透明性のガイドライン(WP260 rev.01)を読む(39)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

ドイツDPAは、従業員は個人データ保護の取り扱いにのみ組織に対して責任を負うことを明言しました。DPOは助言し、組織のデータ保護法に対する相談を受け、監督するする立場に過ぎないことも再確認しました。また、組織は、業務において苦情にどう対応するのか従業員を訓練し、是正方法として従業員を律する方法を考える義務を負うとしました。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<不当に過大な努力を要する場合>
【61】
GDPR第14条(5)(b)では、「情報提供が不可能である場合」と並んで、「不当に過大な努力を要する場合(特に、アーカイブ目的、科学的/歴史的調査目的、または統計目的の場合)」が上げら手います。

GDPR前文62に、この部分についての言及があります。
ここでは、データ主体の数、データの古さ、採用されている安全保護策について考慮するように述べられています。

WP29の立場としては、上記に鑑みて「アーカイブ目的、科学的/歴史的調査目的、または統計目的」で個人データを処理していない管理者は「不当に過大な努力を要する」という例外規定を定常的に利用すべきではないと考えています。

「アーカイブ目的、科学的/歴史的調査目的、または統計目的」場合はGDPR第89条(1)で記載されている安全保護策を適用している必要があり、情報提供は管理者の「当然な努力」に合致するものであるべきと考えてください。