EUデータ保護規則(GDPR)ーデータ主体の権利⑦:処理に対して異議を述べる権利(Right to object)
この記事では、EUデータ保護規則(GDPR)のデータ主体の権利のうち、処理に対して異議を述べる権利について見ていきます。
この権利は、EU指令にもありました(第14条)が、具体的な規定は構成国法に任せられていました。また、構成国法に別段の定めがある場合には異議を述べる権利は認められないというような条文体裁になっていました。
EUデータ保護規則は、直接構成国に適用されるため、統一的な取り扱いがなされることになります。また、EU指令よりも詳細な規定になっています。
大きな変更があるわけではありません。ただし、EUデータ保護規則の方が、データ主体から見て権利行使が容易になっていると思われる変更があったり、EU指令にはなかった規定もあります。すでに処理に対して異議を述べる権利に対応している企業であっても、条文の確認はしておく必要があります。
Contents
処理に対して異議を述べる権利の内容
EUデータ保護規則の第21条第1項および第2項は次のように定めています。
Article 21 Right to object
1. The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on point (e) or (f) of Article 6(1), including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims.
2. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing.
データ主体は、次の3つの場合に自身の個人データの処理に対し異議を述べる権利があります。これらの処理には、プロファイリングが含まれます(第21条第1項第1文、同条第2項)。
①公共の利益:個人データの処理が、第6条第1項(e)にいう公共の利益のためまたは管理者に付与された公的権限の行使のために行われている場合
②正当な利益:個人データの処理が、第6条第1項(f)にいう管理者または第三者の正当な利益のために行われている場合
③DM:個人データの処理がダイレクト・マーケティングのために行われる場合
異議の効果
データ主体が異議を述べた場合、上記①と②については、管理者は、処理にやむにやまれぬ正当な利益があるという根拠に基づいて、それがデータ主体の利益、権利および自由に優越すること、または法的主張の構成、行使または反論に必要であることを示す必要があります。この根拠を示さない限り、以後個人データの処理をすることはできなくなります(第21条第21項第2文)。
上記③の場合には、データ主体の異議によって、以後管理者は個人データをダイレクト・マーケティングの目的のための処理ができなくなります(第21条第3項)。
権利の明示
処理に対して異議を述べる権利については、遅くともデータ主体との最初の通信時に、明確にデータ主体の注意を喚起し、他の情報と明確に分けて示さなければなりません(第21条第4項)。
情報社会サービスの処理に対する異議
情報社会サービスの利用に関しては、データ主体は、技術的仕様を用いた自動化された手段によって、処理に対し異議を述べる権利を有しています(第21条第5項)。
情報社会サービスの利用に関しては、電子通信部門のプライバシー保護に関する指令EU2002/58EC(個人情報の処理と電子通信部門におけるプライバシーの保護に関する欧州議会及び理事会(2002年7月12日)の指令)がありますが、データ主体は、この指令にかかわらず異議を述べることができます(第21条第5項)。
「情報社会サービス」とは、EUデータ保護規則の第4条の定義規定の第25号に記載があるように、「欧州議会および理事会指令(EU)2015/1535」の第1条第1項(b)で定義されたサービスを意味します。
すなわち、下記の条文のとおり、「通常有償で、遠隔地から、電子的手段を用いて、サービス利用者個人の要求を受けて提供さ れるサービス」のことです。
Article 1
For the purposes of this Directive, the following definitions apply:
(b)‘service’ means any Information Society service, that is to say, any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services.
For the purposes of this definition:
(i)‘ at a distance’ means that the service is provided without the parties being simultaneously present;
(ii) by electronic means’ means that the service is sent initially and received at its destination by means of electronic equipment for the processing (including digital compression) and storage of data, and entirely transmitted, conveyed and received by wire, by radio, by optical means or by other electromagnetic means;
(iii) ‘at the individual request of a recipient of services’ means that the service is provided through the transmission of data on individual request.
科学的・歴史的研究目的と統計目的
個人データが、第89条第1項による科学的・歴史的研究目的または統計目的のために処理される場合、自己の特定の状況に関する理由に基づいて、個人データの処理に異議を述べる権利があります(第21条第6項)。ただし、当該処理が公共の利益のために行われる業務の遂行に必要な場合には、データ主体は異議を述べる権利はありません(第21条第6項)。
違反がある場合の救済
データ主体の処理に対して異議を述べる権利に関し管理者・処理者に違反がある場合、データ主体は、監督機関に対し不服を申し立てたり(第77条)、監督機関の決定に対する司法的救済や(第78条)、管理者や処理者に対する司法的救済(第79条)を求める権利があります。
この不服申立てや司法的救済は、非営利団体・協会が代わって行うことができます(第80条)。
また、管理者である企業などに、行政罰である過料を課される可能性もあります(第83条)。
詳細は、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済“の記事でまとめましたので、参考にしてください。