各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。
イタリアのニュースです。あるメーカーがGPSシステムを社用車に搭載し、120秒ごとに従業員データ(車の位置、運転時間、ブレーキの時間)を取得していました。その会社は、従業員に当該システムについて適切に通知しておらず、1年間取得したデータを保管していました。(それによって従業員を継続的に監視することができていた)
DPAはそれを不当と判断し、取得したデータや保存していたデータについてデータ処理を停止するよう命じられました。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<過大な努力 (Disproportionate effort)>
【62】
GDPR第14条(5)(b)でいう「不可能」または「過大な努力」が何に該当するかは、GDPR第13条のケースと同じ基準で判断します。
両者の違いは、GDPR第14条のケースでは、データが直接個人から取得されたわけではない点です。
GDPR第14条(5)(b)の「不可能」または「過大な努力」を適用する際は、データ主体から直接取得されていないことがポイントとなります。
例)
ある大都市の病院では、日帰り手術、長期入院、予約の際に患者情報を記入するように求めています。この患者情報には二親等の親族情報を記載することとなっています。
この病院では日々多数の患者が出入りしており、フォームの二等親の親族情報に記入されたデータ主体にGDPR第14条で要求される情報を通知することは、事実上不可能と判断できます。