一般データ保護規則（GDPR）は、職場における従業員の監視を禁止していません。ただし、雇用主は、個人データを処理する際に従業員の権利と自由が保護されるように、特別な規則に従う必要があります。GDPRは、処理がEU内で行われるか否かに関わらず、EU域内に設置された管理者または処理者の活動に関連する個人データの処理に適用されます。また、GDPRは、EU域内に設置されていない管理者または処理者による、EU域内に居住するデータ主体の個人データの処理にも適用されます。この場合、処理活動は、EU域内のデータ主体への商品またはサービスの提供、またはEU域内で行われる限りにおけるその行動の監視に関連しています。
GDPRでは、個人データの処理は合法、公正、かつ透明性があり、規則に定められた6つの法的根拠のいずれかに基づいて行われなければならないと規定されています。従業員監視の最も関連性の高い法的根拠は、雇用主の正当な利益、従業員との契約の履行、または法的義務の遵守です。また、GDPRでは、個人データの処理は、処理の目的に必要な範囲に限定されなければならないこと、そしてデータ主体には、処理の目的と法的根拠、そしてデータ主体の権利とデータ保護のための安全対策について通知されなければならないことも規定されています。
GDPRは、人種や民族的出身、政治的意見、宗教的信念、哲学的信念、労働組合への加入状況を明らかにする生体認証データ、あるいは自然人を一意に識別する目的で処理される生体認証データなど、特別なカテゴリーの個人データの処理に関して、具体的な義務と制限を課しています。これらのデータの処理は、規則に列挙されている10の例外のいずれかに該当する場合を除き、禁止されています。従業員監視に関する最も重要な例外は、データ主体の明示的な同意、雇用、社会保障、社会保障法の分野における管理者またはデータ主体の義務の履行および特定の権利の行使のために必要な場合、または重大な公共の利益のための必要性です。
GDPRは、適切なデータ保護水準が確保されていない第三国または国際機関への個人データの移転に関する規則と要件も定めています。このようなデータの移転は、管理者または処理者が拘束力のある企業準則、標準契約条項、行動規範、認証メカニズムなどの適切な保護措置を講じており、かつデータ主体が執行可能な権利と効果的な法的救済手段を有している場合にのみ許可されます。
GDPRは保存期間の制限の原則も定めており、個人データは、データ主体を識別できる形式で、個人データの処理目的に必要な期間を超えて保存してはならないと定めています。GDPRは個人データの保存期間について明確な期限を定めておらず、処理の性質、範囲、状況、目的、ならびにデータ主体の権利と自由に対するリスクを考慮し、適切な保存期間を決定する権限を管理者に委ねています。GDPRはまた、適切な保護措置を講じることを条件として、公益、科学研究、歴史研究、または統計目的のためのアーカイブ保存のために、個人データをさらに保存することを認めています。
シナリオに基づき、プライバシーの問題を解決した後、Gentle Hedgehogは、個人データを処理する際に全従業員が遵守しなければならないプライバシーポリシーに記載されている限り、監視データを保管することができます。このオプションは、以下の理由から、GDPRの原則と要件に最も適合しています。
個人データの処理は、有効な法的根拠、すなわち、従業員による業務の生産性、品質、セキュリティを確保するという雇用主の正当な利益、従業員との契約の履行、詐欺を防止して機密情報を保護するという法的義務の遵守に基づいています。
監視の目的に必要な範囲に限定され、従業員の業務関連の活動とコミュニケーションのみが対象となり、私的または個人的な活動は除外されます。
従業員に対して監視内容とその正確な範囲を通知し、監視に異議を唱えたり監視を拒否したりする機会を与えるため、従業員にとって透明性が保たれます。
生体認証データや、政治的意見や労働組合の加入を明らかにするデータなど、監視の目的に必要または適切ではなく、規制に記載されている例外のいずれにも該当しない特別なカテゴリの個人データの処理は含まれません。
適切なレベルのデータ保護が提供されず、従業員の権利と自由にさらなるリスクをもたらす可能性のある中国などの第三国への個人データの転送を伴いません。
個人データの保存期間を指定するなど、保存制限の原則を尊重し、監視の目的でデータが不要になった場合はデータを削除または匿名化します。
質問に記載されているその他のオプションは、次の理由により、監視データを保存するための有効な条件ではありません。
従業員の同意（自由に与えられておらず、十分な情報に基づいた具体的なものではない）に依存しているか、または個人データの保管には適用されない法的義務の遵守に依存しているため、個人データの処理に関する有効な法的根拠に基づいていません。
雇用主の正当な利益、従業員との契約の履行、または詐欺を防止して機密情報を保護する法的義務によって要求されるよりも長期間の個人データの保存を伴うため、監視の目的に必要な範囲に限定されません。
従業員に対して個人データの保存期間を通知せず、データの消去を要求する機会も与えないため、従業員にとって透明性がありません。
個人データの保存期間を指定せず、監視の目的でデータが不要になった場合にデータを削除または匿名化しないため、保存制限の原則を尊重しません。
参照：
GDPR、第5条、第6条、第7条、第8条、第9条、第10条、第12条、第13条、第14条、第15条、第16条、第17条、第18条、第19条、第20条、第21条、第22条、第23条、第44条、第45条、第46条、第47条、第48条、および第49条。
ビデオデバイスを介した個人データの処理に関する EDPB ガイドライン 3/2019、5、6、7、8、9、10、11、12、13、14 ページ。
GDPR における管理者と処理者の概念に関する EDPB ガイドライン 07/2020、19、20、21、22、23、24、25、26、27、28 ページ。
EDP​​B ガイドライン 4/2019、第 25 条「設計およびデフォルトによるデータ保護」、5、6、7、8、9、10、11、12、13、14、15、16、17、18、19、20、21、22、23、24、25、26、27、28 ページ。
規則 2016/679 に基づく第 49 条の例外に関する EDPB ガイドライン 2/2018、4、5、6、7、8、9、10、11、12 ページ。
データ保護：GDPR と従業員の監視 | 特集 | 法律公報、第 1 項、第 2 項、第 3 項、第 4 項、第 5 項、第 6 項、第 7 項、および第 8 項。

英国GDPRによれば、個人データの処理は合法、公正、かつ透明性が確保されていなければなりません1。合法性とは、個人データの処理には、同意、契約、法的義務、重大な利益、公的任務、正当な利益など、有効な法的根拠が必要であることを意味します1。公平性とは、処理が関係する個人にとって有害、予期せぬ、または誤解を招くものであってはならないことを意味します1。透明性とは、個人が、自分のデータがどのように使用され、誰と共有され、どのような権利を持ち、どのように行使できるかについて知らされなければならないことを意味します1。したがって、これらの概念を最もよく要約する文章は選択肢Aであり、公平性と透明性とはデータ収集前に重要な情報を伝達することを指し、合法性とは政府規制の遵守を指すと述べています。参考文献：1 https://ico.org.uk
/組織向け-2/データ保護ガイド/一般データ保護規則（GDPR）ガイド/原則
/合法性・公平性・透明性/

セクション: (なし)