GDPR第2章(基本原則)の最後の条文となる第11条です。
短い条文ですので気軽に見ていきましょう。
第11条:識別を要しない取扱い
1. 管理者が個人データを取扱うための目的が管理者によるデータ主体の識別を要しない場合、又は、その識別を要しなくなった場合、その管理者は、本規則を遵守するという目的のみのために、データ主体を識別するための付加的な情報を維持管理し、取得し、又は、取扱うことを義務付けられない。
管理者が保有している個人データについて、データ主体を識別しないとした(決めた)場合には、GDPRで課される種々の義務を果たすためだけにデータ主体を識別できるように管理を続ける必要はありません。
2. 本条第1項に定める場合において、管理者がデータ主体を識別する立場にないことを証明できるときは、その管理者は、それが可能であるならば、データ主体に対し、しかるべく通知する。そのような場合、データ主体が、それらの条項に基づく自己の権利の行使の目的のために、自身の識別ができるようにする付加的な情報を提供する場合を除き、第15条から第20条は、適用されない。
第1項にあったように、管理者がデータ主体を識別しないとし(決め)、識別できないような立場になったのであれば、可能であればデータ主体にそのことを通知するとあります。
また、管理者がデータ主体を識別できないのであれば、第15条から第20条までが適用されなくなります。
第15条から第20条は、データ主体の権利について規定された条文になります。
日本の個人情報保護法でいうと、開示等請求などに相当するものです。
データ主体から「自分のデータを〇〇して欲しい」という要望を受けても、管理者がデータ主体を識別できなければ、データからそのデータ主体のデータだけをどうこうすることはできないので、その義務が外されています。
以上、第11条でした。
これで、GDPR第2章の「基本原則」まで終わりました。
次からは、第3章の「データ主権の権利」になります。