第12条からは第3章の「データ主体の権利」に入ります。
その第3章の第1節「透明性及び手順」に位置する第12条「データ主体の権利行使のための透明性のある情報提供、連絡及び書式」について見ていきます。
第12条:データ主体の権利行使のための透明性のある情報提供、連絡及び書式
1. 管理者は、データ主体に対し、簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式により、明確かつ平易な文言を用いて、取扱いに関する第13条及び第14条に定める情報並びに第15条から第22条及び第34条に定める連絡を提供するために、特に、子どもに対して格別に対処する情報提供のために、適切な措置を講じる。その情報は、書面により、又は適切であるときは電子的な手段を含めその他の方法により、提供される。データ主体から求められたときは、当該データ主体の身元が他の手段によって証明されることを条件として、その情報を口頭で提供できる。
管理者がデータ主体に、第13条、第14条、第15条から第22条、第34条に定める情報を提供することとされています。
各条の説明は以後に見ていくとして、ここではそれぞれの条項がどのような内容か、その雰囲気を知るためにタイトルだけ確認しておきます。
- 第13条 データ主体から個人データが取得される場合において提供される情報
- 第14条 個人データがデータ主体から取得されたものではない場合において提供される情報
- 第15条 データ主体によるアクセスの権利
- 第16条 訂正の権利
- 第17条 消去の権利(「忘れられる権利」)
- 第18条 取扱いの制限の権利
- 第19条 個人データの訂正若しくは消去又は取扱いの制限に関する通知義務
- 第20条 データポータビリティの権利
- 第21条 異議を述べる権利
- 第22条 プロファイリングを含む個人に対する自動化された意思決定
- 第34条 データ主体に対する個人データ侵害の連絡
第13条から第22条はデータ主体が行使できる権利について触れているところであり、第34条はデータ侵害が発生した場合におけるデータ主体への連絡について述べられているところであることが分かります。
第1項では、管理者は上記第13条~第22条+第34条の規定の実施にあたり、「データ主体に対し、簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式により、明確かつ平易な文言を用いて」データ主体に情報提供すべく、適切な措置をとることが求められています。
特にデータ主体が子どもの場合には格別な対応をすることも求められています。
情報提供の方法は、書面または電子的手段でも良いとされています。
またデータ主体の本人確認が実施できる場合には、口頭による情報提供でも良いとされています。
2. 管理者は、第15条から第22条に基づくデータ主体の権利の行使を容易にするものとする。第11条第2項に定める場合において、管理者は、データ主体の同一性識別をする立場にはないということを証明しない限り、第15条から第22条に基づく自己の権利を行使するためのデータ主体からの要求に基づく行為を拒むことができない。
管理者は第15条から第22条のデータ主体の権利が容易に行使できるようにしなければなりません。
また、第11条第2項では、「管理者がデータ主体を識別できないのであれば第15条から第20条までは適用されない」と規定されていましたが、管理者が「データ主体の識別ができない立場」にあるかどうかは管理者が証明しなければならず、その証明ができない限りは第15条から第22条のデータ主体の権利を要求を拒むことができないとされています。
第11条の「識別を要しない取扱い」の免責を逆から言い直した条項のように思いますが、第11条第2項では「第15条から第20条」をその範囲とする一方で、この条項では「第15条から第22条」を範囲としており、なぜ第21条と第22条の位置づけが異なっているのかは分かりません…。
3. 管理者は、データ主体に対し、不当に遅滞することなく、かつ、いかなる場合においてもその要求を受けた時から1か月以内に、第15条から第22条に基づく要求に基づいて行われた行為に関する情報を提供する。この期間は、必要があるときは、その要求の複雑性及び数量を考慮に入れた上で、さらに2か月延長することができる。管理者は、データ主体に対し、その要求を受けた時から1か月以内に、その遅延の理由と共に、その期間延長を通知する。データ主体が電子的な方式の手段によってその要求をした場合、データ主体から別の方法によることが求められている場合を除き、可能な場合は、電子的な手段によって提供される。
データ主体から第15条から第22条に基づく要求を受けた場合、管理者はデータ主体に対して、1か月以内に何らかの返事をしなければなりません。
通常であれば1か月を待たず、速やかにデータ主体の求めに応じる必要があります。
しかしながら、要求によっては対応に時間がかかる場合もあります。
そういった場合は、「現在鋭意調査中」といった旨であっても、とりあえず要求を受けた1か月以内に回答する必要があります。
また、その回答期限の延長は、要求の難しさに応じてさらに2か月延長することができます(あわせて最長3か月)が、その際には、要求1か月以内に求められる回答の時に、延長する旨と理由をデータ主体に連絡する必要があります。
データ主体からの要求が電子的な手段によってなされた場合は、管理者の対応も、できれば電子的な手段によって対応されることが期待されています。
4. 管理者がデータ主体からの要求に関して何らの行為もしないときは、その管理者は、データ主体に対し、遅滞なく、かつ、その要求を受けてから遅くとも1か月以内に、何も行わない理由、並びに、監督機関に異議を申立てることができること及び司法上の救済を求めることができることを通知する。
データ主体の要求に対して管理者が意図的に何の対応もしない場合には、要求を受けてから遅くても1か月以内に、何も対応しない理由と、その対応についてデータ主体は監督機関に異議を申し立てることができること、さらには司法上の救済を求めることができることを、管理者はデータ主体に対して通知する必要があります。
5. 第13条及び第14条に基づいて提供される情報並びに第15条から第22条及び第34条に基づく連絡及びこれらに基づいて行われる行為は、無償で提供される。データ主体からの要求が、特に反復して行われることからして、明らかに根拠のない場合又は過剰な性質のものである場合、管理者は、以下に掲げるいずれかを行うことができる。
(a)情報若しくは連絡を提供すること、又は、要求された行為を行うことの業務運営費用を考慮に入れ、合理的な手数料を課金すること。
(b)要求された行為を拒むこと。
管理者による、第13条及び第14条に基づいて提供される情報並びに第15条から第22条及び第34条に基づくデータ主体への情報提供は基本的に無償で対応することとなっています。
ただし、(嫌がらせのように)繰り返し要求したり、過剰と思われる要求の場合には、その対応のためにかかる常識的な範囲での手間賃をデータ主体に要求する、または要求自体を拒否することができます。
6.第11条を妨げることなく、第15条から第21条に定める要求を行う自然人の身元に関して管理者が合理的な疑いをもつ場合、その管理者は、そのデータ主体の身元を確認するために必要となる追加的な情報の提供を求めることができる。
第15条から第21条に基づくデータ主体の要求に対応する上で、その要求をしてきた人に怪しさを感じる場合は、要求のあったデータ主体の身元を確認するために必要となる追加的な情報を要求することができます。
全然関係ない人が、悪意を持って他人の個人データの開示請求をしてくる可能性もありますよね。
そういったことを防ぐ目的で定められた条項でしょう。
7. 第13条及び第14条によりデータ主体に対して提供される情報は、容易に視認でき、分かりやすく、明確に理解できる態様で、予定されている取扱いの意味のある概要を提供するための標準的なアイコンと組み合わせて提供できる。アイコンが電子的に表示される場合、それらは、機械によって読み取り可能なものとする。
8. 欧州委員会は、アイコンによって示される情報及び標準的なアイコンを提供する手続を定める目的のために、第92条に従って委任される行為を採択する権限をもつ。
この第7項と第8項は気にしなくて良いと思います(気になる方は下の補足をご覧ください。)。
以上、第12条でした。
これで第3章第1節は終わりで、次からは第2節の「情報及び個人データへのアクセス」になります。
