EUデータ保護規則(GDPR)ーデータ主体の権利⑨:データ主体の権利の範囲は制限されることがあります(Restrictions)

本記事がデータ主体の権利については最後の記事となります。データ主体の権利の範囲の制限についてです。

制限の内容

データ主体の権利の範囲は、EU法または構成国法によって制限することができます。EUデータ保護規則第23条第1項は、次のように定めています。

データ管理者または処理者が従うEU法または構成国法は、法制上の措置により、第5条のみならず第12条ないし第20条及び第34条に定められた義務および権利の範囲を制限することができる。ただし、その諸規定が第12条ないし第20条に定められた義務および権利に合致し、当該制限が基本的権利および自由の本質を尊重し、民主主義社会において、以下の事項を保護するために必要かつ比例的な措置である場合に限られる。

続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利⑧:自動処理による決定の対象とならない権利/プロファイリングが明記されました

本記事では、EUデータ保護規則(GDPR)のデータ主体の権利のうち、プロファイリングを含む自動処理による個人に関する決定の対象とならない権利について簡単にまとめてみました。

自動処理による個人に関する決定の対象とならない権利の内容

自動処理による個人に関する決定の対象とならない権利は、EUデータ保護規則第22条に次のように定められています。

Article 22
Automated individual decision-making, including profiling
1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.

データ主体は、同人に法的効果を生じさせるかまたは同様の重要な影響を及ぼす、プロファイリングを含む自動処理にのみ基づく決定の対象とならない権利を有しています。
プロファイリングは、EUデータ保護規則上に定義規定があり、「自然人について個人のある側面を評価するために、特に自然人の仕事の実績、経済状況、健康、個人の嗜好、関心、信頼、行動、所在または移動に関する側面を分析または予測するために、個人データの利用から成る個人データのあらゆる形態の自働処理」をいいます(第4条第4号)。

続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利⑦:処理に対して異議を述べる権利(Right to object)

この記事では、EUデータ保護規則(GDPR)のデータ主体の権利のうち、処理に対して異議を述べる権利について見ていきます。
この権利は、EU指令にもありました(第14条)が、具体的な規定は構成国法に任せられていました。また、構成国法に別段の定めがある場合には異議を述べる権利は認められないというような条文体裁になっていました。
EUデータ保護規則は、直接構成国に適用されるため、統一的な取り扱いがなされることになります。また、EU指令よりも詳細な規定になっています。
大きな変更があるわけではありません。ただし、EUデータ保護規則の方が、データ主体から見て権利行使が容易になっていると思われる変更があったり、EU指令にはなかった規定もあります。すでに処理に対して異議を述べる権利に対応している企業であっても、条文の確認はしておく必要があります。

続きを読む →

EUデータ保護規則(GDPR)―データ主体の権利⑥:データ携行の権利(Data Portability)

今回は、EUデータ保護規則(GDPR)のデータ主体の権利のうち、規則で新しく保障された「データ携行の権利」を取り上げます。英文では、Right to data portabilityと書かれており、データ・ポータビリティの権利と訳している文献が大半のようです。アメリカの医療保険に関するプライバシー・ルールであるHIPPA(Health Insurance Portability and Accountability Act of 1996)の和訳では、Portabilityは携行性と訳されています。できる限り日本語に移し替えるならば、携行という用語になるでしょう。

データ携行(データ・ポータビリティ)の権利の内容

データ携行の権利は、データ主体の自己に関する個人データのコントロールをより強化するために設けられました(前文68)。
EUデータ保護規則は、第20条で次のように定めています。

Article 20 Right to data portability
1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:
(a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and
(b) the processing is carried out by automated means.
2.  In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.、

続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利⑤:処理を制限する権利

今回は、EUデータ保護規則(GDPR)のデータ主体の権利のうち、処理を制限する権利(第18条)について見ていきます。

処理を制限する権利の内容

EUデータ保護規則は、第18条で次のように定めています。欧州委員会のサイトに規則の英文が全文が掲載されています。

Article 18  Right to restriction of processing
1. The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:
(a) the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;
(b) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;
(c) the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;
(d) the data subject has objected to processing pursuant to Article 21(1) pending the verification whether the legitimate grounds of the controller override those of the data subject.

続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利③:訂正権(Right to rectification)

今回は、EUデータ保護規則(GDPR)のデータ主体の権利のうち、訂正権について確認します。

EU指令の下でも、データ主体のアクセス権の規定の中で、個人データの訂正権が定められていました(第12条(b)(c))。EUデータ保護規則は、第16条で独立させて訂正権を規定しています。
訂正権は、修正権とも訳されているようですが、このサイトでは、わかりやすさの観点から、訂正という用語を使用しています。

訂正権の内容

条文は次のようになっています。EUデータ保護規則の英文は次のようになっています。全文は欧州委員会のサイトに掲載されています。

Article 16  Right to rectification
The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.

つまり、データ主体は、自身に関する個人データが不正確な場合には、それを訂正することを管理者に請求する権利を有しています。処理目的を考慮に入れて、データ主体は、補足的な説明の提供などにより、不完全な個人データを完全なものにする権利を有しています。
続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利②:アクセス権

今回の記事では、EUデータ保護規則(GDPR)の下で保障されるデータ主体の権利のうち、データ主体によるアクセス権(第15条)を見ていきます。

EU指令でも同様の規定がありました(§12)。EUデータ保護規則では、データ主体が取得することのできる情報が増え、規定が整理されています。

アクセス権の内容

まず、データ主体は、管理者から、データ主体自身に関する個人データが処理されているか否かの確認を得ることができます(第15条第1項)。
自身の個人データが処理されている場合には、データ主体は、さらに処理されている個人データにアクセスすることができます(第15条第1項)。具体的には、管理者がデータのコピーを提供します(第15条第3項)。ただし、このコピーの取得によって、他者の権利や基本的自由に不利な影響を及ぼしてはなりません(第15条第4項)。
データ主体が電子的手段によって請求をした場合には、データ主体が特段の請求をしない限り、通常利用される電子的形式で提供を受けることになります(第15条第3項)。
続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利①:情報の通知を受ける権利

今回は、データ主体の8つの権利のうち、情報の通知を受ける権利を取り上げます。

情報の通知を受ける権利

情報の通知については、”EUデータ保護規則―管理者の義務:情報の通知(Information Notices)”で、管理者の義務としてまとめてあります。

情報の通知を受ける権利は、第3章の「データ主体の権利」の他の条文が、”The data subject shall have the right to ….”と始まるのに対し、”the controller shall ….” と管理者を主語にして書かれているためか、データ主体の権利の一つとして紹介していない文献もあるようです。
EU指令の条文も同様で、「権利」と書かれていたわけではありません。しかし、EUデータ保護規則では、情報の通知に関する第12条ないし第14条は、明確に第3章の「データ主体の権利」の中に位置づけられています。他の権利の行使を容易にするためには、情報の通知が不可欠という考え方もできるでしょう。そこで、ここでは権利の一つとして取り上げます。

続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の8つの権利:ざっと概観しましょう

EUデータ保護規則では、EU指令で保障されていたデータ主体の権利を拡大しています。データ主体の権利に対応して企業側にも義務が生じており、データ主体の権利を理解することは、企業のEUデータ保護規則の遵守にとって必要不可欠です。

データ主体の権利一覧

続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利④:削除権(忘れられる権利)

EU個人データ保護規則が正式決定

2016年4月27日に、EUの欧州議会と理事会が共同で、EU個人データ保護規則を決定しました。理事会が同規則の提案をしたのが、2012年1月25日でしたから、正式決定するまで約4年強かかったことになります。

英語の正式名称は、”REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)”という長い名称です。和訳するならば、「個人データの処理に係る自然人の保護及び当該データの自由な移動並びにEC指令の廃止に関する2016年4月27日付け欧州議会と理事会の2016年679号EU規則」とでもいうのでしょうか。長い名称なので、ここではEUデータ保護規則と呼ぶことにします。施行は2018年5月25日です。

EUでは、欧州議会と理事会が立法機関ですが、立法行為には、欧州議会と理事会が共同で決定する通常立法行為と、欧州議会または理事会が単独で決定する特別立法手続があります。個人データ保護規則は、通常立法行為によって決定されました。

これまでEUの個人データ保護は、個人データ保護指令(”DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data”)で規律されていましたが、2018年5月25日からは個人データ保護規則が取って代わることになります。

なお、指令と規則は、いずれも第二次法ですが、両者の法的効力についてはどちらかが優位とされるという関係にはありません。違いは、規則はすべての構成国で直接に適用され自動的に国内法になりますが、指令は内容を達成する手段と方法が構成国に任されており、国内法化をする必要があります。
EU個人データ保護規則は、この意味で構成国内での相違が少なくなり、統一的な規律ができるものとなっています。

削除権(忘れられる権利)

EU個人データ保護規則案の段階

EU個人データ保護規則は、様々な意味で動向に注目を集まっていましたが、その一つが忘れられる権利でした。
理事会が提案をした規則案では、忘れられる権利について、次のような条文が示されました。2項以下は省略しています。

 

Article 17  Right to be forgotten and to erasure

1  The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data, especially in relation to personal data which are made available by the data subject while he or she was a child, where one of the following grounds applies:

(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data;

(c) the data subject objects to the processing of personal data pursuant to Article 19;

(d) the processing of the data does not comply with this Regulation for other reasons.

第17条 忘れられる権利と削除権
1 データ主体は、次の理由がある場合、特に子供のときに自身が利用可能にした個人データについて、管理者に対し個人データの削除及び当該データの拡散の抑止を求める権利を有する。
(a) 当該データが収集その他処理された目的との関係でもはや必要でなくなった場合
(b) データ主体が第6条(1)(a)に基づきなされた処理についての同意を撤回した場合、同意した保管期間が経過した場合、その処理にその他の法的根拠がない場合
(c) データ主体が第19条に従って個人データの処理に異議を申し立てた場合
(d) データ処理がその他の理由で本規則を遵守していない場合

欧州議会の修正意見

この規則案に対して、欧州議会は、忘れられる権利という言葉を削除し、いくつかの修正提案をしました。このため、最終的に決定される規則には、忘れられる権利という言葉は削られるのではないかと思われていました。

Article 17 Right to be forgotten and to erasure

1  The data subject shall have the right to obtain from the controller the erasure of personal data relating to him or her and the abstention from further dissemination of such data,especially in relation to personal data which are made available by the data subject while he or she was a child,and to obtain from third parties the erasure of any links to, or copy or replication of, those data where one of the following grounds applies:

(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data;

(c) he data subject objects to the processing of personal data pursuant to Article 19;

(ca) a court or regulatory authority based in the Union has ruled as final and absolute that the data concerned must be erased;

(d) the processing of the data does not comply with this Regulation for other reasons have been unlawfully processed.

 最終的に確定したEUデータ保護規則

ところが、公表された規則では、忘れられる権利という言葉が復活。

Article 17 Right to erasure (‘right to be forgotten’)

1  The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;

(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);

(d) the personal data have been unlawfully processed;

(e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;

(f) the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).

第17条 削除権(「忘れられる権利」)
1 データ主体は、次の理由がある場合、遅滞なく管理者に対し個人データの削除を求める権利を有し、管理者は遅滞なく個人データを削除する義務を負う。
(a) 当該データが収集その他処理された目的との関係でもはや必要でなくなった場合
(b) データ主体が第6条(1)(a)又は第9条(2)(a)に基づきなされた処理についての同意を撤回した場合、及びその処理にその他の法的根拠がない場合
(c) データ主体が第21条(1)に従って処理に異議を申し立てた場合で、その処理に優越的な正当理由がない場合か、又は第21条(2)に従って異議を申し立てた場合
(d) 個人データが違法に処理された場合
(e) 管理者がEU法又は構成国法の法的義務を遵守するために個人データを削除しなければならない場合
(f)    個人データが、第8条(1)にいう情報化社会サービスの提供に関連して収集された場合

今後は、EUでは、データ主体は、上記の内容で削除権=忘れられる権利を行使することができ、管理者は削除の義務を負うことになります。

違反がある場合の救済

データ主体の権利に関して違反がある場合、管理者である企業などは、行政罰である過料を課される可能性があります。また、データ主体は、監督機関に対し不服を申し立てたり、司法的救済を求めることができます。
詳細は、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済“の記事でまとめましたので、参考にしてください。

*本記事は、Privacylaw.jpのサイトに掲載していたものを、同サイトをリニューアルするため、本サイトに移動したものです。

2016年10月21日更新:違反がある場合の救済を追加しました。