- (1) 個人データがデータ主体から取得されたものではない場合、管理者は、データ主体に対し、以下の情報を提供する:
- 管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先。
- 該当する場合は、データ保護オフィサーの連絡先。
- 予定されている個人データの取扱いの目的及びその取扱いの法的根拠。
- 関係する個人データの種類。
- もしあれば、個人データの取得者又は取得者の類型。
- 該当する場合は、管理者が個人データを第三国又は国際機関の取得者に対して移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46 条若しくは第47 条に定める移転の場合又は第49 条第49条第1項第49条第2項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報。
- (2) 第 1 項に定める情報に加え、管理者は、データ主体に対し、データ主体に関して公正かつ透明性のある取扱いを確保するために必要な以下の情報を提供する。
- その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。
- その取扱いが第6 条第 1 項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。
- 個人データへのアクセス、個人データの訂正又は消去、又は、データ主体と関係する取扱いの制限を管理者から得ることを要求する権利、又は、取扱いに対して異議を述べる権利、並びに、データポータビリティの権利が存在すること。
- その取扱いが第6 条第 1 項(a)又は第9 条第 2 項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること。
- 監督機関に異議を申立てる権利。
- どの情報源からその個人データが生じたか、及び、該当する場合は、公衆がアクセス可能な情報源からその個人データが来たものかどうか。
- プロファイリングを含め、第22 条第 1 項及び第 4 項に定める自動的な決定が存在すること、また、それが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報。
- (3) 管理者は、以下のとおりに、第 1 項及び第 2 項に定める情報を提供する。
- (4) 当該個人データが入手された際の目的とは別の目的のための個人データの取扱いを管理者が予定する場合、その管理者は、データ主体に対し、当該追加的取扱いの開始前に、当該別の目的に関する情報及び第 2 項に定める関連する付加的な情報を提供する。
- (5) 第 1 項から第 4 項は、以下の場合、その範囲内では、適用されない。
- データ主体が既にその情報をもっている場合。
- 特に、第89 条第 1 項に定める条件及び保護措置による公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的、又は、統計の目的のための取扱いに関し、そのような情報の提供が不可能であるか、又は、過大な負担を要することが明らかな場合、又は、本条第 1 項に定める義務が当該取扱いの目的の達成を不可能としてしまうおそれ、又は、それを深刻に阻害するおそれがある範囲内において。そのような場合、その管理者は、その情報を公衆が利用可能とすることを含め、データ主体の権利及び自由並びに正当な利益を保護するための適切な措置を講ずるものとする。
- 管理者がそれに服し、かつ、データ主体の正当な利益を保護するための適切な措置を定める EU 法又は加盟国の国内法によって、その入手又は開示が明示で定められている場合。
- 制定法上の守秘義務の場合を含め、EU 法又は加盟国の国内法によって規律される職務上の守秘義務によって、その個人データを機密のものとして維持しなければならない場合。
GDPR 規則 (EU) 2016/679
第14条