ベルギーの通信事業会社が電話帳の個人データ削除要請を放置し制裁金2万ユーロ


個人データ削除要請を放置

ベルギーのデータ保護監督機関(Autorité de protection des données 、以下「APD」)は、ベルギーの通信事業者であるProximus社に対し、ユーザーの個人データの電話帳からの削除要請を放置したという理由で、2020年7月30日に2万ユーロ(約250万円)の制裁金を課した。

 

事案の概要

APDへ苦情の申立を行った者は、通信事業を営み電話帳の発行者でもあるProximus社に対して、Proximus社の電話帳だけでなく、他の発行者の電話帳からも、自己の個人データを削除するように要請したところ、Proximus社は、今後、電話帳に掲載せず、他の電話帳発行者にも連絡する旨の回答をした。

しかし、数か月経過後も、Proximus社および他社の電話帳に、引き続き、その者の個人データが掲載され続けていた。

 

処分の根拠

ePrivacy指令(2002/58/EC)第12条に対応するベルギーの国内法「電気通信法」では、電話帳への個人データ掲載には本人の同意を必要としている。GDPR第95条は「本規則は、EU 域内にある公衆通信ネットワークにおける公衆が利用可能な電子通信サービスの提供と関連する取扱いと関係する自然人又は法人に対し、指令 2002/58/EC において同じ目的で定められ、特別な義務として服する事柄に加え、追加的な義務を課すものではない。」と規定しているが、ePrivacy指令第12条の前提となる同意についてはGDPRの規定が引き続き適用されるとし、「Proximus社は管理者として、データ主体の電話帳への個人データ掲載の同意撤回に対する適切な対策の義務に反しており、GDPR第5条2項、6条、7条、24条に反する。また、データ主体に対する、透明性のある情報提供をしておらず、GDPR第12条、13条にも反する。」と判断された。

 

APDの決定文

https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-42-2020.pdf

 

EDPBのニュース

https://edpb.europa.eu/news/national-news/2020/belgian-dpa-imposes-eu20000-fine-proximus-several-data-protection_en

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト