EUデータ保護規則(GDPR)ーデータ主体の権利⑨:データ主体の権利の範囲は制限されることがあります(Restrictions)

本記事がデータ主体の権利については最後の記事となります。データ主体の権利の範囲の制限についてです。

制限の内容

データ主体の権利の範囲は、EU法または構成国法によって制限することができます。EUデータ保護規則第23条第1項は、次のように定めています。

データ管理者または処理者が従うEU法または構成国法は、法制上の措置により、第5条のみならず第12条ないし第20条及び第34条に定められた義務および権利の範囲を制限することができる。ただし、その諸規定が第12条ないし第20条に定められた義務および権利に合致し、当該制限が基本的権利および自由の本質を尊重し、民主主義社会において、以下の事項を保護するために必要かつ比例的な措置である場合に限られる。

ここでいう以下の事項とは、次のものをいいます。a,b,c…は条文の号数です。

a 安全保障
b 防衛
c 公安
d 公安に対する脅威への保護措置および防止を含む、犯罪の防止、捜査、探知もしくは起訴または刑罰の執行
e EUまたは構成国のその他の重要な一般的公共の利益という目的。特に、公衆衛生および社会保障のみならず、通貨、予算、課税事項を含むEUもしくは構成国の重要な経済的または財政的利益
f 司法の独立および司法手続の保護
g 規制された職業の倫理違反の防止、捜査、探知および起訴
h (a)ないし(e) および(g)にいう場合で、公的権限の行使と関連する監視、検査または規制の機能
i データ主体または他者の権利および自由の保護
j 民事請求の執行

(注)上記のeの英語条文には、ミスタイプがあると思われます。英語条文は、”other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation a matters, public health and social security;”となっていますが、”taxation a matters”は、”taxation  matters”であると考えられ、ドイツ語条文では、”taxation  matters”の後に、”as well as”という表現が入っているとのことです。上記の日本語訳は、ドイツ語条文に合わせました。

上記のgの「規制された職業」とは、国家資格の取得が義務付けられた職業(たとえば医師や弁護士など)を指すと思われます。

法制上の措置に含める条項

第1項の「法制上の措置」には、関連する限りで、少なくとも次に関する特定の条項を含めなければなりません(第23条条第2項)。a,b,c…は条文の号数です。

a 処理の目的または処理の種類
b 個人データの種類
c 導入する制限の範囲
d 濫用、違法なアクセスまたは移転を防ぐ保護措置
e 管理者の詳細または管理者の種類
f 保管期間ならびに処理の性質、範囲および目的または処理の種類を考慮に入れた利用可能な保護措置
g データ主体の権利および自由に対する危険
h 制限の目的を損なわないならば、制限に関する通知を受けるデータ主体の権利

このとおり、データ主体の権利の範囲については、EU法または構成国法を確認しなければなりません。前記のとおり、第22条第1項は、「第12条ないし第20条に定められた義務および権利に合致し、当該制限が基本的権利および自由の本質を尊重し、民主主義社会において、以下の事項を保護するために必要かつ比例的な措置である場合に限られる」と定め、一定の歯止めをかけていますので、構成国ごとに義務や権利が大きく異なることはないと思われますが、今後の構成国の法律の制定状況に注視する必要があるでしょう。

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。