【データ・ローカライゼーションの動向】インドがECの国家フレームワークを起案
2年間の猶予期間後、e-commerceを行う会社はインド国内にある種のデータを保管するよう求められる模様。インド国内に保管すべきデータは以下。e-commerceプラットフォーム内、ソーシャルメディア、サーチエンジンでインド国内ユーザによって生成されたデータ。その他、不特定多数を目的とした電子コミュニケーションを規制する法的枠組みを強化し、消費者が生成したデータのポータビリティ権を実装しています。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<法律によって明示的にデータ取得、公開を命じられた場合>
【66】
GDPR第14条(5)には、「管理者が従うべき加盟国法によって明示的に」個人データを取得または開示するよう求められた場合、GDPR第14条(1)、GDPR第14条(2)、GDPR第14条(4)の規定が除外されます。
ただし、この場合、加盟国法が「データ主体の正当な利益を適切に保護する手段」を提供していることが条件となっています。
加盟国法は管理者に直接適用されるため、管理者はどのように当該法が適用sれ、個人データを取得・開示しなければならなかったかについて説明できなければなりません。
「データ主体の正当な利益を適切に保護する手段」を規定するのは加盟国法ですが、管理者は、データの取得・開示時に加盟国法の規定を遵守しなければなりません。
同時に、管理者はデータ主体に対して、法的要求に従いデータを取得・開示する場合があることを明言しておく必要があります。(法律で禁止されている場合は除く)
GDPR前文41は、適法根拠、法的手段は明確で正確であり、データ主体が予測可能である必要があるとしています。
GDPR第14条(5)は、GDPR第13条が適用される直接取得の場合には適用されません。
GDPR第13条で例外規定が適用されるのはGDPR第13条(4)が該当する場合のみです。(データ主体が既に当該情報を持っている場合)
詳細は【68】を参照してください。加盟国はGDPR第23条により透明性の権利に制限をかける場合があります。
例)
税務当局は雇用主から雇用者の給与情報の詳細を取得する義務が加盟国法によってあります。
個人データは直接取得されていないので、税務当局はGDPR第14条に準拠する義務があります。
税務当局が雇用主からデータを取得することは明示的に法律で規定されているためGDPR第14条の規程は、税務当局には該当しないと判断できます。