今回は、EUデータ保護規則(GDPR)のデータ主体の権利のうち、規則で新しく保障された「データ携行の権利」を取り上げます。英文では、Right to data portabilityと書かれており、データ・ポータビリティの権利と訳している文献が大半のようです。アメリカの医療保険に関するプライバシー・ルールであるHIPPA(Health Insurance Portability and Accountability Act of 1996)の和訳では、Portabilityは携行性と訳されています。できる限り日本語に移し替えるならば、携行という用語になるでしょう。
データ携行(データ・ポータビリティ)の権利の内容
データ携行の権利は、データ主体の自己に関する個人データのコントロールをより強化するために設けられました(前文68)。
EUデータ保護規則は、第20条で次のように定めています。
Article 20 Right to data portability
1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:
(a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and
(b) the processing is carried out by automated means.
2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.、