GDPR の第 32 条によれば、管理者と処理者は、処理のリスクに応じた適切なレベルのセキュリティを確保するために、適切な技術的および組織的対策を実装する必要があります1。GDPR は特定のセキュリティ対策を規定するものではなく、適切なセキュリティ レベルを決定する際に考慮すべき要素のリストを提供します。
最先端技術と導入コスト。
処理の性質、範囲、コンテキストおよび目的。
自然人の権利と自由に対するさまざまな可能性と重大度のリスク。
したがって、GDPR で要求されるセキュリティのレベルは絶対的なものではなく、各処理アクティビティの特定の状況に応じて決まります。GDPR はまた、セキュリティ要件への準拠を実証するために、行動規範と認証メカニズムの使用を奨励しています1。
このシナリオでは、Natural Insight は、価格設定サービスを提供する目的で、管理者である BHealthy から顧客情報を受け取る処理者です。Natural Insight には、データのセキュリティを確保し、GDPR に準拠するための技術的および組織的措置を実装する契約上の義務があります。Natural Insight のセキュリティ義務は、契約締結前に BHealthy が評価した対策や、合理的なデータ主体が期待するセキュリティのレベルに限定されません。むしろ、Natural Insight は、顧客の連絡先情報や購入履歴を保護するための業界の慣行と、データ侵害、個人情報の盗難、詐欺、差別などの処理から生じる可能性のある潜在的なリスクを考慮する必要があります。また、Natural Insight は、最新技術と実装コストを常に把握し、それに応じてセキュリティ対策を調整する必要があります。
参照：
4: アート。32 GDPR 処理のセキュリティ

GDPR の第 14 条によ​​れば、管理者がデータ主体以外の情報源から個人データを収集する場合、管理者は、管理者の身元や連絡先の詳細、目的、法的根拠などの特定の情報をデータ主体に提供する必要があります。処理の内容、関連する個人データのカテゴリー、個人データの受信者または受信者のカテゴリー、およびデータ主体の権利。この情報は、個人データを取得してから合理的な期間内、遅くとも 1 か月以内、データ主体との最初の通信時、またはデータを別の受信者に開示する前に提供する必要があります。この規定の目的は、個人データの公正かつ透明な処理を確保し、データ主体が知らされる権利を尊重することです。参照：
GDPR の第 14 条では、個人データがデータ主体から取得されていない場合に提供される情報を指定しています。
ICO ガイダンス。GDPR 第 14 条の要件と例外について説明しています。
EDP​​B ガイドライン。GDPR 第 14 条の適用に関するさらなるガイダンスを提供します。

参照 https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability /