GoogleドライブとGDPR

これは、第6条の処理の合法性です。

処理は、以下の少なくとも1つが当てはまる場合に限り、合法であるものとします。

• データ主体は、1つ以上の特定の目的のために個人データの処理に同意しました。
• データ主体が関係している契約を履行するため、または契約を結ぶ前にデータ主体の要求に応じて措置を講じるために、処理が必要です。
• 管理者が従う法的義務を遵守するために処理が必要です。
• データ主体または別の自然人の重要な利益を保護するために処理が必要です。
• 公共の利益のために、または管理者に与えられた公的権限を行使するために実行されるタスクの実行には、処理が必要です。
• 管理者または第三者が追求する正当な利益のために処理が必要です。ただし、そのような利益が、個人データの保護を必要とするデータ主体の利益または基本的権利および自由によって上書きされる場合を除き、特に対象は子供です。

次の記事も参照してください（第25条、設計およびデフォルトでのデータ保護）。

1. 技術の状態、実装のコスト、処理の性質、範囲、コンテキスト、目的、および処理によってもたらされる自然人の権利と自由に対するさまざまな可能性と重大度のリスクを考慮に入れて、管理者は、処理手段の決定時および処理自体の時点の両方で、データの最小化などのデータ保護の原則を効果的に実装するように設計された、仮名化などの適切な技術的および組織的対策を実施するこの規則の要件を満たし、データ主体の権利を保護するために、必要な保護手段を処理に統合します。
2. 管理者は、デフォルトで、処理の特定の目的ごとに必要な個人データのみが処理されることを保証するための適切な技術的および組織的対策を実装する必要があります。この義務は、収集される個人データの量、処理の範囲、保管期間とアクセシビリティ。特に、そのような措置は、デフォルトで個人データに無制限の数の自然人が介入することなくアクセスできないようにするものです。

また、第28条は「データプロセッサ」を定義しています。これは、コントローラに代わってデータを処理する会社です。これらの2つの当事者の間には特定の契約が必要です。ここに少し引用します。

処理者による処理は、契約書または連合または加盟国の法律に基づくその他の法的法律に準拠するものとします。これは、管理者に関して処理者に拘束力があり、処理の内容と期間、性質および目的を定めています。処理、個人データの種類、データ主体のカテゴリ、および管理者の義務と権利。その契約またはその他の法的行為は、特に、処理者が[...]

これは実際にはどういう意味ですか？私の個人的な解釈（IANAL）は、次の条件を満たしていれば、Googleドライブでデータを共有しても問題ないということです。

• cVデータを他の従業員と共有する必要があります。そうでない場合、データ主体はそのようなデータがそのように共有されることを合理的に期待できます。たとえば、オフィスワーカー間でのみ共有され、3つの従業員が隣り合って働くオフィスが1つしかない場合、これは問題にはならないでしょう。一方、何百人もの従業員（異なるオフィス、異なる場所、異なるタスクなど）間でデータを共有している場合、CVデータへのアクセスは彼らのビジネスのいずれにもなりません。
• Googleドライブは、Googleがお客様に代わって個人データを処理するため、第28条およびGDPR全般に準拠するDPA（データ処理契約）を提供しています。 Googleが無料サービスに準拠しているかどうかは不明なので、慎重に確認する必要があります。前回チェックしたとき、ビジネスサービス（無料サービスの有料バージョン）のみが、GDPRに準拠するように構成できる設定があり、プライバシーポリシーにはDPA契約のセクションが含まれていました。

私の意見では、ユーザーに同意を求めるだけではこのケースでは機能しません。CVデータをこのように不必要に共有することは、処理の有意義な理由ではなく、不注意な組織の問題のように思えるからです。この問題を修正するために必要なのは、パスワードで一部のファイルを保護すること、または特定のアカウントでのみフォルダーを共有することです。

応募者データは個人データであるため、GDPRルールに準拠する必要があります。

申請者のCVは、詳細を確認するか、面接するか、採用するかどうかに関係なく、個人データであり、したがって、準拠した方法で処理する必要があります。

したがって、各自の同意を得ずにこのデータを共有することはできません。現在作業していない（現在採用プロセスにない）CV（雇用した従業員のCVも含む）を安全に削除します。

さらに、個人のセキュリティ上の問題として、Googleドライブのようなシステムにデータが存在することを望みません。会社が私のCVをコールドストレージに保存することは問題ありませんが、クラウドドライブ（さらに悪い場合は共有）に保存することになれば、私は間違いなく彼らを訴えます。

結論として、はい、あなたのケースはGDPRの違反です。

GDPRに基づく個人情報の収集、保存、処理、共有を正当化できる必要があり、明示的な同意を得ることなく、ICOの規制の解釈に準拠する処理の正当な根拠がある場合があります（ただし、あなたが与えた簡単な説明では、同意は処理のための最も適した法的根拠のようです）。すべてのケースが異なります。

たとえば、データを処理している人との合意に、他の（またはすべての）従業員とデータを共有し、データ主体にオプトアウトするか、そのレベルに同意する機会を提供することを含めることができます。共有の。ここでは、データ主体との透明性が鍵となります。

データの処理に「正当な利害関係」があると信じている場合があり、この方法でデータを処理することによってデータ主体に害を与えていないことを証明できる限り、同意ではなく「正当な利害関係」を使用できます。処理の法的根拠として（ただし、この包括的なアプローチには注意が必要ですが、正当化できる必要があります）。

GDPRは、遵守方法に関する厳密で正確な詳細ではなく、いくつかの原則に基づいて運営されています。それらは、（言い換え）透明性、公平性、データ主体がデータの制御を保持できるようにすること、元の目的を達成するために必要な範囲でのみデータを収集および処理すること、不正なアクセスからデータを保護するために十分な注意を払うことなどです。

したがって、質問は非常に複雑です。主要なタスクを実行するために必要なデータのみを収集していることを証明できる場合、データ主体は処理（および共有）の方法を認識しており、必要な間だけデータを保持し、データ主体は保持します（情報に基づいた方法で）データの使用を制御するなどの場合、規制の右側にいることになります。

これらの問題について考え、できれば思考プロセスと意思決定を記録することが重要です。これにより、紛争が発生した場合にICOにデューデリジェンスを示すことができます。彼らは最終的にあなたの決定に同意しないかもしれませんが、あなたがこれらの問題を真剣に検討し、心配せずに行動しただけでなく、その検討に基づいて結論に至った場合、ICOはより共感するでしょう。

これはGDPRに関する私の意見であり、法的助言として決して受け取られるべきではありません。あなたの法律顧問はもちろん異なる場合があります。