透明性のガイドライン(WP260 rev.01)を読む(34)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

イスラエルのDPA(監督機関)は、制裁金を課すことができるほか、違反者を最大5年間の懲役に課す権限を与えられています。
IT系、ベンチャー系でイスラエルと取引がある場合は要注意です。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<データ主体に情報通知をする義務がない場合>
【GDPR第13条の例外事項】

【56】
管理者がデータ主体から直接データを取得する際にGDPR第13条に準拠した情報通知を行う必要がないのは、「データ主体が該当する情報を既に手にしている場合(where and insofar as, the data subject already has the information)」に限定されています。この場合においても、管理者は、データ主体が該当する情報を既に手にしているといえる合理的な理由を証明できなければなりません。(文書の提示も必要となるでしょう。)

管理者が示すべき内容は以下の通りです。

  • データ主体が既に手にしている情報の具体的内容
  • いつ、どのように該当する情報を手に入れたのか
  • 該当する情報に変更がなく、情報が依然として最新であることの証拠
  • “insofar as”(~する限り)という表現が原文(GDPR第13条(4))で使用されているため、管理者はデータ主体がGDPR第13条(1)、(2)で定義された情報を完全な状態で確実に手にしていることを補償する義務があります。

    以下に、データ主体に情報通知をする義務がないと考え得る一例を、good practiceとして示します。

    (例)
    オンラインe-mailサービスにサインアップしたユーザがいるとします。
    ユーザはサインアップ時、GDPR第13条(1)(2)で要求されるすべての情報を入手しています。

    6ヵ月後、同じユーザがe-mailサービス提供業者の提供するインスタント・メッセージ機能を有効化しました。
    その際、電話番号を追加で提供しました。

    サービス業者はこの時点で電話番号の処理について、GDPR第13条(1)(2)で要求される情報の一部を追加提供しました。
    (処理の目的、処理の適法根拠、開示先、保持期間)しかし、6ヶ月前に既に提供されていた情報については、変更がなかったため情報通知を行いませんでした。
    (管理者の身元と連絡先、DPOの身元と連絡先、データ主体の権利、監督機関に苦情申し立てをする権利)

    Best Practiceとしては、再度、GDPR第13条(1)(2)で要求される情報をすべて提供しなおすことがよいといえるでしょう。
    とはいえ、データ主体はどの情報が「追加」で提供されたものかを理解できる必要もあります。

    要はバランスの問題ですが、6ヶ月前に提供された情報をデータ主体が覚えていない可能性があり、権利行使が可能であることを忘れている可能性があります。
    すべての情報を通知しなおすのが最もよい方法といえそうです。