英プライバシー専門団体、「正当な利益」のガイダンス公開


マーケティング従事者向けにデータ保護及びプライバシーの専門家が助言を提供するイギリスの団体Data Protection Network(以下「DPN」)が、「正当な利益」に関するガイダンスを公開した。原文は下記URLから入手できる。
https://www.dpnetwork.org.uk/dpn-legitimate-interests-guidance/

EU一般データ保護規則(GDPR)は個人データ処理の適法根拠として「同意」、「契約履行上の必要性」、「正当な利益の追求」など6つを規定するが、同ガイダンスは「正当な利益の追求」を適法根拠とし得るかどうかについての3段階評価テストの手法、「正当な利益の追求」を適法根拠とする場合においてデータ主体に対していかに透明性を確保するか、などについて解説している。

同ガイダンスはイギリスのデータ保護監督機関であるInformation Commissioner’s Office (ICO)でも業界主導のGDPR運用適正化の試みとして歓迎されている。ICOがすでに公表した同意に関するガイダンス(Consultation: GDPR consent guidance, https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf )では、個人データ処理の適法根拠として同意に依拠するのは同意が完全に自由に得られる場合に限定すべきであり、そうではない場合には他の適法根拠を検討すべきであるとしている。しかし「正当な利益の追求」が適法根拠となり得るには、管理者にとっての正当な利益がデータ主体の権利及び自由と比較して、より優先される場合に限られる。マーケティング業界では、消費者にコンタクトする際の個人データ処理の適法根拠として、「正当な利益の追求」について明確なガイドラインが求められている。同課題についてEU29条作業部会の公式なガイドラインが待たれる。

関連記事