GDPRの権利：データ管理者とデータ主体が知っておくべきこと

GDPRが課された理由

テクノロジーの進化により、デジタルトランスフォーメーションは組織にとって不可欠なものとなっている。 大小を問わず、あらゆるビジネスがオンラインで展開されている。 その後、生成、作成、保存されるデータ量が急増し始めた。 GDPRは、国境を越えたビジネスを合理化し、透明性をもたらすために、データの共有、保存、使用における課題に対処するための媒体である。 GDPRは、企業全体のデータを管理・統制する上で、企業を優位に立たせる。

こうして、データの使用と保護に関する新たな規則とともに、データを扱うためのGDPRの新たな権利が生まれた。 このブログでは、すべての組織が事前に知っておく必要があるGDPRの権利に焦点を当てます。

すべてのデータ主体および個人に対するGDPRの権利

欧州の一般データ保護規則（GDPR）の大きな成果のひとつは、対象者のデータを完全に保護することである。 GDPRは、データ主体に一定の権利を与えることにより、データの保護とプライバシーを保証します。 これらの権利を利用して、データ対象者は、自分のデータの安全性とプライバシーを保証するために、具体的な要求を行うことができます。 データ対象者は、個人情報または機密情報を提供する前に、そのデータが収集され た主な目的以外の目的に悪用されないことを確認することができる。

以下は、誰もが知っておくべきGDPRの権利です。

アクセス権

GDPRの第15条にあるように、データ主体にはアクセス権、つまり、データ主体から収集したデータの詳細に関する情報をデータ管理者から入手する権利があります。 要するに、組織または団体がデータ主体から個人を特定できる情報を収集した場合、データ主体は同じデータへのアクセスを求める権利を有する。

どうなんでしょう？

第15条によれば、データ主体は必要に応じてデータ管理者に自分のデータが処理されているかどうかを確認することができる。 はい」の場合、請求者が知る権利を有している場合

• 処理される個人データの正確なコピー
• データ対象者の個人データを処理する目的は何か
• 氏名、住所、連絡先など、データが処理されるカテゴリーの名称。
• データ対象者の個人データが共有される第三者の詳細の開示 – 特にその第三 者が別の国に属している場合。
• データ対象者から直接でない場合、データの収集元（第三者）を正確に伝えること。
• データ管理者が意図するデータの保存期間

必要条件は何ですか？

GDPRのアクセス権では、データへのアクセスを許可するリクエストを出すための全プロセスは、ウェブサイトの所有者にメールを送るだけで簡単に行える。 個人情報へのアクセスを必要とするデータ対象者は、正式な対象者アクセス要求（SAR）を当該データ管理者に送付しなければならない。 データ対象者は、SARを電子メール、ファックス、または書面による申請書として提出することができ、文書による証跡を確実に残すことができる。

第15条に基づき、処理された個人データの最初のコピーは無料であり、それ以降の要求については、データ管理者は合理的な料金を請求する権限を有する。さらに、データコピーの電子要求は、一般的に使用されている電子形式で提供されなければならない。.csvと.txtが電子的要求のための最も一般的なフォーマットであることを覚えておいてください。

訂正権

GDPR第16条によると、データ主体はデータ管理者に対し、データベースに記録された不正確な個人データを不当な遅延なく修正するよう求める権利を有する。 データ対象者は、データ収集の目的を考慮した上で、補足説明を行った上で、不完全または不正確なデータを修正する権利を有します。

どうなんでしょう？

EUのデータ保護法第16条に基づき、データ対象者は、補足説明書を添付した上で、不正確または不完全なデータの修正を受けることができる。 是正要求は口頭、電話、または書面で行う。 同法はまた、データ管理者が各修正要求に対して1暦月以内に回答することを義務付けている。

法律上、修正要求を受け入れるか拒否するかはデータ管理者の利益であり、データ管理者のこの権利は「正確性の原則」に記載されている管理者の義務によって厳重に守られています。

必要条件は何ですか？

GDPR法では、有効な修正要求を提出するための正確な形式は規定されていません。 そのため、データ対象者は口頭、電子メール、または書面により要求することができます。 また、特定の人に宛てなくても、件名を伏せて依頼を送っても構わない。

データ管理者がデータ修正要求者の身元に疑義がある場合、データ管理者は要求者の身元を確認する追加情報を要求するのが得策です。

修正要求を受け取った後、データ管理者は要求者が本人であることを確認し、データを修正するための合理的な手順を確実に踏まなければなりません。
データ管理者は、不当な遅延なく、遅くとも要請の受領から1暦月以内に要請に応じる責任があります。

消去権

GDPRの第17条パート1では、データ主体は、以下のような明白な理由により、特定のデータ管理者のデータベースおよびデータ処理者からデータを削除する権限を有するとされています。

• データが収集された当初の目的が達成され、当該データを保存・保管する必要がなくなった場合。
  データ主体が処理活動からの同意を撤回する意思がある。
• データ主体がデータ処理に関して異議があり、かつデータ主体がそれに優先する正当な利益を有していない場合。
• 処理されているデータが、不道徳または違法な技術を用いて収集されたものである。
• 法的義務を遵守するためには、データを削除しなければならない。
• 情報提供の下で収集されたデータ、特に子どもたちのデータは直ちに削除する必要がある。

どうなんでしょう？

消去権は忘却権とも呼ばれる。 消去権または忘れられる権利に基づき、データ対象者は自分のデータをデータベースから削除または消去する権利を有します。 データが自分のデータの処理を望まない場合、またはデータ管理者がデータを保持する正当な理由がないと判断した場合、データの消去を求めることができる。

ほとんどのGDPRの権利と同様に、消去権は絶対的なものではありません。 GDPRのRecital 65に基づき、データ主体の抹消権と修正権は、データ主体のデータがGDPRの規定または管理者が従う他の法律に抵触する可能性がある場合にのみ崇高なものとなる。

消去権または忘れられる権利は、データ主体がデータの処理を望まない場合、およびデータ管理者がデータを保持する正当な理由がない場合に、そのデータを消去する可能性を与えるものである。

必要条件は何ですか？

データ対象者がデータの消去を要求する場合、データは直ちに消去されなければならない。 データ消去要求の提出から最大1ヶ月が、対応するための規定期間です。 さらに、データ管理者は、データの削除が不可能な場合または不相応な労力がかかる場合を除き、データ主体に対してデータの削除について通知しなければなりません。

ただし、消去権が適用されない場合は以下の通りです。

• 自由と表現の権利に忠実に。
• データ管理者が他の法律を遵守するためにそのデータを処理せざるを得ない状況が発生した場合。
• 一般的に、データ管理者が公共の利益のためにデータを処理しなければならない場合。
• データ管理者がデータを処理する以外に選択肢がない場合、これは先に述べた「既得権」に該当する。
• ヘルスケア、ソーシャルケア、パブリックヘルスがカバーする範囲を考える。
• 公衆衛生、特に予防医学や産業医学から、国境を越えた健康やそれ以上の脅威を防ぐために不可欠な診断や社会的ケアシステムまで、あらゆる要素にまたがる公衆衛生に関連する、より広範な公益の側面に対応すること。
• 公共の利益のために、特に科学的、歴史的、研究的な特定の目的のために行われる必要があるデータ処理。
• 弁護または法的権利の確立、実践、行使のために必要なデータ処理。

注 ここで誰もが理解しなければならないのは、消去権は絶対的、無条件的な権利ではないということだ。 それは多くの例外と制限の中で実施されている。 したがって、データ管理者はデータ消去の要求に対処する際に、その可能性、割合、コストなどの状況を考慮しなければならない。

データ・ポータビリティの権利

GDPR第20条に基づき、データ主体は、管理者組織に提供された自分に関する個人データを、構造化され、一般的に使用され、機械で読み取り可能な形式で受け取る権限を有する。

同じデータ・ポータビリティの権利の下で、データ対象者が希望する場合、元のデータが最初の管理者に提供された別の管理者組織にデータを引き渡すことができる：

1. 処理が、第6条第1項(a)もしくは第9条第2項(a)に基づく同意、または第6条第1項(a)もしくは第9条第2項(a)に基づく契約に基づくものである場合。
2. (b) 処理が自動化された手段によって行われる場合。

しかしながら、第20条は、データ主体が第1項に従ってデータ・ポータビリティの権利を行使するためには、技術的に可能である限り、あるデータ管理者から別のデータ管理者に直接個人データを転送または移転する権利を有する必要があることも規定している。

第20条第1項のこの記述で言及されている権利は、第17条の先入観にとらわれないものとする。 この権利は、公共の利益のために遂行される業務や、データ管理者に与えられた公的権限の行使のための処理には適用してはならない。

ただし、データ管理者およびデータ対象者は、本条項に規定される権利が他者の権利および自由に悪影響を及ぼしてはならないことを共に確認するものとします。

どうなんでしょう？

データ・ポータビリティの権利によれば、データ対象者は、関係するデータ当局に自分のデータを要求し、受け取る権利を有する。 データ管理者の組織に提供された、構造化され、管理され、機械が読み取り可能な形式のデータ。 さらに、情報主体は、最初に情報を提示または提出した情報管理者から何らの異議申し立てを受けることなく、その情報を他の情報管理組織の第三者に転送する権利も有する。 データ対象者は自分のデータを受け取り、データ対象者が携帯するシステム、ハードドライブ、またはデータ対象者が使用するクラウドアプリに保存することができる。

この点でも、データ・ポータビリティに関するWP29のガイドラインは、アクセス権を補完するものとなっている。 つまり、データ主体はアクセス権を有するだけでなく、ポータビリティ権により、データ主体は自分のデータを容易に管理・再利用できる形で受け取ることができる。

必要条件は何ですか？

データ・ポータビリティの権利は、データ主体の利便性と安全のためとはいえ、絶対的なものではなく、制限の対象となる。 逆に、いくつかの特定の条件が満たされた場合にのみ、権利を発動することができる。 これらの条件は、第20条の残りの部分でカバーされている。

データ主体がデータ・ポータビリティの権利を行使できる条件は以下の通りです。

• データ対象者は、法的な慎重さの下で、データ・ポータビリティの権利を随時行使することができます、
  • 同意これは、GDPR第6条の下で構成される多くの法的基盤の1つを形成する。
  • 明示的同意GDPR第9条で、特別カテゴリーの個人データまたは「機微（センシティブ）データ」の文脈で説明されています。
  • 契約上の必要性GDPR第6条に記載
• データ対象者は、同意、明示的同意、契約上の必要性が法的処理の基礎となる場合、データ・ポータビリティの権利を行使することができます。 さらに、データ処理は自動的に行われ、データ・ポータビリティの権利のITツールおよびデジタル・エコシステムに私たちを引き戻します。

注 GDPRの第20条には、データポータビリティの権利は、他のデータ主体の自由の権利に悪影響を及ぼしてはならない／及ぼしてはならないとも書かれている。 一般的には、データ対象者がデータ・ポータビリティの権利を行使する際に受領する個人データの種類のレベルに影響を与えます。

GDPRの権利は調査や研究にどのような影響を与えるのか？

GDPRの新たな変更は、これまで行っていた個人データや機密データの取り扱いや管理方法に多くの影響を与えることになるでしょう。 データ主体に提供されるGDPRの権利は前述の通りである。 私たちを含む多くの組織がGDPRへの影響を理解するのに圧倒されている。 ここでは、新しいGDPRとGDPRの権利が、顧客および従業員調査データの収集、保存、処理、共有の方法にどのような影響を与えるかを説明したいと思います。

• GDPRは、従業員調査や顧客調査を実施するすべての企業に影響を与えるわけではない。
• とはいえ、匿名アンケートを実施するには、アンケートの回答者が特定されないようにする必要があります。 これは、回答者の電子メール、住所、電話番号などの個人情報を収集しない場合にのみ可能です。
• たとえ従業員を調査する際に、年齢、性別、役職、雇用期間を尋ねるとしても、これらの情報は従業員を特定するのに十分であると考えられる。

しかし、アンケートの回答者に個人情報を尋ねる必要がある場合は、GDPRのガイドラインに従わなければならず、データ主体として行動するアンケートの回答者は、GDPRの権利を行使するすべての権利を有しています。

同意の提供

• GDPRの第7条に従って、調査回答者は、調査会社がデータを収集し、取り扱い、処理することを許可する同意を提供しなければならない。
  • ただし、調査の目的や収集したデータの使用方法については、関係機関に伝えておく必要がある。
  • 同意するか、調査から離脱するかは、調査回答者次第である。
  • チェックボックスがデフォルトで選択されないように、アンケートの最初に同意の質問（チェックボックス質問タイプ）を追加することをお勧めします。
  • 回答者はいつでも、その権利を取り消したり、GDPRの権利を行使したりする権利を留保します。

データの最小化

• 同意を求めるにはタイミングが重要だ。
  • すべてのデータ対象者は、個人データを開示または提出する前に、自分のデータを収集することに同意しなければならない。
  • GDPRに関するすべての情報は、先に説明したGDPR情報を含む別のウェブサイトで公開するのがベター・プラクティスです。
    
• データの最小化を扱うGDPRの第5条によれば、データの収集はできる限り少ない方がよい。
  • 最善の方法は、必要な情報だけを集めることだ。
  • 回答者の年齢を尋ねるのであれば、回答者に年齢を選択させるような質問は避けてください。

コンプライアンス情報

• また、第5条では、組織がGDPRに準拠するために講じた措置に関する情報を提供することを義務付ける説明責任についても言及している。
  • 対象者から個人データを収集する組織は、処理登録、データ保護管理システム、またはデータ処理活動の包括的な検査を定期的に実施しなければならない。

データ管理者

• 個人データを収集または取り扱うすべての組織は、データ管理者またはデータ保護責任者を任命し、データ主体およびその要求の体系的かつ定期的な監視を大規模に行う必要がある。
  • 任命されたデータ保護担当者は、必要な技術的知識とともに、データの取り扱いと保護に関する過去の経験を有していなければならない。
  • ほとんどの場合、GDPR違反の責任は組織にあるが、場合によってはデータ保護責任者が責任を問われることもある。
  • データ管理者は、データ主体に提供されたGDPRの権利に従って、自分の権利を知らなければならない。
• 必要な対策をすべて実施し、GDPRを遵守するためのあらゆる努力を行った後にデータ漏洩が発生した場合、組織はその発生から72時間以内に指定された監督当局にデータ漏洩を報告しなければならない。

GDPRコンプライアンス確保におけるオンライン調査プラットフォームの役割

現在、多くの組織は、調査を実施しGDPR規則を遵守するために外部企業を任命する方が良いと考えているだろう。 オンラインアンケートプラットフォームである当社は、お客様のアンケート作成プロセスをスムーズかつ柔軟にするためのツールや機能のみを提供しています。 我々は
GDPR対応アンケート作成プラットフォーム
GDPRに準拠したアンケートを作成するために必要なすべての機能とガイドラインを提供します。 GDPRに準拠したアンケートの作成. 私たちは、すべてのユーザーと処理契約を結ぶことを保証します。 しかし、当社のオンライン調査プラットフォームを使用してアンケートを作成および配布する組織は、すべてのデータ処理活動に対して技術的な責任を負います。