ポーランドのデータ保護機関は3月末、EUの一般データ保護規則(GDPR)に基づいて初の罰金を科した後、面白い決定を下した。
表面的には、この措置はさほど大事には見えない。ポーランドの個人データ保護局(UODO)は、同国に支社を置く欧州のデジタルマーケティング企業Bisnode(本社はスウェーデン)に対して、同社がGDPR第14条に定められたデータ主体の権利に対する義務を履行していないことを理由に、わずか22万ユーロ(約2740万円)の罰金を科した。
しかしその決定は、第14条に規定された通知義務による通知を受け取っていない600万人近い人たちに、連絡を取ることも要請している。UODOが同社に与えた猶予は3カ月だ。
Bisnodeは、これだけの数の書留郵便を送るには、そのための経費を一切含めないとしても、およそ800万ユーロ(約99億8500万円)かかると前もって見積もっていた。
つまり、GDPRに基づくデータ保護の強制力は、これまでに科せられた最上級の罰金よりもずっと威力があるということだ。この付随命令には、商習慣を大きく変えてしまう可能性すらある。
ポーランドの報道機関によると、Bisnodeは、違反しているデータを削除すると話しているという。数百万通の郵便物を出さずに済ませるための方策だ。さらに同社は、UODOの決定に対し、まずはポーランドの法廷に異議を訴える構えを見せている。
コメント