オランダテニス協会が「正当な利益」の要件を満たさないデータ売却で制裁


オランダテニス協会が「正当な利益」の要件を満たさないデータ売却で制裁

オランダの監督機関APは、収入と引き換えに会員の個人データをスポンサー企業に売却していたオランダローンテニス協会に対し、売却の適法根拠が不適切だったとして52万5000ユーロの制裁金を課すことを決定した。

協会は、2018年初頭にニュースレターとそのWebサイトで、スポンサーに会員の個人データを提供し、「テニス関連やその他のオファー」を目的に、スポンサー企業が会員にアプローチできるようにすると発表した。協会は2018年6月、スポンサー企業2社に対し、計35万人分以上の会員データを提供したが、それには会員の氏名、電話番号、メールアドレス、住所、生年月日などの個人データが含まれていた。スポンサー企業は提供されたデータを利用し、約4万人の協会会員に電話でオファーを提示した。これに対し会員から苦情がAPに申し立てられたため、APは調査を開始した。

協会は、会員データ売却の目的は、メンバーシップの付加価値の創出と、会員減少による収入減少を補填するための追加的な収入獲得であり、売却の適法根拠は「正当な利益」であると主張した。これに対しAPは、協会による会員データの取得は、会員登録目的においては合法であるものの、会員データを収入目的のために売却することについて会員に通知していなかったと指摘した。

協会が主張する「正当な利益」の合法性もAPは却下した。APは、正当な利益が適法根拠となる基準として処理目的の合法性、の利益追求の急迫性(dringend:利益が目前に差し迫っている状態)、利益の現実性(漠然と将来に見通される利益は除く)を挙げ、協会が主張する売却目的はそのうちの「利益追求の急迫性」の基準を満たすものではなかったことを理由としている。そのため、協会は正当な利益を適法根拠としてはならず、売却に対する会員個人の同意を得る必要があったと判断した。

個人データ処理の適法根拠として「正当な利益」を用いるためには、前述の基準を満たすことに加え、データ主体の権利の侵害が管理者および第三者の利益を超えないことをバランシングテストで検証する必要がある。「正当な利益」は一見すると最も適用しやすい適法根拠のように思えるが、合法性のハードルは極めて高いといえる。したがって、GDPRに基づく個人データ処理の適法根拠の検討にあたっては、安易に「正当な利益」を用いるのではなく、他の適法根拠の適用可能性を検討することや、利用目的を明確にした上でデータ主体からの同意を取得するといった対応を重視すべきであるといえる。

オランダ監督機関のニュースリリース
https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-tennisbond-vanwege-verkoop-van-persoonsgegevens
オランダ監督機関の処分書
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_knltb.pdf

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト