ケニヤがデータ保護法案を提出しました。
法案が通ると、商業目的での個人データ処理が許されるのは、同意がある場合または法律によって要求された場合のみとなります。
例外規定に該当したときにのみ特別な個人情報(宗教、人種、健康データ)の処理が可能となります。
プライバシー権は状況によっては制限されることがあります。不正処理や不正アクセスは国の委員会および影響を受けた個人に通知されなければなりません。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<不可能である場合>
【59】
GDPR第14条(5)(b)がいうところの「不可能である場合」というときの「不可能」が何を指すのかは示されていません。
管理者は、「不可能」という限り、当該情報をデータ主体に通知することを妨げている実際の要因を例示しながら「不可能であること」を示さなければなりません。
一定期間経過後、「不可能」であった要因が解消された場合、管理者は直ちにデータ主体に情報を通知する必要があります。
現実問題として、「不可能である場合」と示すことができるケースはごく限られたケースのみとなるでしょう。
例)
あるデータ主体が後払いのオンライン購読サービスに登録したとします。登録後、管理者は信用調査会社からそのデータ主体についての信用データを入手し、サービス提供の可否を確認します。管理者は、GDPR第14条(3)(a)に基づき信用データを入手したことを、入手後3日以内データ主体に通知することにしています。
ところが、このデータ主体の住所も電話番号も公開されたレジストリにはありませんでした。(データ主体は外国に住んでいます。)
データ主体はe-mailアドレスを入力していませんでした。(または誤ったe-mailアドレスを入力していました。)
このような場合、管理者はデータ主体に直接連絡するすべがないということになります。
上記のケースの場合、しかし、信用調査データの収集について管理者は登録前にウェブサイトに記載するという方法をとることができます。
このような場合、GDPR第14条でいわれるところの「不可能」というのは当てはまりません。
