引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<正確で、透明性のある、理解可能であり容易にアクセス可能である>
【9】
情報が「理解可能である」というのは、情報通知を目にするだろうと意図する対象の平均的な人物が理解できる、ということです。
「理解可能である」という要求は、そのまま「明確で平易な言葉を使用」するという要求に結びつきます。
管理者は情報を取得する対象についての知識を持っているはずなので、その情報を元に対象となる人物が理解可能である内容を定めることができると期待されます。
高い専門性を備えた人についての個人データを取得している管理者は、子供の個人データを取得している管理者よりも高い理解能力を対象に期待してよいでしょう。
もし読み手の理解レベル、情報の透明性が不明である場合は、次のような対応が取れます。
ユーザーパネルにより意見を収集する、読解性試験を行う、公式・非公式で該当する産業グループとやり取り・対話を行う、等
【10】
「正確で、透明性のある、理解可能であり容易にアクセス可能である」という透明性に関する条件は次のような考え方を中心に据えています。
データ主体は個人データを管理者に預けるにあたり、それがどのような結果をもたらし得るのか理解し判断したうえで預けるべきです。
個人データを管理者に預けた後「驚かされる」ようなことが生じてはなりません。
上記の考え方はGDPR第5条(1)の「公平性」と呼応しています。
また、GDPR前文39にも呼応しています。
GDPR前文39を見てみましょう。
ここでは
“[n]atural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal …”
「自然人は個人データの処理に伴うリスク、規則、安全保護策および自身の権利について認識した状態とされなければならない」
とされています。
特に複雑で、技術的、予期せぬデータ処理に関しては、GDPR第13条、GDPR第14条記載の内容に加え、該当する処理によってもたらされうるもっとも重要な結果はどのようなものか、別途、明瞭な言葉で詳細に記述すべきだ、という立場をWP29はとっています。
privacy statement/noticeに記載された該当する処理が具体的にどのような影響を与えるのかについて記載する、ということです。
データ管理者は説明責任の原則とGDPR前文39に従い、データ主体の注意を喚起すべき処理があるのかどうか検討しなければなりません。
管理者はこのような過程を経ることで、個人データ保護に関連して個人の基本的人権と自由に大きな影響を与え得る処理についての概要をつかんでおくことが可能となります。