EU一般データ保護規則を遵守するためのポイント
第3回 「データ主体の権利とその行使への対応」
McDermott Will & Emery法律事務所
弁護士 Wilko Van Weert
弁護士 武 藤 ま い
今回は、前回概説した7原則を踏まえた上で、データ主体の権利とその行使への対応についてみていきたい。
第一に、透明性の原則の体現として、データ主体の知らされる権利及びデータ管理者の情報提供義務があげられる。データ管理者がデータ主体に対し、どの時点でいかなる情報を提供しなければならないかは、データ管理者が個人データを直接データ主体から収集した場合と、そうでない場合とで異なる。前者の場合、データ収集時点で、後者の場合、①合理的期間経過時点(ただし、遅くとも一ヵ月経過時点)、②データ主体との当該個人データに関する最初の連絡時、又は③その他の者に対し個人データが開示される時点、のいずれか早い時点で、原則として一定の情報を提供しなければならない。前者に比べ後者の場合には情報提供が不要な例外的場合が多くなっている。提供すべき情報内容についての説明はここでは割愛するが、あらかじめ、プライバシーノーティスの雛形を作成しておくといいだろう。プライバシーノーティスは一般に複雑な長文となりがちであるが、EU一般データ保護規則は、プライバシーノーティスは簡潔で、透明性があり、理解しやすく、さらには容易にアクセスできる形式でなければならない上、その内容は明確かつ容易な文体で記載されなければならないとしている。そのため、データ管理者は、プライバシーノーティスに法律上要求される事項を含めるだけで満足すればよいのではなく、いかなる形式を用いてどのように記載するかということについても頭を捻らなければならない。
第二に、個人は、EU一般データ保護規則上、個人データが適法に処理されているかを確認する目的で、自身の個人データが処理されているかどうかの確認を得た上で、処理されている個人データのコピーを原則無料で得ることができる。管理者は、営業秘密や知的財産等を含めた他の者の権利や自由に悪影響が生じる場合には、アクセスを拒否し得る。
第三に、正確性の原則に基づき、個人には、不正確なデータを修正し、不完全なデータを完全なものとする修正権がある。
第四に、個人には、EU一般データ保護規則上、削除権があるが、このいわゆる「忘れられる権利」は絶対的なものではなく、処理目的との関係で当該データが不要となった場合や、同意が取り下げられ処理につき法的根拠がなくなった場合等の事由に該当する場合にのみデータ管理者に削除義務が生じる。また、データ管理者は、EU法又は加盟国法上の義務履行等のために当該個人データを処理する必要がある場合には、削除を拒むことができる。
第五に、データ主体には処理制限の権利があり、データ主体がデータの正確性に異議を唱えたためその確認をするのに必要な期間中や、データ主体が違法な処理の対象となったデータの削除には反対するがさらなる処理の制限を求める場合等には、データ管理者は保管以外の処理を行うことができない。
第六に、データ管理者が「正当な利益」を法的根拠としてデータ処理を行う場合、データ主体は、自身の特有の状況に関連する事由に基づき、データ処理につき異議を申し立てることができる。異議を申し立てられた管理者は、当該データ主体の利益、権利及び自由に優越する抗しがたい正当な事由、若しくは法的請求権の立証、行使、又は防御のための抗しがたい正当な事由があることを示した上でなければ、当該データを処理することができなくなる。そのため、「正当な利益」の法的根拠に基づきデータ処理を行う際には、異議申し立てのリスクがあることを念頭に置きたい。
最後に、アクセス権、修正権、削除権、処理制限の権利、及び異議申し立ての権利等の行使に基づく請求があった場合、データ管理者は、不当な遅滞なく、遅くとも請求受領後一ヶ月以内に、データ主体たる請求者に対し、請求への対応につき連絡しなければならない。この期間は、請求の複雑さや請求数に鑑み必要な場合には、さらに二ヶ月間延長することができるが、その場合には、延長の事実及び延長の理由を請求受領後一ヶ月以内に請求者に対し通知する必要がある。細かな手続き上のルールではあるが、その違反は制裁金との関係では重大な違反として考えられているので、きちんと守りたいたいところである。