フィンランド データ保護影響評価(DPIA)の未実施について、2件の制裁金


制裁金7万2千ユーロの事例

フィンランドのデータ保護監督機関Tietosuojavaltuutetun toimisto(Office of the Data Protection Ombudsman)(以下「DPO」といいます)は、2020年5月26日にタクシー会社Taksi Helsinki Oyに対して、制裁金7万2千ユーロ(約880万円)を課したことを公表しました。

同社は、2019年の夏に映像と音声の両方を記録するカメラ監視システムを開始し、また顧客の位置データの処理、会社のロイヤリティスキームに関連する自動意思決定とプロファイリングも行っていました。しかし、事前のデータ保護影響評価(DPIA)を行っていませんでした。GDPR第35条第1項では、個人データの処理がデータ主体の権利と自由に高いリスクをもたらす可能性が高い場合、事前のデータ保護影響評価(DPIA)を行うよう要請しています。DPOは、データ保護影響評価(DPIA)の実施も命令しました。

また、DPOは音声データの処理の停止も命じました。個人データの処理は、目的に照らして必要最小限でなければならないとする原則(GDPR第5条第1項c号)から、タクシー会社のカメラ監視システムにおいて音声を記録する必要性がないと判断したためです。

さらに、音声の記録やロイヤルティスキームで実行された自動意思決定とプロファイリングに関する情報を顧客に通知していませんでした。DPOは、個人データの処理に関する明確な情報を提供するため、顧客に通知するプライバシーポリシーの変更も命じました。

 

制裁金1千600ユーロの事例

DPOは、2020年5月18日にも、事前のデータ保護影響評価(DPIA)をすることなく、主に就業時間の監視のため、車両情報システムで車両を追跡することにより従業員の位置データ利用していた会社に対しても、制裁金1千600ユーロを課すことを決定しています。

 

執行事例は、いよいよデータ保護影響評価(DPIA)にも

GDPRが2018年5月に施行されて丸2年が経過しました。施行からこれまで、個人データの漏えい事件が発生したり、データ主体のアクセス権の行使に対応しなかったり、外部にGDPR違反が露呈したために制裁金が課せられる等の執行につながる事例が多かったのですが、いよいよデータ保護影響評価(DPIA)という外部からはその違反がわかりにくい事項についても執行事例が現れました。

各国のデータ保護監督機関はデータ保護影響評価(DPIA)のポジティブリストやネガティブリストを公開していますし、2017年10月に29条作業部会で採択された「Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679」(データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン)も公開されています。これらを参考に自社の個人データの処理についてデータ保護影響評価(DPIA)が必要なのか、必要ならば事前に実施されているのか確認し、未実施であれば早急に行うことが求められます。

 

【DPO制裁金7万2千ユーロの事例の公表】

https://tietosuoja.fi/en/article/-/asset_publisher/tietosuojavaltuutetun-toimiston-seuraamuskollegio-maarasi-hallinnollisen-seuraamusmaksun-useista-puutteista-henkilotietojen-kasittelyssa

【DPO制裁金1千600ユーロの事例の公表】

https://tietosuoja.fi/en/article/-/asset_publisher/tietosuojavaltuutetun-toimiston-seuraamuskollegio-maarasi-kolme-seuraamusmaksua-tietosuojarikkomuksista

【Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679】

https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

 

関連記事