透明性のガイドライン(WP260 rev.01)を読む(49)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

GDPR第13条、GDPR第14条で記載すべきことについてのWP29の見解をまとめておきます。
【個人データの受領者(又は受領者の種類)】
第三者かどうかに関わらず、データを受け取る存在を記載すること。
他のデータ管理者、共同管理者、共同処理者を含む。
実名または受領者の種類を記載すること。
データ主体が、誰にデータが渡るのかを理解できることがポイント。
受領者の種類を記載する場合は、できるだけ特定すること。(受領者の種類、産業、セクター、サブ・セクター等)

【第三国移転の詳細、そこでなされる安全保護策、十分性認定の有無、安全保護策の証拠となるもののコピー】
十分性認定、BCR、SCC、デロゲーションといった安全保護策を特定すること。
関連文書へのアクセス方法、入手先、を提示すること。

【保管期間(可能なら保管期間の判定基準も)】
法的要件、産業ガイドラインに準拠するものでよいが、データ主体がアクセスできるようにしておくこと。
単に「ビジネス上必要な限り」としておくことは不十分である。
個人データの種類ごとに保管期間を変更し、場合によってはアーカイブ期間も記載すること。