Last Updated :April 13,2019
筆者は、さる4月3日のブログで本件につきポーランド監督当局(以下「UODO」)の資料などにもとづき解説したが、事実関係、被告の反論内容、UODOの判断根拠等いまいち理解しがたい点が多かった。
このほどCovington & Burling LLPが運営するブログ” Inside Privacy”の4月4日版が簡潔かつ論点をうまくまとめているので再度仮訳し、追加投稿することとした。なお、その後に読んだBaker Mckenzie のブログ「FIRST FINE FOR VIOLATION OF THE GDPR IN POLAND」の内容も併せ追加した。
1.事実関係
2019年3月26日、ポーランドの個人データ保護局(以下「UDOD」という)は、データ主体に通知することなく公的登録機関から入手可能な情報源から得た「連絡先データ」を処理したデジタルマーケティング企業Bisnode(以下「会社」という)に対して約22万ユーロ(約572万円)の罰金を科した。EUの「一般データ保護規則(GDPR)」の第14条は、データ主体から直接個人データを取得していないデータ管理者に対し、データ取得後の妥当な期間内(最大1ヶ月)にデータがどのように処理されるかについての情報を主体あて提供することを義務づけている。
会社は、ポーランドの「中央電子登録および経済活動情報登録簿(Central Registration and Information on Economic Activity (CEIDG)」および「国民裁判所登録簿(Krajowy Rejestr Sądowy :KRS)」という公的登録データベースからの「連絡先データ」を抜き取り、「取引報告書」、「連絡先リスト」、および「その他の事業および経営コンサルティングサービスの提供」を自社の顧客に提供した。会社のシステムには、自然人の個人データ(個人取引業者や経済活動に携わっている人を含む)約7,600万件の記録があった。
2018年4月、会社は、電子メールアドレスを所有しているすべての個人(約68万人)に、個人データの処理方法に関する情報を電子メールにて送信した。会社はまた、同様の情報を含むデータ保護ポリシーをWebサイト上で公開した。しかし、他方、会社は、電話番号または住所しか持っていない個人(約6,500万人)に対しては、SMSまたは郵便での情報提供を行わなかった。
2.被告会社の反論
UODOの検査に対するその弁護において、会社は次のように主張した。(i)当該データは公に入手可能な情報を構成するものである。(ii)処理が非常に限られたデータ(連絡先データの詳細のみ)のみである。(iii)個人の権利および自由を侵害するリスクが低かった。 (iv)会社は個人データを保護するために高いセキュリティ基準を採用している。(v)電子メールアドレスを持たない個人に情報を郵送することは、会社の事業に重大な影響を及ぼす可能性がある。すなわち、会社によると、書留郵便の送付費用は人件費やその他の費用(印刷、発送および発送の準備、紙、トナー、封筒、切手、返送など)を考慮しなくても780万ユーロ(約9億7,500万円)を超える。これらに基づいて、会社は、郵便で情報を提供することが「過大な負担」を構成し、GDPRの第14条(5)(b)の阻害を引き起こすことを示唆した。(注)
3.UODOの決定の根拠および追加処分
この場合、UODOは、Webサイトのプライバシーポリシーによる情報の提供だけでは「十分」ではなく、会社が電話番号または住所を記載している個人と連絡を取ることは不可能ではなくまた過大な負担ではないと判断した。しかし、UODOは、会社が個人の連絡先の詳細を欠いており、他の情報源でこのデータを検索しなければならない場合は、これが会社にとって「過大な負担」を構成することになることを認識した。
会社は、データの処理について個人に通知することに関連する追加費用を回避したいという願いによって動機付けられたGDPRの第14条に意図的に違反していることが判明された。UODOの罰金に加えて、同社は、本決定から3ヶ月以内に、連絡先データを保持している全個人にも通知するよう命じられた。
************************************************************************************************
(注1) ポーランド法務省の「裁判所登録簿(Krajowy Rejestr Sądowy :KRS)に関する一般情報」を仮訳する。
「国民裁判所登録簿」は、以下の3つの別個の登録簿から構成される中央集中型のコンピュータ化データベースである。
1.起業家の登録
2.協会、他の社会的および専門的組織、財団および公衆衛生機関の登録。
3.支払不能債務者の記録。
「国民裁判所登録簿」は、国民裁判所登録簿に関する1997年8月20日の法律に基づいて作成され、2001年1月1日から施行中である。
「国民裁判所登録簿」の目的は、登録事業体の法的地位(KRSの中央情報)、その財政状態の重要な要素およびその表現の仕方に関する容易に入手可能で信頼できる情報を提供することである。さらに、国民裁判所登録簿には、以下の商業的流通価値に関する起業家に関するその他の情報が含まれる。
1.未払税および関税に関する情報。
2.社会保険機関(ZUS)への延滞金。
3.債権者および未払い債務額。
(注2) 個人情報保護委員会のGDPR第14条(5)(b)の訳文を引用する。
特に、第89条第1項に定める条件及び保護措置による公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的、又は、統計の目的のための取扱いに関し、そのような情報の提供が不可能であるか、又は、過大な負担を要することが明らかな場合、又は、本条第1項に定める義務が当該取扱いの目的の達成を不可能としてしまうおそれ、又は、それを深刻に阻害するおそれがある範囲内において。そのような場合、その管理者は、その情報を公衆が利用可能とすることを含め、データ主体の権利及び自由並びに正当な利益を保護するための適切な措置を講ずるものとする
****************************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます