EUデータ保護規則(GDPR)―データ主体の権利⑥:データ携行の権利(Data Portability)

今回は、EUデータ保護規則(GDPR)のデータ主体の権利のうち、規則で新しく保障された「データ携行の権利」を取り上げます。英文では、Right to data portabilityと書かれており、データ・ポータビリティの権利と訳している文献が大半のようです。アメリカの医療保険に関するプライバシー・ルールであるHIPPA(Health Insurance Portability and Accountability Act of 1996)の和訳では、Portabilityは携行性と訳されています。できる限り日本語に移し替えるならば、携行という用語になるでしょう。

データ携行(データ・ポータビリティ)の権利の内容

データ携行の権利は、データ主体の自己に関する個人データのコントロールをより強化するために設けられました(前文68)。
EUデータ保護規則は、第20条で次のように定めています。

Article 20 Right to data portability
1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:
(a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and
(b) the processing is carried out by automated means.
2.  In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.、

データ主体には、管理者に提供した自己の個人データを、構造化され一般的に利用されている機械で読み取り可能な形式で受け取る権利があり、当該管理者の妨害なしに、そのデータを他の管理者に移転する権利があります(第20条第1項)。ただし、次の場合に限られます(第20条第1項)。
①第6条第1項(a)または第9条第2項(a)による同意または第6条第1項(b)による契約に基づき処理がなされている場合で、かつ
②処理が自動化された手段で行われている場合

データ主体には、第1項によりデータ携行の権利を行使する場合、技術的に可能な場合には、個人データを管理者から他の管理者へ直接移転させる権利があります(第20条第2項)。なお、管理者には、互換性のある処理システムを採用したり整備したりする義務はない(前文68)。

他の権利との兼ね合い

データ携行の権利の行使は、第17条を損なわないものとします(第20条第3項)。第17条とは削除の権利(忘れられる権利)の条項を指します。データ携行の権利は、公共の利益のために、または管理者に付与された公的権限の行使における業務の遂行に必要な処理には、適用されません。

データ携行の権利は、他者の権利および自由に不利な影響を及ぼしてはなりません(第20条第4項)。

違反がある場合の救済

データ携行の権利に関して違反がある場合、データ主体は、監督機関に対し不服を申し立てたり(第77条)、司法的救済を求めることができます(第78条、第79条)。
この不服申立てや司法的救済は、非営利団体・協会が代わって行うことができます(第80条)。
また、管理者である企業などに、行政罰である過料を課される可能性もあります(第83条)。
詳細は、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済“の記事でまとめましたので、参考にしてください。

29条作業部会によるガイドライン策定

29条作業部会は、2016年2月2日に、”Statement on the 2016 action plan for the implementation of the General Data Protection Regulation (GDPR)”(一般データ保護規則(GDPR)実施のための行動計画についての宣言)を採択しています。その宣言では、EUデータ保護規則の施行のための管理者と処理者に向けたガイドラインまたは手順の提供が4つの行動の一つとして挙げられています。ガイドラインまたは手順のうち優先事項としてあげられているのは4つで、そのうちの1つがデータ携行の権利です(その他はデータ保護影響評価、認証、データ保護担当者)。
ガイドラインの公表によってより内容が明確になるものと思われます。

参考サイト

最後に、データ・ポータビリティの権利について参考になるサイトを挙げておきましょう。

2016年10月25日更新:違反がある場合の効果について条数の誤りを直しました。

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。