ダイヤモンドオンラインで「日本企業初の「GDPR」違反の可能性、プリンスホテルなど」という記事が出ていました。
制裁金に至るまでにはまだ時間がかかるでしょうが、こういった事象が起きたときに説明責任をしっかり果たせるよう準備が必要です。
中小企業の方も少しずつ対応を開始してくださっており、とても良いことだと思います。
弊社でもGDPRコンサルティングスタッフを一名追加してご支援対応を強化させていただいております。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<GDPR第13条、GDPR第14条の情報に変更があった場合の通知(Timing of notification of changes to Article 13 and Article 14 information)>
【30】
従前データ主体に提供されていたGDPR第13条、GDPR第14条に準拠した情報に変更があった場合、データ主体にその変更をいつまでに通知する必要があるかについて、
GDPR上は特に言及がありません。
(GDPR第13条(3)およびGDPR第14条(4)で言及されている通り、新たな目的の追加については該当処理が発生する前に情報通知する義務があります)
GDPR第14条でにおける情報通知のタイミングに鑑みると、管理者はデータ主体の合理的期待、変更がデータ主体に及ぼし得る影響の大きさに関連して公平性の原理と説明責任の原理を遵守しなければなりません。
例えば受領者の種類が増えるまたは第三国へのデータ移転が生じる等、処理の本質に対して大きな変更を説明するための通知となるのであれば、実際の変更がなされるよりも十分前にデータ主体にその変更を通知する必要があります。
処理の本質に対して大きな変更はないにしろ、データ主体に対して影響があるような変更である場合も同様です。
その際、データ主体ははっきりと通知されたことを認識し、かつ実効性のある形で通知を受け取らなければなりません。
データ主体が変更を「見逃さない」こと、そしてその変更の性質と影響について考え、(処理に反対し同意を撤回する等)変更に関してGDPR上で許容される権利行使を行う余地を与えられることが大切です。
【31】
管理者は透明性の原理に基づいた情報の更新が必要となる場合について、その文脈と状況を注意深く考えて更新を行わなければなりません。
つまり、どの程度大きな影響をデータ主体に与えるのか、どのような形でデータ主体に伝えたらよいか、といったことを考える必要があります。
通知から処理の変更の実施までの時間がどれくらいであったか、そしてそれがなぜデータ主体に対して公平性を保っているかの説明もできなければなりません。
WP29は、公平性の原理に立てば、データ主体に対して処理の変更がどのような影響を及ぼし得るか説明する義務が、管理者にはあると考えています。
処理の種類が全く変更になる場合、透明性の原理を果たしただけでは不十分です。
GDPRの他の規則をすべて遵守すべきである点を忘れてはなりません。