英国のデータ保護規制当局は自らの助言に従わず、GDPR遵守のための主要勧告の一つである職員向けのプライバシー通知が依然として「作成中」であると認めた。
一般データ保護規則の一環として、個人には「通知を受ける権利」があり、これは組織がどのような個人データを処理し、その理由を個人に通知する権利があることを意味します。
この点に関して英国情報コミッショナー事務局が発行したガイダンスには、「個人は、自身の個人データの収集と利用について通知を受ける権利を有する。これはGDPRにおける重要な透明性要件である」と記載されている。
英国の情報コミッショナーが大失敗:GDPR関連書籍の「盗作」スキャンダルでサイトが閉鎖
続きを読む
組織がコンプライアンスを遵守していることを保証するためのこのアドバイス (PDF) の重要な部分は、データ処理の法的根拠と目的などを定めたプライバシー通知を組織が提供する必要があるというものです。
しかし、GDPRが施行されてからほぼ1年が経過した現在も、ICOは従業員向けのプライバシー通知をまだ草案中で、自社の製品をそのまま利用したわけではないようだ。
4月5日、WhatDoTheyKnowに掲載された情報公開請求に対する回答で、職員の個人情報の利用に関する情報を含むプライバシー通知のコピーを求められた同機関は次のように述べた。
ご依頼いただいた情報は現在保有しておりません。ICO従業員向けのプライバシー通知は現在作成中です。
ミション・デ・レイアのデータ保護アドバイザー、ジョン・ベインズ氏は、ICOが「GDPRのプライバシー通知を自社のスタッフに配布どころか、準備もしていない」と認めたことに「本当に驚いた」と個人ブログで述べた。
ベインズ氏は、ICO自身のガイドラインでは、情報を受ける権利を誤ると「罰金の対象となり、評判の失墜につながる可能性がある」と述べられていると指摘した。
しかし、ICOの広報部門は本日、職員は個人データ処理方針について「認識していた」と述べ、この告白を軽視した。
広報担当者はザ・レグに対し、ICOは方針を「策定」したが、スタッフの増加により「更新」する必要があったと語った。
「ICOの従業員数は過去12か月間で40%増加しており、これにより従業員向けのポリシーや手順が何度も更新されたため、従業員向けのプライバシー通知に反映させる必要がある」と広報担当者は述べた。
「ICOの全従業員は、雇用主としての個人情報の取り扱いに関するポリシーと手順を認識しています。」
彼女は、従業員のプライバシーに関する通知の「最終版」が「近日中」にウェブサイトで公開される予定だと述べた。®
