EUデータ保護規則(GDPR)ーデータ主体の権利⑤:処理を制限する権利

今回は、EUデータ保護規則(GDPR)のデータ主体の権利のうち、処理を制限する権利(第18条)について見ていきます。

処理を制限する権利の内容

EUデータ保護規則は、第18条で次のように定めています。欧州委員会のサイトに規則の英文が全文が掲載されています。

Article 18  Right to restriction of processing
1. The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:
(a) the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;
(b) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;
(c) the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;
(d) the data subject has objected to processing pursuant to Article 21(1) pending the verification whether the legitimate grounds of the controller override those of the data subject.

データ主体は、次のいずれかの場合に、管理者に対し処理の制限を求める権利を有しています。

管理者が個人データの正確性を証明しうる期間に、データ主体により個人データの正確性が争われている場合
違法な処理であるが、データ主体が個人データの削除に異議を唱え、代わりにその利用の制限を請求する場合
管理者の処理のためには必要でなくなったものの、データ主体の法的主張の構成、行使または反論のために必要とされる場合
データ主体が異議を唱えていて、管理者の正当な根拠がデータ主体の根拠に優先するか否かについて証明が未了の場合

処理の制限が解かれる場合

上記の場合で、個人データの処理が制限されている場合、当該個人データの処理は、①データ主体の同意がある場合、②法的主張の構成、行使、反論、別の自然人・法人の権利の保護、EU・構成国の重要な公共の利益に必要な場合に限定されています(第18条第2項)。
処理の制限が解かれる前に、管理者はデータ主体にその旨を通知しなければなりません(第18条第3項)。

管理者の受領者に対する連絡

個人データを取得した企業などの管理者が、第三者に個人データを開示した場合、元の個人データに処理の制限があるにもかかわらず、開示先ではそのデータの処理が許されるでは困ります。この点について、EUデータ保護規則は、第19条でこれに対処し、管理者に、個人データの開示をした各受領者に処理の制限について連絡する義務を負わせています。ただし、連絡が不可能または過度の困難を伴う場合には、連絡しなくてもかまいません。

また、データ主体から請求がある場合には、管理者は、データの開示をした受領者を知らせなければなりません。この点は、”EUデータ保護規則(GDPR)-管理者の義務:情報の通知(Information Notices)“でも触れました。

違反がある場合の救済

繰り返しになりますが、データ主体の権利に関して違反がある場合、管理者である企業などは、行政罰である過料を課される可能性があります。また、データ主体は、監督機関に対し不服を申し立てたり、司法的救済を求めることができます。
詳細は、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済“の記事でまとめましたので、参考にしてください。

 

弁護士(第二東京弁護士会所属・弁護士・NY州弁護士) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 法律事務所Legal i プラスを2021年設立 Information Law, Internet Law, Intellectual Property Lawなど、iから始まる法律を中心に業務を行っています。 このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。