フランスの監督機関(CNIL)がCookie notice違反で25,000ユーロ(約350万円)の制裁金を課金しました。
制裁金を課せられたウェブサイトはCookieの種類を分類しておらず、ユーザがCookieの送付を拒否することを許可していませんでした。また、Cookieの送付を拒否した場合の結果についても通知しておらず、Cookieの保管期間を13ヶ月未満とすることも遵守できていませんでした。

Cookieの管理は今後ますます厳格となることが予想されるため、注意をしてください。
テクニカ・ゼン株式会社では、GDPR/ePrivacy Regulationに準拠したCookie noticeの提供を行っておりますので、お気軽にご相談ください。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜視覚化ツール＞
[認証メカニズム、認証シール、認証マーク(Certification mechanisms, seals and marks)]
【53】
標準化されたアイコン以外に、透明性を強化する方法として、GDPR第42条ではデータ保護認証メカニズム、データ保護シール、データ保護マークの活用を推奨しています。WP29は認証メカニズムについてのガイドラインを発行する予定です。

＜データ主体の権利行使＞
【54】
透明性の原理を遵守するということは、データ主体の権利行使についてデータ管理者に３つの義務を課すことにつながります。

ブラジルの上院が包括的なデータ保護の法的枠組みを承認しました。

それによると管理者には、苦情を受け付け従業員がデータ保護を実践するための先導役となるDPOの選任義務が生じました。
また、管理者はデータ処理に適法根拠を必要とします。（同意、正当な利益、契約の履行、子供の最善の利益）
新製品や新技術の開発の際にはPIAの実施を義務付けられ、データ・ポータビリティ権、修正権、同意の撤回、自動化された意思決定の見直し要求といったデータ主体の権利行使に応じる義務も生じました。データ侵害が生じた際はDPAに通知し、影響を受けたデータ主体にも通知が必要となります。

準拠しない場合の制裁金の最大額は1,340万USD(約14億円)です。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜視覚化ツール＞
[アイコン(Icon)]
【51】
GDPR第12条(7)で、「アイコンが電子的な手段で提供されるときは、機械判読が可能であることが必要」とされているということは、アイコンが電子的な手段で提供されないこともある、ということです。

電子的な手段で提供されないケースとしては、例えば紙、IoT装置、IoT装置のパッケージ、Wi-Fiトラッキングについての公共の場における通知、QRコードの通知、CCTVの通知、といった場合が考えられます。

【52】
アイコンを使用する目的は明確で、データ主体が大量の書面による情報を読む必要を軽減することにあります。
しかし、GDPR第13条、GDPR第14条で規定される情報を効果的に伝達することができるかどうかは、シンボル、イメージが適切かどうかにかかっています。

世界的に認知されたシンボルまたはEU域内で認知されたシンボルを使用する必要があります。

GDPRはEDPD(European Data Protection Board)/EC（欧州委員会）に適切なアイコンの開発をするよう定めています。

GDPR前文166で述べられるように、アイコンは、evidence-based(証拠に準じた)手法で開発されるべきですし、標準化される前に十分な調査および産業・公共の場でのテストが実施される必要があるでしょう。

中国がセキュリティ製品の認証について既存のアクレディテーション・ボディ(認可団体：accreditation body)に申請するように通達したとの情報があります。
既に認証を得ているセキュリティ製品メーカは、同一のアクレディテーション・ボディに申請することで際認証を取得できます。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜視覚化ツール＞
【49】
GDPRで謳われる透明性の原理は言葉によるコミュニケーションに限定されません。（口頭、書面に関わらず）
適切な場合は視覚化ツール（特にアイコン、認証メカニズム、データ保護シール/マーク）の使用も可能です。

GDPR前文58が示すとおり、オンライン環境では情報へのアクセス性が特に重要です。

[アイコン(Icon)]
【50】
GDPR前文60では、標準化されたアイコンを「併用して」、階層化アプローチを行い、データ主体に情報を提供する場合についての記載があります。

アイコンを使用しても、データ主体の権利や管理者のGDPR第13条、GDPR第14条で要求される情報提供義務が軽減されるというわけではありません。
GDPR第12条(7)で述べられているように、アイコンは情報を捕捉する手段として使用されます。

The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable.

(GDPR第13条、GDPR第14条にしたがって提供される情報は標準化されたアイコンと併用して提供することができる。この目的は視覚性を良くし、判読性を高めることで意図する処理について有意な概要をデータ主体に提供することにある。アイコンが電子的な手段で提供されるときは、機械判読が可能であることが必要である。)

7月末に、オランダ当局が現地大企業30社に対し立ち入り監査を実施しました。
立ち入り監査まではしないだろうという意見も以前はあったのですが、この情報を見ていると、GDPRへの準拠を当局も相当真剣にもとめているように感じますね。
欧州と取引のある企業様は少し注意をされたほうがよいかもしれません。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜追加の処理に関する情報＞
【48】
情報通知のタイミングはデータ主体の権利行使と結びつけて考える必要があります。
公正な処理(fair processing)を実現するための方法として、適切なタイミングでの情報通知は非常に重要です。
透明性の原理を担保するGDPR第13条、GDPR第14条の要件は、公正な処理（fair processing）とも関連しています。

「追加の処理(further processing)」は、「情報通知」後十分な時間をとって行うのが「公正な処理」とWP29は考えています。
「追加の処理」についての情報通知後ただちに当該処理が行われてはなりません。十分な時間をデータ主体に提供する事で、管理者は「透明性」を確保できますし、データ主体は「追加の処理」について十分考慮する時間を得られるということとなるでしょう。（権利行使を行うための時間もデータ主体は確保できることとなりますね）

「十分な時間」とはどの程度の時間でしょうか？
これは、一概には言えません。一点言えることは、追加の処理が侵害度の大きい処理である場合や、通常のデータ主体の想定を超えている場合にはより長い時間が必要ということでしょう。

管理者は、情報を通知するタイミングについても説明責任を負います。
情報通知を行うためのタイミングとしてなぜそのタイミングを選択したのか、全体としてそのタイミングがデータ主体に対してなぜ公正(fair)といえるのかについて管理者は説明できなければなりません。

（情報通知を行う適切なタイミングについては【30】、【32】も参照のこと）