EUデータ保護規則(GDPR)ーデータ主体の権利①:情報の通知を受ける権利

今回は、データ主体の8つの権利のうち、情報の通知を受ける権利を取り上げます。

情報の通知を受ける権利

情報の通知については、”EUデータ保護規則―管理者の義務:情報の通知(Information Notices)”で、管理者の義務としてまとめてあります。

情報の通知を受ける権利は、第3章の「データ主体の権利」の他の条文が、”The data subject shall have the right to ….”と始まるのに対し、”the controller shall ….” と管理者を主語にして書かれているためか、データ主体の権利の一つとして紹介していない文献もあるようです。
EU指令の条文も同様で、「権利」と書かれていたわけではありません。しかし、EUデータ保護規則では、情報の通知に関する第12条ないし第14条は、明確に第3章の「データ主体の権利」の中に位置づけられています。他の権利の行使を容易にするためには、情報の通知が不可欠という考え方もできるでしょう。そこで、ここでは権利の一つとして取り上げます。

通知を受ける情報の種類

データ主体は、次のような情報の通知を受ける権利があります。通知を受ける情報は、①管理者がデータ主体から個人データを取得する場合、②管理者がデータ主体から個人データを取得していない場合、③データ主体が権利を行使した場合の3つによって異なります。
また、データ主体がすでに情報を持っている場合など一定の場合には、管理者に通知をする義務はなく、データ主体が下記の情報を必ずしも受け取らないことに留意してください。この例外については、管理者の義務の記事で紹介しています。
管理者の義務としてあげた表をここでも掲載しておきます。

管理者がデータ主体から個人データを取得する場合 第13条

通知する情報 条文
管理者(場合により代理人)の身元と連絡先詳細 §13Ⅰ(a)
設置している場合にはデータ保護担当者の連絡先詳細 §13Ⅰ(b)
予定する個人データ処理の法的根拠および処理目的 §13Ⅰ(c)
個人データ処理が正当な利益の追求のために必要である場合、その正当な利益 §13Ⅰ(d),§6Ⅰ(f)
個人データの受領者およびその種類 §13Ⅰ(e)
場合により、第三国または国際機関へ個人データの移転する意図があること、欧州委員会による十分性判断の有無、適切な保護措置、コピーの入手手段・入手先 §13Ⅰ(f),§46,§47,§49Ⅰ②
個人データの保管期間または保管期間決定のために利用する基準 §13Ⅱ(a)
個人データへのアクセス、個人データの訂正、削除、個人データに関する処理の制限を請求する権利、データの携行の権利、処理に対する異議申立ての権利 §13Ⅱ(b)
個人データの処理がデータ主体の同意に基づく場合、いつでも同意を撤回できること、撤回は撤回前の同意に基づく処理の合法性に影響しないこと §13Ⅱ(c),§6Ⅰ(a),§9Ⅱ(a)
監督機関に不服を申し立てる権利 §13Ⅱ(d)
データ主体に個人データを提供する義務があるかどうか、提供しなかった場合に生じうる結果、個人データの提供が法律上または契約上の条件であるか否か、契約を締結するために必要な条件であるか否か §13Ⅱ(e)
プロファイリングを含む自動的な意思決定の存在、その処理の重要性、データ主体にもたらす結果、関連する理論についての重要な情報 §13Ⅱ(f),§22Ⅰ・Ⅳ
収集目的以外の目的のために個人データを処理する場合、その目的に関する情報および第13条第2項の関連情報 §13Ⅲ・Ⅱ

管理者がデータ主体から個人データを取得していない場合 第14条

通知する情報 条文
管理者(場合により代理人)の身元と連絡先詳細 §14Ⅰ(a)
設置している場合にはデータ保護担当者の連絡先詳細 §14Ⅰ(b)
個人データの処理の法的根拠と処理目的 §14Ⅰ(c)
個人データの種類 §14Ⅰ(d)
個人データの受領者またはその種類 §14Ⅰ(e)
場合により、第三国または国際機関へ個人データの移転する意図があること、欧州委員会による十分性判断の有無、適切な保護措置、コピーの入手手段・入手先 §14Ⅰ(f),§46,§47,§49Ⅰ②
個人データの保管期間または保管期間決定のために利用する基準 §14Ⅱ(a)
個人データ処理が正当な利益の追求のために必要である場合、その正当な利益 §14Ⅱ(b),§6Ⅰ(f)
個人データへのアクセス、個人データの訂正、削除、個人データに関する処理の制限を請求する権利、データの携行の権利、処理に対する異議申立ての権利 §14Ⅱ(c)
個人データの処理がデータ主体の同意に基づく場合、いつでも同意を撤回できること、撤回は撤回前の同意に基づく処理の合法性に影響しないこと §14Ⅱ(d),§6Ⅰ(a),§9Ⅱ(a)
監督機関に不服を申し立てる権利 §14Ⅱ(e)
個人データの出所、場合により、それが公的に利用可能な出所からかどうか §14Ⅱ(f)
プロファイリングを含む自動的な意思決定の存在、その処理の重要性、データ主体にもたらす結果、関連する理論についての重要な情報 §14Ⅱ(g),§22Ⅰ・Ⅳ
収集目的以外の目的のために個人データを処理する場合、その目的に関する情報および第14条第2項の関連情報 §14Ⅳ・Ⅱ

データ主体の権利行使に対する措置等の通知 第12条

データ主体が第15条ないし第22条の権利を行使をした場合に、管理者は、権利行使の請求に応じて、次の情報をデータ主体に通知しなければなりません。

通知する情報 条文
アクセスの請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §15§12Ⅳ
訂正の請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §16§12Ⅳ
削除の請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §17§12Ⅳ
処理の制限の請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §18§12Ⅳ
データ受領者に関する情報の請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §19§12Ⅳ
データの携行の請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §20§12Ⅳ
異議の申立てに対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §21§12Ⅳ
プロファイリングを含む自動的な処理に基づく判断を拒絶する請求に対して講じた措置、措置を講じない場合には、監督機関に不服を申立て、司法的救済を求めることができること §22§12Ⅳ

違反がある場合の救済

データ主体の権利に関して違反がある場合、管理者である企業などは、行政罰である過料を課される可能性があります。また、データ主体は、監督機関に対し不服を申し立てたり、司法的救済を求めることができます。
詳細は、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済“の記事でまとめましたので、参考にしてください。

まとめ

1 企業などに自分の個人データを渡す場合には、その企業がデータ主体にEUデータ保護規則で定められている情報を提供しているかどうかをチェックしましょう。

2 企業など個人データを処理する側は、EU指令と比べてデータ主体に提供すべき情報の通知義務が緻密になっていますので、整理しておく必要があります。

2016年10月20日更新:違反がある場合の救済を追加しました。

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。