7月末に、オランダ当局が現地大企業30社に対し立ち入り監査を実施しました。
立ち入り監査まではしないだろうという意見も以前はあったのですが、この情報を見ていると、GDPRへの準拠を当局も相当真剣にもとめているように感じますね。
欧州と取引のある企業様は少し注意をされたほうがよいかもしれません。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<追加の処理に関する情報>
【48】
情報通知のタイミングはデータ主体の権利行使と結びつけて考える必要があります。
公正な処理(fair processing)を実現するための方法として、適切なタイミングでの情報通知は非常に重要です。
透明性の原理を担保するGDPR第13条、GDPR第14条の要件は、公正な処理(fair processing)とも関連しています。
「追加の処理(further processing)」は、「情報通知」後十分な時間をとって行うのが「公正な処理」とWP29は考えています。
「追加の処理」についての情報通知後ただちに当該処理が行われてはなりません。十分な時間をデータ主体に提供する事で、管理者は「透明性」を確保できますし、データ主体は「追加の処理」について十分考慮する時間を得られるということとなるでしょう。(権利行使を行うための時間もデータ主体は確保できることとなりますね)
「十分な時間」とはどの程度の時間でしょうか?
これは、一概には言えません。一点言えることは、追加の処理が侵害度の大きい処理である場合や、通常のデータ主体の想定を超えている場合にはより長い時間が必要ということでしょう。
管理者は、情報を通知するタイミングについても説明責任を負います。
情報通知を行うためのタイミングとしてなぜそのタイミングを選択したのか、全体としてそのタイミングがデータ主体に対してなぜ公正(fair)といえるのかについて管理者は説明できなければなりません。
(情報通知を行う適切なタイミングについては【30】、【32】も参照のこと)