タグ別アーカイブ: プライバシーポリシー

各企業のGDPRプライバシー通知がヒドい件

日本企業のプライバシーポリシーやプライバシー通知ページに、GDPRの言及がないのは論外だが、言及がある企業にもヒドいものがある。

まずGDPRで個人の同意は明示的でなければいけないのに、「このプライバシーポリシーを読んだ時点で同意したとみなします」と堂々と書いてある企業。

サイトにプライバシーポリシーのページさえ作れば、そのページを見た個人全員から本人同意が取れたことになるんであれば、誰も苦労しない。

同意の取得方法については第29条委員会から2018/04/16にガイドラインが出ているので読むべき。みなさんの想像以上に同意が取れたことにできるためのハードルは高い。

また、本人同意はいつでも撤回でき、撤回されたら、その個人のデータを削除してデータ処理をやめなければいけない。

ページを見せただけじゃ誰が見たか分からないので、撤回されたときも、誰が撤回したのか分からない。明らかにGDPR違反。

次にGDPRで個人データのEEA域外移転について、「このプライバシーポリシーに同意すれば十分性認定のない第三国への移転に同意したものとみなします」と堂々と書いてある企業。

サイトにプライバシーポリシーのページさせ作れば、自社が管理している欧州個人データを域外移転するとき、BCRもSCCも何もいらないんだったら、誰も苦労しない。

BCRもSCCもなく、本人同意だけで十分性認定のない第三国へ個人データを移転するのが、どれだけハードルが高いかはGDPRの第49条1項の後半を読むと分かる。こちらのJIPDECの仮訳でもよい

移転は繰り返しがなく、かつ限られた数のデータ主体で、かつ正当な法定利益の目的に必要で、かつ、データ主体の利益と権利と自由の方が優先で、かつ、企業側がデータ移転に関する全状況を評価し、かつその評価にもとづいて個人データ保護に関する適切な保護措置がとられており、かつ、その適切な保護措置を「取扱い活動の記録」に記載し、移転について欧州域内の監督機関に通知しなければならず、本人に対して移転と正当な法的利益を通知する必要がある。

こういった場合に限って、本人同意だけで第三国へ個人データを移転できるのだが、監督機関への通知が必要な時点で、おそらく自社企業グループ内でSCCを締結する方が楽だ。SCCは監督機関に報告したり承認を得たりする必要がないからだ。

ところがある企業のプライバシーポリシーには、このポリシーを読んだだけで域外移転に同意したとみなしますという、完全にGDPR違反のことが書いてある。

GDPRについてまったく触れていないプライバシーポリシーをいまだに公開している企業よりはマシなんだろうけれど、GDPR違反のことを平気で書いてあるのでは大して変わらない。