責務と説明責任
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/02/18 23:22 UTC 版)
「EU一般データ保護規則」の記事における「責務と説明責任」の解説
通知は従来通り必要で、その範囲が拡大されている。通知には、個人データの保持期間、および、データ管理者とデータ保護最高責任者の連絡先情報を含まなければならない。 個人に関する自動化された意思決定は、プロファイリング(第22条)を含め、係争の対象となりうる。市民は今回の規則によって、純粋なアルゴリズムによる意思決定に対しても疑義を唱え、争う権利を持つようになる。 GDPRの遵守を示せるようにするため、データ管理者は設計段階および初期状態で、データ保護の原則を満たす施策を実装しなければならない。設計および初期状態によるプライバシーの条項(第25条)は、製品およびサービスの業務プロセス開発に、設計段階でデータ保護施策を組み込むよう要求している。そのような施策には、データ管理者が個人データを可能な限り速やかに仮名化する施策が含まれている。(GDPR 備考 (Recital) 78) データ管理者の責任と義務は、データ処理業者がデータ管理者の代理でデータ処理を行う場合であっても、実効性のある施策を実装し、データ処理業務が規則を遵守していることを示せるようにすることである。(GDPR 備考 (Recital) 74) データ主体の権利および自由に対して、特定のリスクが発生する場合は、データ保護影響評価(第35条)を実施しなければならない。リスク評価およびリスク低減を実施する必要があり、高いリスクについてはデータ保護当局 (DPA) の事前承認が必要となる。データ保護最高責任者(第37~39条)が、組織内部の規則遵守を確保する。 データ保護最高責任者は以下の場合に指名しなければならない。 全ての公的機関、ただし司法能力にもとづいて活動する裁判所を除く。 データ管理者、または、データ処理者の主な活動が以下の活動からなる場合データ処理の業務が、その性質、範囲、目的にかんがみて、データ主体の規則に基づきかつ体系的で、大規模な監視を要求する場合 第9条に準じる特定の種類のデータを大規模に処理する場合、および、犯罪歴および第10条に規定する犯罪に関する個人データを処理する場合
※この「責務と説明責任」の解説は、「EU一般データ保護規則」の解説の一部です。
「責務と説明責任」を含む「EU一般データ保護規則」の記事については、「EU一般データ保護規則」の概要を参照ください。
- 責務と説明責任のページへのリンク