-
(1)
個人データがデータ主体から取得されたものではない場合、管理者は、データ主体に対し、以下の情報を提供する:
- 管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先。
- 該当する場合は、データ保護オフィサーの連絡先。
- 予定されている取扱いの目的及びその取扱いの法的根拠(関係する個人データ)。
- 関係する個人データの種類。
- もしあれば、個人データの取得者又は取得者の類型。
- 該当する場合は、管理者が個人データを第三国又は国際機関の取得者に対して移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46条若しくは第47条に定める移転の場合又は第49条第1項第2段落に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報。
-
(2)
第1項に定める情報に加え、管理者は、データ主体に対し、データ主体に関して公正かつ透明性のある取扱いを確保するために必要な以下の情報を提供する。
- その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。
- その取扱いが第6条第1項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。
- 管理者から、個人データへのアクセス、個人データの訂正又は消去、又は、データ主体と関係する取扱いの制限を得ることを要求する権利、又は、取扱いに対して異議を述べる権利、並びに、データポータビリティの権利が存在すること。
- その取扱いが第6条第1項(a)又は第9条第2項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること。
- 監督機関に異議を申立てる権利。
- どの情報源からその個人データが生じたか、及び、該当する場合は、公衆がアクセス可能な情報源からその個人データが来たものかどうか。
- プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、それが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報。
- (3) 管理者は、以下のとおりに、第1項及び第2項に定める情報を提供する。
- (4) 管理者が、当該個人データが入手された際の目的とは別の目的のためにさらに取扱うことを予定する場合、その管理者は、当該追加的取扱いの開始前に、当該別の目的に関する情報及び第2項に定める関連する付加的な情報をデータ主体に提供する。
-
(5)
第1項から第4項は、以下の場合、その範囲内では、適用されない。
- データ主体が既にその情報をもっている場合。
- 特に、取扱いが公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的、又は統計の目的のためであり、第89条第1項に定める条件及び保護措置に服する場合に、そのような情報の提供が不可能であるか、又は過大な負担を要することが明らかな場合、又は、本条第1項に定める義務が当該取扱いの目的の達成を不可能としてしまうおそれ、又はそれを深刻に阻害するおそれがある範囲内において。 そのような場合、その管理者は、その情報を公衆が利用可能とすることを含め、データ主体の権利及び自由並びに正当な利益を保護するための適切な措置を講ずるものとする。
- 入手又は開示が、管理者がそれに服するEU法又は加盟国の国内法によって明示で定められており、かつ、データ主体の正当な利益を保護するための適切な措置を定めている場合。
- 制定法上の守秘義務の場合を含め、EU法又は加盟国の国内法によって規律される職務上の守秘義務によって、その個人データを機密のものとして維持しなければならない場合。
一般データ保護規則(GDPR)条項
第14条