EUデータ保護規則(GDPR)ー管理者の義務:情報の通知(Information Notices)

EUデータ保護規則に基づく管理者の義務には様々なものがあります。これらの多くは、データ主体の権利と表裏の関係になっています。情報の通知も同様です。

情報の通知義務

管理者が負う情報の通知義務は、EUデータ保護規則第3章「データ主体の権利」の中の第12条、第13条、第14条に定められています。
EU指令においても、同様の規定がありました(第10条及び第11条)。しかし、データ主体に提供する情報として列挙されているものは多くはなく、しかも構成国が法律で定めることになっていたため、構成国によってデータ主体に通知する情報はばらばらだった感があります。複数の国でビジネスを展開する企業にとっては、各構成国の法制を確認しなければなりませんでした。

これに対して、EUデータ保護規則は、同規則が施行とともに各構成国で適用されるという性質から、EU全体での統一がなされることになり、企業側の負担が減ることになります。しかし、一方で、EUデータ保護規則はデータ主体に通知すべき情報を詳細に掲げているため、この点では企業側の負担は増えるでしょう。

通知の方法

EUデータ保護規則で新たに設けられた条項です。通知は、「簡潔で、透明性ある、分かりやすく簡単に利用できる形式」でなされなければなりません。子供に向けられた情報については、特に「明確で平素な言葉」を使用することも求められています(第12条)。

通知する情報と通知時期

データ主体から個人データを取得する場合 第13条

通知する情報 条文
管理者(場合により代理人)の身元と連絡先詳細 §13Ⅰ(a)
設置している場合にはデータ保護担当者の連絡先詳細 §13Ⅰ(b)
予定する個人データ処理の法的根拠および処理目的 §13Ⅰ(c)
個人データ処理が正当な利益の追求のために必要である場合、その正当な利益 §13Ⅰ(d),§6Ⅰ(f)
個人データの受領者およびその種類 §13Ⅰ(e)
場合により、第三国または国際機関へ個人データの移転する意図があること、欧州委員会による十分性判断の有無、適切な保護措置、コピーの入手手段・入手先 §13Ⅰ(f),§46,§47,§49Ⅰ②
個人データの保管期間または保管期間決定のために利用する基準 §13Ⅱ(a)
個人データへのアクセス、個人データの訂正、削除、個人データに関する処理の制限を請求する権利、データの携行の権利、処理に対する異議申立ての権利 §13Ⅱ(b)
個人データの処理がデータ主体の同意に基づく場合、いつでも同意を撤回できること、撤回は撤回前の同意に基づく処理の合法性に影響しないこと §13Ⅱ(c),§6Ⅰ(a),§9Ⅱ(a)
監督機関に不服を申し立てる権利 §13Ⅱ(d)
データ主体に個人データを提供する義務があるかどうか、提供しなかった場合に生じうる結果、個人データの提供が法律上または契約上の条件であるか否か、契約を締結するために必要な条件であるか否か §13Ⅱ(e)
プロファイリングを含む自動的な意思決定の存在、その処理の重要性、データ主体にもたらす結果、関連する理論についての重要な情報 §13Ⅱ(f),§22Ⅰ・Ⅳ
収集目的以外の目的のために個人データを処理する場合、その目的に関する情報および第13条第2項の関連情報 §13Ⅲ・Ⅱ

通知をする時期ですが、最後の情報についてはデータの処理前、その他はすべてデータの取得時となります。

データ主体から個人データを取得していない場合 第14条

通知する情報 条文
管理者(場合により代理人)の身元と連絡先詳細 §14Ⅰ(a)
設置している場合にはデータ保護担当者の連絡先詳細 §14Ⅰ(b)
個人データの処理の法的根拠と処理目的 §14Ⅰ(c)
個人データの種類 §14Ⅰ(d)
個人データの受領者またはその種類 §14Ⅰ(e)
場合により、第三国または国際機関へ個人データの移転する意図があること、欧州委員会による十分性判断の有無、適切な保護措置、コピーの入手手段・入手先 §14Ⅰ(f),§46,§47,§49Ⅰ②
個人データの保管期間または保管期間決定のために利用する基準 §14Ⅱ(a)
個人データ処理が正当な利益の追求のために必要である場合、その正当な利益 §14Ⅱ(b),§6Ⅰ(f)
個人データへのアクセス、個人データの訂正、削除、個人データに関する処理の制限を請求する権利、データの携行の権利、処理に対する異議申立ての権利 §14Ⅱ(c)
個人データの処理がデータ主体の同意に基づく場合、いつでも同意を撤回できること、撤回は撤回前の同意に基づく処理の合法性に影響しないこと §14Ⅱ(d),§6Ⅰ(a),§9Ⅱ(a)
監督機関に不服を申し立てる権利 §14Ⅱ(e)
個人データの出所、場合により、それが公的に利用可能な出所からかどうか §14Ⅱ(f)
プロファイリングを含む自動的な意思決定の存在、その処理の重要性、データ主体にもたらす結果、関連する理論についての重要な情報 §14Ⅱ(g),§22Ⅰ・Ⅳ
収集目的以外の目的のために個人データを処理する場合、その目的に関する情報および第14条第2項の関連情報 §14Ⅳ・Ⅱ

これらの情報を通知する時期は、
(a)個人データが処理される特定の状況を考慮して、個人データを取得した後相当の期間内に、しかし遅くとも1か月以内
(b)個人データがデータ主体との連絡のために利用される場合、遅くともデータ主体への最初の連絡時
(c)第三者に開示する場合、遅くともその個人データが最初に開示された時
のいずれかになります(第14条第3項)。

データ主体の請求に対する措置の通知 第12条

データ主体が第15条ないし第22条の権利を行使をした場合に、管理者は、請求を受領したときから1か月以内に、データ主体に対し、請求について講じた措置に関する情報を通知しなければなりません(第12条第3項)。この期間は、請求の複雑性や数を考慮し、必要であればさらに2か月延長することができます。
データ主体が電子的形式の手段によって請求をした場合には、データ主体から別段の要求のない限り、可能であれば電子的手段により情報を通知しなければなりません(第12条第5項)。

措置を講じない場合には、同じく請求を受領したときから1か月以内に、監督機関に不服を申立て、司法的救済を求めることができることを通知しなければなりません(第12条第4項)。

データ主体の権利については、”EUデータ保護規則(GDPR)ーデータ主体の8つの権利:ざっと概観しましょう“などの記事でまとめています。

通知する情報 条文
アクセスの請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §15§12Ⅳ
訂正の請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §16§12Ⅳ
削除の請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §17§12Ⅳ
処理の制限の請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §18§12Ⅳ
データ受領者に関する情報の請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §19§12Ⅳ
データの携行の請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §20§12Ⅳ
異議の申立てに対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §21§12Ⅳ
プロファイリングを含む自動的な処理に基づく判断を拒絶する請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §22§12Ⅳ

通知にかかる費用

通知にかかる費用は管理者が負担し、データ主体に負担させてはなりません(第12条第5項)。ただし、データ主体の請求に根拠がないことが明らかである場合、または反復される過大な請求である場合、管理者は次のいずれかを選択することができます(第12条第5項)。
(a)情報を通知したり、要求された措置を講じるための経費を考慮した相当な費用を請求する。
(b)請求に対する措置を拒否する。

なお、データ主体の請求が明らかに根拠を欠くかまたは過大な性質を持つことを証明する負担は、管理者が負います。

通知が不要な場合

通知が不要とされるのは次の場合です(第13条第4項、第14条第5項)。

  1. データ主体がすでに情報を持っている場合
  2. 個人データがデータ主体から収集されていないときには、さらに
    ・ 適用除外の場合で(たとえば処理が国家の安全、報道、科学的・歴史的研究目的、統計目的のために行われる場合)、通知が不可能な場合や過度の労力を必要とする場合、または処理の目的達成を不可能にするか著しく困難にする場合
    ・ 取得または開示がEU法または構成国法で定められている場合
    ・ EU法または構成国法の定める専門家の守秘義務に従って個人データを秘密にしなければならない場合

通知の義務に違反した場合の罰則

EUデータ保護規則――規則の執行と罰則の強化”で書いたように、効果的な執行のために、EUデータ保護規則は、罰則を強化しています。通知義務に違反した場合、2000万ユーロまたは前年の全世界の総売上高の4%のいずれが高い方を上限とする過料が課されることになります(第83条)。

企業の今後の対応

すでに各企業で検討作業が始まっているものと思われますが、2018年5月25日のEUデータ保護規則の施行までに、現在の情報の通知で規則の求める基準を満たしているか否かを総点検する必要があります。

2016年10月20日更新:冒頭のEU指令の説明について、構成国が法律で定めることになっていた点を明確にしました。

 

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。