引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<適切な方法で(Appropriate measures)>
【24】
内容と並んで重要なのが、GDPR第13条、GDPR第14条で要求される情報の提供される方法です。
GDPR第13条、GDPR第14条の内容を含んだ通知は、data protection notice、privacy notice、privacy policy、privacy statement、fair processing noticeといった呼び方で呼ばれます。GDPR上にはフォーマットの指定や様式の指定はありませんが、透明性の原理に基づき、「適切な方法」で必要な情報をデータ主体に伝達する義務が管理者にはあるとしています。
管理者はデータが取得される場面、データが処理される場面をよく検討した上で、様式やフォーマットを決定する必要があります。
特に「適切な手段」であるかどうかは、提供するサービス/製品の観点から評価されなければなりません。
使用する装置は何か、管理者とユーザの間のインタフェースはどこにあるか、ユーザとのやり取りはどのようにしているか、といったことを考えてください。
管理者がオンラインでのユーザとの接点を持っている場合は、privacy statement/noticeは階層化された形で提供されるべきです。
【25】
情報提供にもっとも適切な様式を特定する目的でユーザテストを行うこともできます。
ユーザテストでは、提供した方法がユーザにとってどれくらい容易にアクセス可能か、理解できるか、容易に利用できるかを確認できます。
管理者は説明責任を果たす意味でもこのプロセスを文書化しておくとよいでしょう。
情報を伝えるためのもっとも適切な方法を選択する上でのプロセスを明確にすることができます。