ポーランド監督機関がGDPR14条違反でビジネス情報サービス会社に制裁金


ポーランド監督機関がGDPR14条違反でビジネス情報サービス会社に制裁金

2019年3月26日付けの発表にて、ポーランドのデータ保護監督機関であるUODO(Urząd Ochrony Danych Osobowych)が、欧州でビジネス情報サービス事業を展開するBisnode社に943,000PLN(2,700万円程度)の制裁金を通告した。理由はGDPR14条違反であるが、Bisnode社はポーランドの裁判にて異議を申し立てる意向とのことである。

GDPR第14条によれば「個人データがデータ主体から直接取得されたものではない場合、管理者は、データ主体に対し、個人データ取得後の合理的な期間内(遅くとも1 か月以内)また、他の取得者に対する開示が予定される場合には、遅くともその個人データが最初に開示される時点において、管理者の身元や個人データの処理の目的等の必要事項の情報を提供しないといけない」とされている。

Bisnode社は、公共登録や他のデータベースから、何百万人に及ぶ起業家や事業者の個人データ(氏名、国民ID、ビジネス活動に関する法的情報、等)を収集していた。その中の少数に関しては電子メールアドレスも含まれていたので、Bisnode社はGDPR14条に従った電子メールを、それらの少数者には送付した。ところが、その他の電子メールアドレスが記載されていない570万人に対しては、郵便等の他の手段での直接的通知を行わないことを決定し、代わりに、Webに該当するプライバシーノーティスを掲載した。Bisnode社は、これで、GDPR14条を満たすものとの判断であった。

ところが、監督機関であるUODOの判断は異なっていた。UODOによれば「Bisnode社は、GDPR14条の通知義務を明確に理解しているのにも関わらず、有料の業務目的で個人データを入手した大多数の人々へ直接知らせない決定を下した。また、この種のビジネス情報サービスを行う会社は、法律遵守を確保するための費用を勘案して事業を推進しなければならない」としている。

これを受け、Bisnode社は、GDPRに記載されている「相応の努力(proportionate effort)」とはどの程度なのかとの疑問を呈しており、郵便を570万人に送るためには、800万ユーロ(10億円程度)もかかるとしている。今後の裁判の動向が注目される。

ポーランド当局のニュースリリース
https://uodo.gov.pl/pl/138/786
ポーランド当局の決定
https://uodo.gov.pl/decyzje/ZSPR.421.3.2018
関連するニュース
https://techcrunch.com/2019/03/30/covert-data-scraping-on-watch-as-eu-dpa-lays-down-radical-gdpr-red-line/

関連記事