引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
【34】
GDPRはデータ主体にすべての情報を提供するように要求するとともに、正確で、透明性があり、理解可能で容易にアクセスできる形態での情報提供を行うことを要求しています。
一見相反する要求ですが、説明責任および公平性の原理に鑑みて、管理者は自身が行う個人データの処理の本質、状況、文脈を分析し、GDPRの要求事項とこのガイドライン(の特にパラグラフ【36】)で説明される内容を考慮に入れてデータ主体に提供すべきデータについて、どう優先づけるか、どの程度まで詳細に情報提供を行うべきか、およびどのような形態で情報を通底すべきかについて決定する必要があります。
<電子的な環境における階層アプローチおよび階層化されたprivacy statements/notice>
【35】
電子媒体での情報通知の場合、データ主体に提供される情報量によっては透明性を確保するために階層アプローチをとることも可能です。
WP29としても、privacy statements/noticeは、すべての情報をスクリーン上にすべて提示するのではなく、データ主体に提供しなければならない情報へのリンクを含んだ構造としておくべきだと考えてます。
情報が多すぎると情報疲労を起こしてしまうためです。
privacy statements/noticeを階層化することでユーザは読みたい個所に直接移動でき、情報の完全性と理解しやすさをともに実現するという難題を解決できます。
階層化するといっても、単にネスト化するだけではいけません。
ユーザが複数クリックしなければ知りたい情報にたどり着けないというのは好ましくありません。
privacy statements/noticeの最初の階層は、データ主体が自身の個人データの処理について得ることができる情報を概観し、privacy statements/noticeのどこで(どのように)その情報を入手できるのか理解できるものである必要があります。また、異なる階層に含まれている情報の間で一貫性が保たれていて矛盾がないことも重要です。