して、説明責任の原則に従い、管理者はデータ処理行為の透明性を説明することができなければなりません。