個人データを、ビジネスを守る、IIJ

【回答公開中】
共同管理者が別の管理者から個人データを取得する際の対応


  • 2020年9月8日

04.1. 管理者及び処理者/一般的義務

質問

 当社が共同管理者であった場合で、別の管理者を経由して個人情報を取得しているとします。この際、GDPR上、当社が実施すべき事項につき教えてください。

回答

GDPR30条に規定されている必要的記載事項には、明示的に個人データの取得経路・手段は含まれていませんが、通常は、「目的」を記載する際に、実際に行われる個人データ処理の内容(取得、加工、移転、保存などの概要)を記述すると思われるので、処理内容の概要が読んだだけで理解できる範囲の記述があれば良いと思われます。
また、本人以外から個人データを取得する場合には、GDPR14条に基づくノーティスの中で取得元を明らかにする必要があります。間接取得の場合の14条ノーティスの必要的記載事項のうち、取得源については「どの情報源からその個人データが生じたか、及び、該当する場合は、公衆がアクセス可能な情報源からその個人データが来たものかどうか」と書かれています。したがって、取得元を特定すれば、取得方法を記載する義務はありません。また、共同管理者の場合、GDPR13条および14条に基づく情報提供(プライバシーノーティス)をどの管理者が行うか、GDPR15条以下のデータ主体の権利行使への対応を含むデータ主体との窓口をどの管理者が行うのかを協議して定め、プライバシーノーティスにおいて明らかにする必要があります。

関連する記事