GDPR関連資格をとろう！ Q&Aで学ぶGDPRとCookie規制(28)-データ主体に対する情報提供(透明性)
2021/10/25   海外法務, コンプライアンス, 情報セキュリティ, 外国法

 

今回から、データ主体に対する情報提供(透明性)(GDPR第13条・第14条)の解説に入ります。

 

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: データ主体に対する情報提供(透明性)とは? Q2: 透明性原則を定める規定は? Q3: 情報提供の場面をより具体的に言うと? Q4: 情報提供方法の具体的要件は? Q5: 管理者が個人データを取得した際提供すべき情報は?

 

Q1: データ主体に対する情報提供(透明性)とは?

A1：個人データの処理に関する情報がデータ主体に十分に提供されるべきことを意味します。

【解　説】

GDPR前文(39)には、要旨以下の通り規定されています。

- 個人データの全ての処理は適法かつ公正(lawful and fair)でなければならない。

- 個人データの取得その他処理の事実・範囲に関しデータ主体に対する透明性(transparency)が確保されなければならない。

- この透明性の原則上、データ主体は自己の個人データの処理に関する情報に容易にアクセス（入手）できなければならない。また、提供される情報は、明確かつ平易な言葉(plain language)で記述される等、データ主体が容易に理解できるものでなければならない。

- 透明性原則は、特に、当該個人データを処理する管理者の身元、その処理目的、その他当該処理の公正さ・透明性およびデータ主体が自己の個人データについて確認・情報を得る権利を確保するために必要な情報に適用される。

すなわち、「透明性」(transparency)原則は、データ主体が、自己の個人データの処理の事実・範囲・内容に関し十分情報提供されること（情報の入手・理解容易性を含む）により、その処理の適法性・公正さを確保し、GDPRの法目的である個人データの処理に係る個人の保護(1)を達成するためのものと言うことができます。

 

Q2: 透明性原則を定める規定は?

A2: 以下の通り場面ごとにGDPRの各条項に規定されています。

①管理者が個人データを取得した際の情報提供(直接取得：第13条／間接取得：第14条)

②管理者がデータ主体からアクセス権（開示請求権）を行使された場合の情報提供(第15～22条)

③管理者がデータ主体に個人データ侵害（漏えい等）の通知を行う場合の情報提供(第34条)

そして、上記の各場合全てに共通した情報提供方法の要件（理解容易性等）が第12条に規定されています。

 

Q3: 情報提供の場面をより具体的に言うと?

A3: 以下の通りです。

(a) 管理者が個人データを直接取得した場合（第13条）

- 管理者が、データ主体の意思または本人の観察等によりデータ主体から直接個人データを取得した場合（where personal data are collected from the data subject）に、データ主体に対して行うべき情報提供。

(b) 管理者が個人データを間接取得した場合（第14条）

- 管理者が、第三者・公開情報等から間接的に個人データを取得した場合（where personal data have not been obtained from the data subject）に、データ主体に対して行うべき情報提供。

(c) データ主体がアクセス権等の権利を行使した場合（第15～22条）

- この場合に、管理者がデータ主体との間で行うべきコミュニケーション（個人データの開示・コピー提供、対応結果通知等）。

(d) データ主体に個人データ侵害通知を行う場合（第34条）

- この場合に、管理者がデータ主体との間で行うべきコミュニケーション（通知、情報提供等）。

 

Q4: 情報提供方法の具体的要件は?

A4: 以下の通りです。

- 管理者は、上記の情報提供およびコミュニケーションを、適切な措置(appropriate measures)を講じ次の要件全てを満たす態様で行わなければならない。これらの要件は、特に子供に提供される情報を含め満たさなければならない(12(1)第1文）。

-明確かつ平易な言葉(clear and plain language)を用いること。

-簡潔であること(concise)。

-透明性があること(transparent)。

-理解し易いこと(intelligible)。

-情報が見つけ易くまた入手し易いこと(easily accessible)。

この情報提供およびコミュニケーションは、(i) 書面により（in writing）、または、(ii) 他の手段が適切な場合は他の手段（電子的手段を含む）により、無償で、行わなければならない（12(1)第二文, (3))。

 

Q5: 管理者が個人データを取得した際提供すべき情報は?

A5: 以下の通りです。

管理者は、(i) データ主体の意思または本人の観察等によりデータ主体から直接個人データを取得した場合、または、(ii) 第三者・公開情報等から個人データを間接的に取得した場合、以下の情報をデータ主体に提供しなければならない（13,14）。

(a)管理者および[管理者がEU域内で設立されていない場合にEU域内に置くべき]代理人(27)の名称・氏名等(identity)および連絡方法（contact details）

(b)管理者がデータ保護監督者(Data Protection Officer)(DPO)を選任している場合、DPOへの連絡方法（contact details）

(c)個人データの処理目的および第6条の処理の適法性の根拠(legal basis)

(d)処理の適法性の根拠が管理者または第三者の正当利益(legitimate interests) (6(1)(f))である場合はその内容

(e)（個人データが間接取得された場合のみ）個人データの種類(カテゴリー)

(f)個人データを開示する場合その受領者(recipient）または受領者の種類(カテゴリー)

-「受領者」(recipient)とは、第三者であるか否かを問わず、個人データが開示される者を意味する (4(9))。

(g)管理者が個人データを第三国または国際組織に移転する場合、その旨、移転先国についての欧州委員会による十分性決定の有無、移転に係る保護措置（拘束的企業準則、標準データ保護条項（SCC)等）(46,47,49(1))およびその保護措置[例：SCC]のコピー（またはそのコピーを閲覧・入手する方法）

(h)個人データの保存予定期間、または、もしその情報を提供できない場合は保存期間の決定基準

(i)データ主体の権利（データ主体が管理者に自己の個人データについて以下の権利を有する旨）

-アクセス権／訂正請求権／消去請求権／処理禁止権／処理制限請求権／処理禁止権／データ・ポータビリティーに関する権利

(j)処理がデータ主体の同意(6(1)(a), 9(2)(a)）に基づく場合、データ主体はいつでも同意を撤回できること

(k)データ主体は監督機関に苦情申立権を有すること

(l)（直接取得の場合のみ） データ主体による個人データの提供に関する次の事項

-提供が法令上または契約上の義務であるか、または、契約締結に必要であるか

-データ主体に個人データ提供義務があるか

-その個人データを提供しない場合それにより生じ得る結果

(m)（間接取得の場合のみ）個人データの入手元(source)およびそれが公開情報である場合はその旨

(n)自動意思決定(automated decision-making)(22)を行う場合、次の事項

-自動意思決定を行う旨

-自動意思決定の処理ロジックについての意味ある(meaningful)情報

-データ主体にとっての、自動意思決定のための処理の重大性および予想される結果（envisaged consequences）

 

今回は以上です。次回から、透明性に関するガイドラインの内容を解説していきます。

 

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」バックナンバー

 

【著者の最近の個人情報保護関連書籍】

​NEW!! 「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

「GDPR関連資格CIPP/E準拠 詳説GDPR  (上) - GDPRとCookie規制」 2019年11月

「GDPR関連資格CIPP/E準拠 詳説GDPR  (下) - GDPRとCookie規制」 2019年11月

 

^[1]　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

[1]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

【筆者プロフィール】 浅井 敏雄  (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP  (International Association of Privacy Professionals) 会員、CIPP/E  (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 https://www.theunilaw2.com/