フランスの監督機関CNILが行った監査で、マーケティング・ソリューション会社の使用しているアプリが違法と判断されました。
アプリは起動していないときもスマートフォン・ユーザのデータ(位置情報)をターゲットマーケティング目的で取得しており、そのことをユーザに通知していませんでした。
また、位置情報データを必要以上長期にわたって保有していました。(13か月)
CNILは会社に対して同意取得のための期間を3か月与え、保管期間を適正化するポリシーの実装をこの期間内に行うよう指導しました。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<目的を著しく損ねる場合 Serious impairment of objectives>
【65】
この条件に準拠する場合、GDPR第14条(1)で義務付けられている情報を提供だけで目的が損なわれることを証明しなければなりません。
GDPR第14条(5)(b)の前提条件としてGDPR第5条の原則をすべて満足していることがあることも忘れてはなりません。
個人データの処理は、公正で適法根拠を持っている必要があります。
例)
銀行Aは資金洗浄防止法に従う必要があり、同行がもつ口座について疑いのある活動を認めた場合、関連する金融法管轄当局に報告しなければなりません。
銀行Aは別の加盟国にある銀行Bから、銀行Bの口座保有者が銀行Aに資金を移動するよう要求を受けたと通知を受けました。
銀行Aはその資金移動に疑問を抱き、関連する金融法管轄当局に情報を提供しました。
資金洗浄防止法は、口座保有者に情報提供することを有罪行為として規定しています。
このような場合、GDPR第14条(5)(b)の適用が可能となります。GDPR第14条(1)の情報提供を行うことによって、金融法の目的が著しく損なわれ、
口座保有者に情報共有する結果となるためです。
しかし、一般的な情報として銀行Aは開示された情報が資金洗浄防止法のために処理されるケースがあることをすべての講座所有者に通知することはできます。