透明性のガイドライン(WP260 rev.01)を読む(33)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<データ主体の権利行使>
【55】
データ主体の権利行使についてGDPRで規定される要件や必要な情報の性質をみると浮かび上がってくることがあります。
GDPRが意図しているのは、データ主体の権利を擁護し、管理者がデータ主体の個人データ処理について説明責任を果たす、ということです。

GDPR前文59では「データ主体が権利行使を行うためのフォーマットを提供すべき」とされています。また、管理者は「電子的手法で個人データが処理されている場合は特に、電子的な手法で要求可能であるよう整備する必要がある」とされています。

管理者は、データ主体との関係に鑑みて適切な形でデータ主体の権利行使が可能な様式を提供しなければなりません。
そのため、管理者は複数の方法を用意することになるかもしれません。

(例)
あるヘルス・サービス提供業者は、データ主体が自身の個人データにアクセス権を行使するための方法として、オンライン、オフラインで次の二つの様式を準備しています。
1.ウェブサイト上の電子的フォーム
2.ヘルス・クリニックの受付においてある紙面の様式

これに加え、手紙やemailでの問い合わせに対しても対応を行っています。また、データ主体が自身の権利行使について問い合わせをするための専用連絡先(emailまたは電話でアクセス可能)を準備しています。