EUデータ保護規則(GDPR)ーデータ主体の8つの権利:ざっと概観しましょう
EUデータ保護規則では、EU指令で保障されていたデータ主体の権利を拡大しています。データ主体の権利に対応して企業側にも義務が生じており、データ主体の権利を理解することは、企業のEUデータ保護規則の遵守にとって必要不可欠です。
データ主体の権利一覧
権利の種類 | 条文 |
---|---|
①情報の通知を受ける権利 | §13,§14,§23 |
②アクセス権 | §15 |
③訂正権 | §16 |
④削除権(忘れられる権利) | §17 |
⑤処理を制限する権利 | §18 |
⑥データ携行の権利 | §20,前文68 |
⑦処理に対して異議を述べる権利 | §21ⅠⅡ |
⑧自動処理による個人に関する決定の対象とならない権利 | §22 |
EU指令の下でも、情報の通知を受ける権利(§10, §11)、アクセス権(§12(a))、訂正・削除・ブロックの権利(§12(b))、処理に対して異議を述べる権利(§14)は認められていました。
EUデータ保護規則は、若干の修正を伴いながらも、これらの権利を引き続きデータ主体に保障しています。
EUデータ保護規則で新しく加えられたのは、データ携行の権利です。英語のまま「ポータビリティの権利」と呼ぶ場合もあるようですが、このサイトでは、アメリカのHIPPA(Health Insurance Portability and Accountability Act of 1996)の和訳である「医療保険の携行性 と責任に関する法律」にある「携行」という用語を使用しています。
また、自動処理による個人に関する決定の対象とならない権利も、特別な種類のデータに基づき行われる処理があらたに禁止されました。「自動処理による個人に関する決定」とは、プロファイリングを思い浮かべるとわかりやすいかと思います。
さらに、情報の通知を受ける権利と削除権についてより詳細な規定が設けられました。
一つひとつの権利の詳細については、これから随時UPしていきますので、個々のページをご覧ください。なお、削除権については、すでに別の記事”EUデータ保護規則(GDPR)ーデータ主体の権利:削除権(忘れられる権利)”にまとめています。
2016年10月24日更新:処理に対する異議申立ての権利を、処理に対して異議を述べる権利に修正しました。
2016年10月26日更新:自動処理による個人に関する判断の「判断」を用語の統一から「決定」に修正しました。