ここから第3章の第2節の「情報及び個人データへのアクセス」に入ります。
それでは早速、第3章第2節の一つ目である第13条の「データ主体から個人データが取得される場合において提供される情報」を見ていきます。
なお、第14条は「個人データがデータ主体から取得されたものではない場合において提供される情報」について定めた条文となっているのですが、「データ主体から取得した場合」を定めた第13条と比較して確認する必要があります。
第13条と第14条の比較についての考察は、次の第14条で説明しておりますので、第14条も併せてご覧いただけると良いかと思います。
第13条:データ主体から個人データが取得される場合において提供される情報
1. データ主体と関連する個人データがそのデータ主体から収集される場合、管理者は、その個人データを取得する時点において、そのデータ主体に対し、以下の全ての情報を提供する:
管理者がデータ主体に関する個人データを当該データ主体から収集する場合には、収集する時点においてデータ主体に対し以下の情報提供をしなければなりません。
(a) 管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先
何かあったときに問い合わせができるよう、管理者かその代理人の身元や連絡先の情報提供は当然ですよね。
(b) 該当する場合は、データ保護オフィサーの連絡先。
データ保護オフィサー(Data Protection Officer:DPO)については、別の機会で説明したいと思います。
(c) 予定されている個人データの取扱いの目的及びその取扱いの法的根拠。
利用目的と、その利用を適法とする法的根拠について情報提供する必要があります。
通常は第6条第1項、特別な種類の個人データの場合は加えて第9条第2項の法的根拠も併せて情報提供します。
(d) その取扱いが第6条第1項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。
第6条第1項の取扱いの法的根拠を(f)の「正当な利益」とした場合、管理者または第三者が求める正当な理由を、データ主体に情報提供する必要があります。
(e) もしあれば、個人データの取得者又は取得者の類型。
取得した個人データを第三者提供したり、処理者に提供する場合などは、その取得者または類型についてデータ主体に情報提供する必要があります。
(f) 該当する場合は、管理者が個人データを第三国又は国際機関に移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46条若しくは第47条に定める移転の場合又は第49条第1項第2項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報。
EU/EEA域内から域外へデータを移転する場合には、適切な方法に準拠して実施する必要があるのですが、どのような方法により適切に移転するかという情報をデータ主体に情報提供する必要があります(越境移転に関しては別の機会に説明したいと思います)。
さらに第2項に続きます。
2. 第1項に定める情報に加え、管理者は、個人データを取得する時点において、データ主体に対し、公正かつ透明性のある取扱いを確保するために必要な以下の付加的な情報を提供する。
ということで、第1項の(a)~(f)に加え、以下の(a)~(f)についても、データ主体に対し情報提供をする必要があります。
(a) その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。
収集される個人データの保存期間について、できればその期間を、それが言えない場合は保存する機関の目安をデータ主体に情報提供する必要があります。
(b) 個人データへのアクセス、個人データの訂正又は消去、又は、データ主体と関係する取扱いの制限を管理者から得ることを要求する権利、又は、取扱いに対して異議を述べる権利、並びに、データポータビリティの権利が存在すること。
第15条から第20条までのデータ主体の権利について情報提供する必要があります。
(c) その取扱いが第6条第1項(a)又は第9条第2項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること。
データ主体による同意を取扱いの法的根拠とした場合は、いつでもその同意を撤回できる旨について情報提供する必要があります(同意撤回までに実施した取扱いについては適法のまま)。
(d) 監督機関に異議を申立てる権利。
データ主体は監督機関に異議を申し立てる権利があることを、データ主体に情報提供する必要があります。
(e) その個人データの提供が制定法上若しくは契約上の要件であるか否か、又は、契約を締結する際に必要な要件であるか否か、並びに、データ主体がその個人データの提供の義務を負うか否か、及び、そのデータの提供をしない場合に生じうる結果について。
以下について、データ主体にデータ提供しなければなりません。
- 個人データの提供が法令上または契約上の要件となっているか、または、契約締結に必要な要件であるか否か
- データ主体に個人データの提供の義務があるか否か
- 個人データを提供しない場合に生じる結果
(f) プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、これが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報。
プロファイリングに基づく自動化された意思決定を行う場合には、以下についてデータ主体に提供しなければなりません。
- プロファイリングに基づく自動化された意思決定を行う旨
- 自動化される処理の論理(アルゴリズム)
- データ主体への重要性およびデータ主体に生じると想定される結果
3. 当該個人データが収集された際の目的とは別の目的による個人データの追加的取扱いを管理者が予定している場合、その管理者は、データ主体に対し、当該追加的取扱いの開始前に、当該別の目的に関する情報及び第2項に定める関連する付加的情報を提供する。
GDPRでは利用目的の変更が認められているのですが、目的を変更する場合には、変更後に個人データを取扱う前に、データ主体に対し、変更後の目的に関する情報と変更後の目的に関わる第2項で定められた情報を追加的に提供しなければならないことになっています。
4. 第1項、第2項及び第3項は、データ主体が既にその情報をもっている場合、その範囲内では、適用されない。
以上の第1項から第3項のデータ主体に提供しなければならない情報を既にデータ主体がもっている場合は、その範囲の中であれば、あらためて情報提供する必要はありません。
以上、第13条でした。
