EUデータ保護規則(GDPR)ーデータ主体の権利②:アクセス権

今回の記事では、EUデータ保護規則(GDPR)の下で保障されるデータ主体の権利のうち、データ主体によるアクセス権(第15条)を見ていきます。

EU指令でも同様の規定がありました(§12)。EUデータ保護規則では、データ主体が取得することのできる情報が増え、規定が整理されています。

アクセス権の内容

まず、データ主体は、管理者から、データ主体自身に関する個人データが処理されているか否かの確認を得ることができます(第15条第1項)。
自身の個人データが処理されている場合には、データ主体は、さらに処理されている個人データにアクセスすることができます(第15条第1項)。具体的には、管理者がデータのコピーを提供します(第15条第3項)。ただし、このコピーの取得によって、他者の権利や基本的自由に不利な影響を及ぼしてはなりません(第15条第4項)。
データ主体が電子的手段によって請求をした場合には、データ主体が特段の請求をしない限り、通常利用される電子的形式で提供を受けることになります(第15条第3項)。
自身の個人データが処理されている場合には、データ主体は、次の情報を得る権利があります(第15条第1項)。

  • 処理の目的
  • 個人データの種類
  • 個人データが開示されたまたは開示される受領者、特に第三国または国際機関における受領者及び受領者の種類
  • 個人データが保管される予定の期間、それができない場合は、その期間を決定するために使用される基準
  • 個人データの訂正・削除・処理を制限する権利や処理に異議を述べる権利の存在
  • 監督機関に不服を申し立てる権利
  • 個人データをデータ主体から収集していない場合、収集先に関する入手可能な情報
  • プロファイリングを含む自動的な判断の存在、データ主体にとって当該処理の意味や結果、関連する論理についての重要な情報
  • 個人データが第三者または国際機関に移転される場合、適切な保護措置

違反がある場合の救済

データ主体の権利に関して違反がある場合、管理者である企業などは、行政罰である過料を課される可能性があります。また、データ主体は、監督機関に対し不服を申し立てたり、司法的救済を求めることができます。
詳細は、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済“の記事でまとめましたので、参考にしてください。

まとめ

1 自分の個人データが処理されているかどうかを確認したいデータ主体は、第15条の規定を押さえておきましょう。

2 企業は、データ主体に対するデータのコピーの提供方法を検討しておく必要があります。EU指令よりもデータ主体に提供する情報の種類が増えていますので、確認し準備しておきましょう。

2016年10月21日更新:違反がある場合の救済を追加しました。

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。