透明性のガイドライン(WP260 rev.01)を読む(28)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<追加の処理に関する情報>
【46】
The controller shall provide the data subject prior to that further processing with information on that other purposes and with any relevant further information as referred to in paragraph 2.
「管理者は当初の目的以外の追加の処理を行う前に、データ主体に対してパラグラフ2で言及された追加の情報を提供しなければならない」

と記載されているからといってGDPR第13条(2)GDPR第14条(2)の内容を情報通知する必要がないと理解してはなりません。ここで記載されている情報が欠損している、または適用されない場合を除いて、ここで記載さえている情報を提供することは義務です。

【47】
WP29は、「同意」または「加盟国法/EU法」いがいを適法根拠とする場合、GDPR第6条(4)で記載される適合性分析をprivacy statement/noticdの中で行い、データ主体がその情報を入手可能としておくことを推奨しています。これによって管理者は透明性、公平性、説明責任を果たすことができます。

追加の目的での処理を行う際、当初の目的と比べてなぜその処理の目的が合致しているといえるかを説明するとよいでしょう。

データ主体は、管理者の行った分析を見てその妥当性を検証することができます。異議があればデータ主体の権利行使を行う(例えば制限権を行使する等)ことができる余地が生まれます。仮に、管理者がそのような情報をprivacy notice/statementに記載しないことを決めた場合は、データ主体に、そのような情報が入手可能な旨を通知することをWP29は推奨しています。