第18条は「取扱いの制限の権利」です。
日本の個人情報保護法における「利用停止権」に近い考え方だと思います。
第18条:取扱いの制限の権利
1. データ主体は、以下のいずれかが適用される場合、管理者から、取扱いの制限を得る権利を有する:
データ主体は、以下のいずれかが適用される場合には、管理者に対して個人データの取扱いを制限する権利があります。
(a)個人データの正確性についてデータ主体から疑義が提示されている場合、その個人データの正確性を管理者が確認できるようにする期間内において。
個人データの正確性についてデータ主体が疑義を示している場合、その個人データの正確性について管理者が確認できるまでの期間。
(b)取扱いが違法であり、かつ、データ主体が個人データの消去に反対し、その代わりに、そのデータの利用の制限を求めている場合。
個人データの取扱いが違法であり、かつ、データ主体が当該個人データの消去ではなく、利用の制限を求めてきている場合。
(c)管理者がその取扱いの目的のためにはその個人データを必要としないが、データ主体から、訴訟の提起及び攻撃防御のためにそのデータが求められている場合。
管理者にとっては、その個人データは取扱いの目的のために必要としないものの、データ主体が訴訟の提起や攻撃防御のためにそのデータの保管を求めている場合。
(d)データ主体が、管理者の正当性の根拠がデータ主体の正当性の根拠よりも優先するか否かの確認を争い、第21条第1項により、取扱いに対する異議を申立てている場合。
データ主体が、管理者の正当性の根拠が、データ主体の正当性の根拠よりも優先するか否かの確認を争い、第21条第1項により、取扱いに対する異議を申し立ている場合。
2. 第1項に基づいて取扱いが制限された場合、その個人データは、記録保存の場合を除き、データ主体の同意がある場合、又は、訴えの提起及び攻撃防御のための場合、又は、他の自然人若しくは法人の権利を保護するための場合、又は、EU若しくは加盟国の重要な公共の利益の理由のための場合においてのみ、取扱われる。
第1項に基づいて取扱いが制限された場合、その個人データは、記録の保存の場合を除けば、
- データ主体の同意がある
- 訴えの提起および攻撃防御のため
- 他の自然人若しくは法人の権利を保護するため
- EUもしくは加盟国の重要な公共の利益の目的のため
以上の場合においてのみ、取扱われます。
3. 第1項により取扱いの制限を得たデータ主体は、その取扱いの制限が解除される前に、管理者からその通知を受ける。
第1項により取扱いの制限を得たデータ主体は、その取扱いの制限が解除される前に、管理者からその旨の通知を受けることができます。
個人データの取扱いを制限する具体的な方法については、前文第67項も参考になるので、以下に引用します。
個人データの取扱いを制限するための方法は、特に、選別されたデータを一時的に他の取扱いシステムに移動すること、選別された個人データを利用者が利用できないようにすること、又は、公開されたデータを一時的にWebサイト上から削除することを含みうる。自動的なファイリングシステムにおいては、取扱いの制限は、原則として、その個人データが追加的取扱業務の対象とされないようにし、かつ、修正されないようにする態様で、技術的な手段によって確保されなければならない。個人データの取扱いが制限されているという事実は、そのシステムの中で明確に示されなければならない。
一般データ保護規則(GDPR)の前文 第67項 個人情報保護委員会にる仮日本語訳
以上、第18条の「取扱いの制限の権利」でした。
