英国におけるGDPR対応の状況-情報コミッショナーの対応

英国の情報コミッショナーにおける対応

(1)概要

情報コミッショナー(ICO)は、GDPRの適用について、「データ保護改革(Data protection reform)」として、専門に解説をなしています。

また、情報コミッショナーは、2017年5月25日に、企業に対して、30年来でもっとも大きなデータ保護法の変革であるとして、準備に遅れることは許されないと(ブログで)発言しています

情報コミッショナーは、GDPRの適用までの準備については、三つのフェーズで準備されるということを明らかにしています(Guidance: what to expect and when
具体的には、
フェーズ1  精通し基礎を固めること(Familiarisation and key building blocks)
フェーズ2 ガイダンス構築およびマッピング、過程の検討および関連ツールの発展( Guidance structure and mapping, process review and initial development of associated tools)
フェーズ3 大量のガイダンスの最新か/提出および検討(Bulk guidance refresh/production and review)
ということになります。

現時点においては、英国は、第1段階から、第2段階に移行する途上であると認識されています。

現時点までに、情報コミッショナーは、
GDPRに備える、現在なすべき12のステップ(Preparing for the GDPR: 12 steps to take now)」
GDPRの概要(Overview of the General Data Protection Regulation (GDPR))」
プライバシー通知、透明性およびコントロール(Privacy notices, transparency and control)」(プライバシー通知実務規範)
同意ガイドライン・パブリックコメント案
プロファイリング・パブリックコメント案
ビッグデータ分析(バージョン2)
を公表しています。

(2)「GDPRに備える、現在なすべき12のステップ(Preparing for the GDPR: 12 steps to take now)」

「GDPRに備える、現在なすべき12のステップ」は、まさにGDPRに備えるために気をつけるべき12のステップを明らかにするものです。
具体的には、
(1)意識(2)保持している情報(3)プライバシー通知(4)個人の権利(5)主体のアクセス要求(6)個人データ処理のための法的根拠(7)同意(8)児童(9)データ侵害(10)データ保護バイ・デザイン、データ保護インパクト評価(11)データ保護責任者(オフィサー)(12)国際関係
にわけて、GDPRに対応するためにとるべき行為をまとめています。

(3)「GDPRの概要(Overview of the General Data Protection Regulation (GDPR))」

GDPRの概要は、組織において、GDPRの重要なテーマを明らかにして、新しい法的枠組を理解するのに一助としようというものです。

具体的に、原則、考慮すべき重要なエリア、個人の権利、説明責任およびガバナンス、データ侵害通知、データ移転、国における適用免除から成り立っています。

原則については、個人の権利/個人データの移転禁止が原則としては記載されていないこと、アカウンタビリティの原則が追加されていることが触れられています。

考慮すべき重要なエリアについては、適法な処理、同意、児童の個人データがあげられています。

個人の権利については、情報を提供されるべき権利、アクセス権、訂正権、消去権、処理制限権、データポータビリティの権利、異議権、自動化された意思決定およびプロファイリングに関する権利について説明がなされています。

説明責任およびガバナンスにおいては、その原則の意義、処理の記録、データ保護バイ・デザイン、データ保護インパクト評価、データ保護責任者(オフィサー)の選任時期、行動規範と認証メカニズムが議論されています。

データ侵害通知においては、その概念、監督機関への通知義務の発生、個人への通知の要否、通知方法、準備について触れられています。

データ移転においては、データ移転が許容されるのが、十分性決定に基づく移転の場合と、適切な保護措置に従った移転があるのか説明されています。

国における適用免除については、GDPR23条が、制限規定を有していること、同9章が、適用除外・例外を定めていることが論じられています。

(4)プライバシー通知、透明性およびコントロール

これは、個人データの取得に際して明らかにされるプライバシー通知(告知されるプライバシーの取扱等に関する情報)に関して、良き実務についてガイダンスを与えようとする行動規範ということになります。

内容としては、効果的なプライバシー情報を提供する理由、プライバシー通知に含まれるべきもの、個人に告知される場所、告知されるべき時機、記載される方式、テストおよび調査、チェックリスト、実際、GDPRとの関係にわけて検討されています。

(5)同意ガイドライン・パブリックコメント案

(6)プロファイリング・パブリックコメント案

これらについては、またの機会ということにしましょう。

It's only fair to share...Share on LinkedInTweet about this on TwitterShare on Facebook