フランス 処理記録のガイダンスを更新


CNIL処理記録のガイダンスを更新

フランスのデータ保護監督機関(CNIL)は、2020年5月13日に、前年2019年12月2日に公開していた処理記録の見本(以下「本処理記録の見本」という)とガイダンス(以下「本ガイダンス」という)を更新した。

本ガイダンスの内容

GDPR第30条に基づき、管理者や処理者はデータの処理記録を保管する必要があり、本処理記録の見本によってGDPR第30条への遵守を実践する方法を示している、と本ガイダンスで述べている。

もっとも、管理者や処理者によって処理が異なることから記録も異なってくるため、本ガイダンスでは、それぞれの処理の内容によっては本処理記録の見本とは異なる記録を保管する必要がある、と指摘している。

また、本ガイダンスでは、本処理記録の見本はGDPRの要件以上の記載(※)があること、および一般に記録がPDF形式である必要はないことも指摘している。

※GDPR第30条で示されている要件

  • 管理者、及び、該当する場合、共同管理者、管理者の代理人並びにデータ保護責任者(DPO)の名前及び連絡先
  • 取扱いの目的
  • データ主体の類型の記述及び個人データの種類の記述
  • 第三国又は国際機関内の取得者を含め、個人データが開示された、又は、開示される取得者の類型
  • 該当する場合、当該第三国若しくは国際機関の識別を含め、第三国又は国際機関に対する個人データ の移転、及び、第49条第1項第2副項に規定する移転の場合、適正な保護措置を示す文書
  • 可能なときは、異なる種類毎のデータの削除のために予定されている期限
  • 可能なときは、第32条第1項に規定する技術的及び組織的安全管理措置の概要

※本処理記録の見本で示されているGDPRの要件以上の記載(ただし、GDPR第13、14、15条で記載されている内容ではある)

  • 法的根拠
  • データの取得元
  • データ収集の強制またはオプションの性質、およびデータが提供されない場合の結果
  • 自動意思決定の存在
  • 処理に関する個人のGDPRの権利とデータ保護責任者に対する(オンラインまたは郵送で)行使する手段
  • CNILへの申立権

 

【CNIL本ガイダンス】
https://www.cnil.fr/fr/la-cnil-publie-son-registre-rgpd

【CNIL本処理記録の見本】
https://www.cnil.fr/sites/default/files/atoms/files/registre-rgpd-cnil_mai-2020.pdf

関連記事