前回は適法な処理となるための、条件として6条の(a)号の「同意」について記載しました。
今回は、(b)号、及び(f)号について記載します。

▼6条 取扱いの適法性(仮訳)

取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である。

  • データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。
  • データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。
  • 管理者が服する法的義務を遵守するために取扱いが必要となる場合。
  • データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。
  • 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。
  • 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。
■(b)号「契約の履行のため」
データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。

これはECサイト等において選択しやすい法的根拠です。
例えば、商品の「発送」に、個人データの処理が必要になるため、本号を適法根拠とする場合です。

他には「同意」では扱いにくい、従業員の個人データを扱う上で、会社と従業員間の契約の履行のため、本号を適法根拠とすることが考えられます。さらに、労働法上の義務を遵守するため(c)号の「法的義務」を適法根拠として追記もいいでしょう。

ただし本号で扱える個人データは、「契約の履行のために必要な個人データ」のみです。
例えば、ECサイトでの商品発送に、アンケートや他に興味がある商品、メルマガの配信に必要な個人データの処理は必要ありません。

■(f)号「正当な利益の目的のため」
管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。


この(f)号「正当な利益」を適法根拠とするには、管理者・第三者の正当な利益と、データ主体の利益又は基本的権利及び自由との比較衡量(ひかくこうりょう)をしなければなりません。

▼比較衡量の要素とは

○ 暫定的な比較衡量
  • 管理者側の利益の性質:
    基本的権利、他の種類の利益、公共的利益etc.
  • 処理できない場合に管理者側に生じる支障
  • データの性質
    センシティブなデータか etc.
  • データ主体、管理者それぞれの地位:
    雇用主―従業員か、市場における支配力 etc.
  • データ主体の利益の性質
  • データ主体の合理的な期待
○ 最終的な比較衡量

以下のような追加的な安全措置も有無も考慮します。

  • データの最小化
  • 技術的・組織的な管理措置
  • 仮名化、統計的処理、その他のプライバシー保護技術
  • 透明性、オプトアウト、データポータビリティ等の措置

以上のような比較衡量を終えた後に、情報開示を行い、正当な利益の理由をプライバシーポリシーなどで公表します。
正当な利益の理由の公開は義務ではありませんが、透明性を高めるために推奨します。
どのデータ処理がどの法的根拠に属しているか、わからない状態では、リスクが高まることを認識する必要があります
また、プライバシーポリシーなどで、正当な利益によるデータ処理に異議を申し立てる権利の通知をします。

  • 比較衡量
  • 情報開示
  • 異議を申し立てる権利の通知

これらを得て、6条(f)号の「正当な利益」を適法根拠とする事が可能になります。

まとめ

  • 「契約の履行のため」は、契約の履行上、必要な個人データのみ処理できる。
  • 「正当な利益」は、比較衡量の上、データ主体に理由を説明できる状態にしておく。

EUによる十分制認定でGDPR対応が不要になるわけではありません。

弊社GDPRコンサルティングサービスは下記リンクをご参照下さい。
https://www.crosshead.co.jp/products/sec_all/gdpr/