正当な利益ガイドラインメモ

Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPRがでたので気になった部分を抜粋。

Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR | European Data Protection Board

Ⅰ　イントロダクション

• 正当な利益は以下の条件をすべて満たす必要がある。（6）

1. 管理者または第三者による正当な利益の追求

2. 追求される正当な利益のための個人データ処理の必要性

3. データ主体の利益または基本的自由と権利が管理者または第三者による正当な利益に優先しないこと

• 正当な利益は他の法的根拠がない場合の「最後の手段」として考えるべきである。（9）

Ⅱ　正当な利益の評価における考慮要素

Step1　管理者または第三者による正当な利益の追求
Step2　管理者または第三者によるデータ処理の必要性の分析
Step3　バランス調整のための方法論

• GDPRに定義がないものでも、幅広く正当性が認められる。GDPRやCJEUでは、オンライン情報へのアクセス、一般にアクセス可能なウェブサイトの機能維持、賠償請求目的での他人の財産に損害を与えた者の個人情報の取得、建物共同所有者の財産、健康、生活の保護、製品の改善、個人の信用力評価、を挙げる。（16）

• 「利益」は、以下を満たす必要がある。（17）
  ー　合法であること
  ー　明確かつ正確に表現されていること
  ー　現実かつ存在していること、

• 犯罪行為の監視のためのカメラ設置は、本例では特定の安全問題に言及していないため曖昧であり、３段階プロセスのために「明確化」されていない。（例２）

• 新雑誌を創刊する際、元購読者のデータベースを作成することは、作成時点で新雑誌の具体的な計画がなく、仮説に過ぎないため、「現実に存在する」とはみなされない。（例３）

• 収集された目的以外の目的での処理は、6条(4)に基づく適合性を確認する必要がある。管理者の正当な利益のために収集され、その後、第三者の正当な利益のために処理されるような状況では行われるべきである。（26）

• 「処理の必要性」における「必要性」の評価は、データ処理の基本的権利と自由の制限が少ない他の手段をとることで、データ処理の利益が達成ができないかどうかを確認する。（29）

• バランスは、以下を特定し、説明する必要がある。（32）
  1.データ主体の利益、基本的権利、自由
  2.処理がデータ主体に与える影響
  　①処理されるデータの性質
  　②処理のコンテキスト
  　③処理によりもたらされる結果
  3.データ主体の合理的な期待
  4.対立する権利と利益の最終的なバランス調整

•  バランス調整の目的は、データ主体の利益と権利への影響を完全に回避することではない。（33）

• 「合理的な期待」とはGDPR前文47に言及されている。（データ主体が個人データの収集時および収集の状況において、その目的のための処理が行われることを合理的に期待できるかどうか。）（50）

• オンラインソーシャルネットワークにおけるパーソナライズ広告および改善などの目的でユーザーのデータが処理されることは、合理的に期待することはできない。（例5）

Ⅲ　正当な利益とデータ主体の権利の関係性

Ⅳ　正当な利益の適用コンテキスト

• 管理者の正当な利益と子どもの利益または基本的権利・自由に対立がある場合は、一般に子どもが優先されるべきである。（95）

• ダイレクトマーケティングは正当な利益のために行われるものとみなされうることはGDPR前文47にもあるが、これは正当な利益の３条件を満たす必要がある。一部のケースでは、同意などの異なる法的根拠が必要になる場合がある。（109～112）
  eプライバシー指令の下では、電子メール、SMS、MMS、およびその他の種類の同様のアプリケーションによるダイレクトマーケティングを目的とした未承諾の通信の送信は、個々の受信者の事前の同意がある場合にのみ行うことができる。（114）

• ePrivacy 指令第 5 条(3)項では、クッキーの保存やユーザーの端末機器内の情報へのアクセスなど、トラッキング技術の使用にも同意が必要である 。したがって、同意は、ユーザーの端末に既に保存されている情報の保存とアクセス、およびその後の個人データの処理の両方について、適切な法的根拠を構成する可能性が高い。（115）

• 情報セキュリティを確保するための措置における個人データの処理は、原則として正当な利益に基づくことができる。（126）
  ただし評価にあたって以下に留意する必要がある。（127）
  ・必要性テストとバランシングテストの両方を満たすこと。
  ・処理が実際に必要であるか、またどの程度必要であるかを確認すること。またデータ主体の制限をより緩やかにする他の手段によって達成できないか検証すること。
  ・例えば、他のセクターの規則で義務付けられている企業秘密や営業秘密の保護などは情報セキュリティでは対象となるリスクだが、GDPRはカバーしていない。

（所感）
icoの説明やテンプレートを読み込んでいる分にはあまり目新しいものはない。

Legitimate interests