EU29条作業部会、同意の最新ガイドラインのポイント


11月28日、EU加盟国のデータ保護監督機関の代表で構成される「29条データ保護作業部会」(以下「作業部会」)が同意に関する最新ガイドラインドラフトを公開した。作業部会は旧指令(95/46/EC)に基づく同意ガイドラインを2010年に公開しているが、最新ガイドラインドラフトはEU一般データ保護規則(GDPR)が有効な同意の要件について規制強化したことに伴いその運用の指針を示すもの。主なポイントは以下の通り。

なおIIJ及び森・濱田松本法律事務所が2018年1月24日に共同開催する「第6回 実践的GDPRセミナー」では、同ガイドラインドラフト及び同日公表の透明性に関するガイドラインドラフトについて解説する。

■ 同意の有効要件

  • 交渉の余地がない取引条件に組み込まれた場合、自由に与えられた同意ではないと推定される (presumed)。(IIJ注:反証(rebut)を許さないとまでは断言していない。)
  •  管理者とデータ主体との間に力関係の不均衡がある場合、原則として、同意は有効な適法根拠とすべきではない。典型的には管理者が公共団体、雇用主である場合。
  •  同意取得に先立ち、個人データ処理について、特定され、明確で、合法的な目的が決定されなければならない。(IIJ注:抱き合わせの同意は特定性、任意性を欠く。)
  •  別の管理者への個人データ移転を想定する場合、同意に先立つ情報提供で、すべての管理者を具体名で示さなければならない。
  •  情報提供が複雑な場合、URLリンクを利用した階層構造の情報提供が適切である。

■ 明確(explicit)な同意

  • 特別カテゴリー個人データ処理などに対する同意に要求される明確(explicit)な意思表示と認められる例:署名された書面、webフォームへの記入、メール送信、スキャンされた署名入り書面のアップロード、電子署名された文書の送信

■ 同意の証明・撤回

  • 同意の証明には、同意取得方法、取得日時、情報提供内容を記録する必要がある。
  • 同意を与える方法と同意を撤回する方法が同じである必要はないが、撤回方法が同意取得時以上にデータ主体に負担を与えるものであってはならない。

■ 旧データ保護指令下の同意

  •  旧指令下の運用で認められた「黙示の同意」はGDPRの同意要件を満たさない。

関連記事