ブログ

Apr 30, 2023

法的根拠に関するガイド

Trova articolo

記事を探す

私たちのウェブサイトにいくつかの変更を加えたことにお気づきかもしれません。 これには、このような小さなガイドに分割された英国 GDPR ガイドへの変更が含まれます。

2022 年 10 月 7 日 - お客様の処理目的が変更された場合には、新たな法的根拠が必要であるという見解を更新しました。 このアップデートは、「新しい目的がある場合はどうなりますか?」の下にあります。 セクション。 個人データの処理目的が変更された場合に、新たな法的根拠が必要かどうかを検討する必要があります。

☐ 当社は、処理活動の目的を検討し、各活動に最も適切な法的根拠を選択しました。

☐ 当社は、関連する目的のために処理が必要であることを確認しており、その目的を達成するための合理的かつそれほど煩わしくない方法が他にないことに満足しています。

☐ 当社は、コンプライアンスを実証するために適用される法的根拠に関する決定を文書化しました。

☐ 当社は、処理の目的と処理の法的根拠の両方に関する情報をプライバシー通知に記載しています。

☐ 特別なカテゴリのデータを処理する場合、特別なカテゴリのデータを処理するための条件も特定し、これを文書化しています。

☐ 刑事犯罪データを処理する場合、当社はこのデータを処理する条件も特定し、これを文書化しています。

処理の法的根拠は英国の GDPR の第 6 条に規定されています。 個人データを処理する場合は、次の少なくとも 1 つを適用する必要があります。

(a) 同意:その個人は、あなたが特定の目的で個人データを処理することに明確な同意を与えています。

(b) 契約:その個人と結んだ契約のために処理が必要な場合、または契約を締結する前に特定の手順を実行するよう個人から要求された場合。

(c) 法的義務:この処理は法律を遵守するために必要です (契約上の義務は含まれません)。

(d) 重要な利益:誰かの命を守るために処理が必要です。

(e) 公開タスク:処理は、お客様が公共の利益のための任務を遂行するために、または公務のために必要であり、その任務または職務には明確な法的根拠がある場合。

(f) 正当な利益:処理は、お客様の正当な利益または第三者の正当な利益のために必要である場合、ただし、これらの正当な利益を無効にする個人の個人データを保護する正当な理由がない限り。 (これは、公務を遂行するためにデータを処理する公的機関である場合には適用されません。)

それぞれの法的根拠の詳細については、このガイドの特定のページをお読みください。

外部リンク

外部リンク

これは、特定の目的と処理のコンテキストによって異なります。 データを処理する理由を考え、状況に最も適した法的根拠を検討する必要があります。 インタラクティブなガイダンス ツールを使用すると便利です。

複数の根拠が当てはまると考えることもできますが、その場合は最初からすべての根拠を特定して文書化する必要があります。

画一的なアプローチを採用してはなりません。 1 つの基準が他の基準よりも常に優れている、安全である、またはより重要であるとみなされるべきではなく、英国の GDPR にはリストの順序に階層はありません。

法的根拠のいくつかは、法的義務、個人との契約の履行、誰かの重大な利益の保護、公共の任務の遂行など、特定の特定の目的に関連しています。 これらの目的で処理を行う場合、適切な法的根拠は明らかであるため、最初にこれらを検討することが役立ちます。

他の場合には、正当な利益を使用するか同意を使用するかを選択できる可能性があります。 次のような、より広いコンテキストについて考える必要があります。

処理を管理し、それが人々の合理的な期待に沿ったものであり、人々に不当な影響を与えないことを証明する責任を負いたい場合は、法的根拠として正当な利益を考慮することを選択することもできます。 一方、個人に自分のデータに対する完全な制御と責任を与えたい場合 (データの処理を継続できるかどうかについて考えを変更できることを含む)、個人の同意に依存することを検討することをお勧めします。

さらに詳細に

当社は、お客様の処理活動にとってどの法的根拠が最も適切であるかについて、よりカスタマイズされたガイダンスを提供するために、法的根拠の対話型ガイダンス ツールを作成しました。

基本的なアプローチは同じです。 目的を考えて、最も適した基準を選択する必要があります。 当社の法的根拠ツールを引き続きご利用いただけます。

パブリックタスクベースは、あなたが行うことの多くに関連している可能性が高くなります。 あなたが公的機関であり、英国の法律に定められたタスクを実行するための処理であることを証明できる場合は、公的タスクの基準を使用することができます。 しかし、別の目的であれば、別の根拠を検討することもできます。

特に、処理の性質および個人との関係に応じて、場合によっては同意または正当な利益を考慮できる場合があります。 公的機関が同意または正当な利益を法的根拠として使用することを絶対的に禁止するものではありませんが、いくつかの制限があります。 詳細については、各法的根拠に関する特定のガイダンスのページを参照してください。

2018 年データ保護法によると、ここでの「公的機関」とは、教区および地域評議会を除き、情報公開法または情報自由 (スコットランド) 法に基づく公的機関を意味します。

例

個人データの処理を希望する大学は、データをどのように扱うかに応じて、さまざまな法的根拠を検討することがあります。

大学は公的機関として分類されているため、その規約や法的権限の詳細に応じて、その処理の多くに公的任務の基礎が適用される可能性があります。 処理が公的機関としての任務から切り離されている場合、大学は代わりに、特定の状況において同意または正当な利益が適切であるかどうかを検討したいと考えるかもしれません。 たとえば、大学は教育や研究の目的で個人データを処理するための公的タスクに依存する場合があります。 ただし、正当な利益と、同窓会関係や資金調達を目的とした同意が混在しています。

ただし、大学はその根拠を慎重に検討する必要があります。特定の処理目的にどの法的根拠が適用されるかを実証できるのは管理者の責任です。

外部リンク

個人データの処理を開始する前に、法的根拠を決定する必要があります。 最初にこれを正しく理解することが重要です。 後日、選択した基準が実際には不適切であったことが判明した場合、単純に別の基準に切り替えることは困難になります。 たとえ最初から別の根拠が適用できたとしても、法的根拠を遡及的に切り替えることは本質的に個人にとって不公平であり、説明責任と透明性の要件の違反につながる可能性があります。

例

企業は同意に基づいて処理することを決定し、個人から同意を得ました。 その後、ある個人は、その権利であるデータの処理に対する同意を撤回することを決定しました。 しかし、同社はデータの処理を継続したいと考え、正当な利益に基づいて処理を継続することを決定しました。

たとえ当初は正当な利益に依拠できたとしても、企業は後日そうすることはできません。最初に選択した根拠が不適切であると認識したときに、根拠を変更することはできません（この場合、個人に本物の利益を提供したくなかったため）継続的な制御）。 正当な利益に基づいて処理していることを最初から個人に対して明確にすべきでした。 その選択が無関係であれば、個人に選択肢があったと信じ込ませることは本質的に不公平です。 したがって、個人が同意を撤回した場合、会社は処理を停止しなければなりません。

したがって、どの根拠が適切であるかを事前に徹底的に評価し、これを文書化することが重要です。 複数の目的があるため、複数の根拠が処理に適用される可能性があります。その場合は、最初からそのことを明確にする必要があります。

状況に真の変化があった場合、または新たな予期せぬ目的がある場合、つまり法的根拠を見直して変更を加える十分な理由がある場合は、その個人に通知し、変更を文書化する必要があります。

外部リンク

時間の経過とともに目的が変化する場合、または当初予想していなかった新しい目的がある場合は、目的制限の原則に従う必要があります。 要約すると、次の場合にのみ続行できます。

互換性の詳細については、目的制限に関するガイダンスを参照してください。

すべての処理は合法である必要があるため、法的根拠も特定する必要があります。 データの収集に使用した元の根拠が、データの新たな用途に必ずしも適切であるとは限りません。

ほとんどの場合、データを新たに使用するための適切な根拠はかなり明らかである可能性があります。 たとえば、新しい目的のために特定の同意を得ている場合、法的根拠は同意になります。 公共の利益のために新たな処理を要求する法規定に依存している場合、法的根拠は法的義務となります。 公共の利益のためのデータの新たな使用を許可する法規定に依存している場合、その法的根拠は公的任務となります。

新しい処理活動の目的が元の処理目的と一致する場合、個人データの使用が次の目的で必要である限り、新しい処理の法的根拠として「正当な利益」に頼ることができる可能性があります。その目的。

互換性評価では、正当な利益の評価 (LIA) と同様の要素が検討される可能性が高いと考えられます。 そうする必要はありませんが、互換性の評価に役立つ LIA テンプレートを使用できます。これは、同時に法的根拠を証明するのにも役立ちます。

新しい処理が研究目的である場合、互換性評価を実行する必要はありません。ほとんどの状況において、法的根拠が公共の任務または正当な利益である可能性が高いと確信できます。 詳細については、研究規定に関するガイダンスを参照してください。

ただし、最初に同意に基づいてデータを収集した場合は、新しい目的を具体的にカバーする新たな同意を取得する必要があります (データの再利用を特に許可する明確な法規定に依存している場合を除く)。 なぜなら、同意とは、データの使用方法について個人に実際の選択と制御を与えることを意味するからです。 これは、同意が常に具体的であり、情報に基づいたものでなければならないことを意味します。 ユーザーは、自分のデータに対して何をしようとしているのかを理解し、理解している場合にのみ、有効な同意を与えることができます。 新しい目的について具体的な同意を得た場合、それが互換性があることを示す必要はありません。

特殊なカテゴリのデータを処理している場合は、新しい処理に適用される適切な条件を確実に特定できるようにする必要もあります。

外部リンク

説明責任の原則により、英国の GDPR を遵守し、適切なポリシーとプロセスを備えていることを証明できることが求められます。 これは、各処理目的にどの法的根拠が適用されるかを適切に検討し、その決定を正当化できることを示す必要があることを意味します。

したがって、各処理目的でどの根拠に依存しているのか、およびそれが適用されると考える理由の根拠を記録しておく必要があります。 記録内容が法的根拠が適用されることを証明するのに十分であることを保証する限り、これに標準的な形式はありません。 これは、責任義務を遵守するのに役立ち、プライバシーに関する通知を作成する際にも役立ちます。

特定の処理目的にどの法的根拠が適用されるかを確実に証明できるようにするのはあなたの責任です。

このトピックの詳細については、このガイドの説明責任のセクションをお読みください。 ガイドの関連ページには、同意または正当な利益の評価の文書化に関するさらなるガイダンスもあります。

外部リンク

プライバシー通知には、法的根拠 (複数適用される場合は複数の根拠) に関する情報を含める必要があります。 英国の GDPR の透明性規定に基づき、人々に提供する必要がある情報には次のものが含まれます。

これは、個人データを個人から直接収集する場合でも、別のソースから個人データを収集する場合でも適用されます。

GDPR の透明性要件の詳細については、このガイドの「情報を得る権利」セクションをお読みください。

外部リンク

特別なカテゴリのデータを処理する場合、第 9 条に準拠した処理の法的根拠と特別なカテゴリの条件の両方を特定する必要があります。処理の法的根拠と特別なカテゴリの条件の両方を文書化して証明できるようにする必要があります。コンプライアンスと説明責任。

詳細については、特別なカテゴリのデータに関するセクションを参照してください。

有罪判決、刑事犯罪、または関連するセキュリティ対策に関するデータを処理している場合は、処理の法的根拠と、第 10 条に従ってこのデータを処理するための「公的権限」または別の条件の両方が必要です。両方を文書化する必要があります。コンプライアンスと説明責任を証明できるように、処理の法的根拠と犯罪犯罪データの状態を確認します。

詳細なガイダンスは、刑事犯罪データに関するセクションを参照してください。

さらに読む – ICO ガイダンス

説明責任フレームワークは、法的根拠に関連して ICO の期待を検討します。