第20条は、GDPRで有名になった代表的な権利の1つである「データポータビリティ権」についてです。
第20条:データポータビリティの権利
1. データ主体は、以下の場合においては、自己が管理者に対して提供した自己と関係する個人データを、構造化され、一般的に利用され機械可読性のある形式で受け取る権利をもち、また、その個人データの提供を受けた管理者から妨げられることなく、別の管理者に対し、それらの個人データを移行する権利を有する。
以下の(a)および(b)の両方の条件に合致する場合は、データ主体は管理者に対し、自分に関する個人データを構造化された形の、機械可読性(machine readable)のある形で入手できる権利を有するとされています。
また、その自身の個人データを提供した管理者に何の邪魔をされることなく、自身の個人データを別の管理者に移行する権利があるとされています。
(a)その取扱いが第6条第1項(a)若しくは第9条第2項(a)による同意、又は、第6条第1項(b)による契約に基づくものであり。かつ、
第6条第1項(a)もしくは第9条第2項(a)のデータ主体による「同意」、または第6条第1項(b)の「契約の履行」がデータ処理の法的根拠になっている場合で、かつ、
(b)その取扱いが自動化された手段によって行われる場合。
データの取扱いが、コンピュータによる機械的処理でなされている場合。
となっています。
サービス提供やそのための業務の過程で、コンピュータやインターネットを全く使うことがなく個人データが取扱われるということは、今の世の中ではほとんどないと思いますので、現実的には(b)の要件を意識する必要はないかと思います。
2. データ主体は、第1項により自己のデータポータビリティの権利を行使する際、技術的に実行可能な場合、ある管理者から別の管理者へと直接に個人データを移行させる権利を有する。
例えば、あるデータ主体がGmailを利用していたとします。
ある日、そのデータ主体が、Gmailのサービスを止めて、別のメールサービスに乗り換えたくなったとします。
その時に、技術的に可能であれば、データ主体はGoogleに「新しく乗り換えることになった別会社のサービスに、過去のすべての私のGmailに保存していた送受信記録とアドレス帳を移行して」と要求する権利を有する、ということになります。
3. 本条の第1項に規定する権利の行使は、第17条を妨げない。この権利は、公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために必要となる取扱いには適用されない。
データポータビリティ権は、第17条(削除の権利)とは独立しており、例えば自社で管理していたデータ主体の個人データを別の管理者に移転したからといって、自社で保存していた移転の対象となった個人データを削除しないといけない、といったような義務に直結することはないと思います(ただ、もともとそのデータを保存していた法的根拠がなくなれば適切なタイミングで削除する必要があります)。
またこの権利は、公共の利益や管理者に与えられた公的な権利の行使において行われる職務の遂行のために必要となる取扱い(すなわち、第6条第1項(e)を法的根拠とする取扱い)には適応されないとされています。
4. 第1項に規定する権利は、他の者の権利及び自由に不利な影響を及ぼしてはならない。
データポータビリティ権は、他者の権利や自由に悪影響を及ぼさないことが前提になっています。
日本の個人情報保護法でも令和2年改正にて、データポータビリティ権を規定されるのではないかという見方もありましたが、結果的にはそうにはなりませんでした。
改正後のガイドライン(通則編)では、「電磁的記録の提供」の場合には「技術的に可能な場合には、他の事業者へ移行可能な形式による提供を含め、できる限り本人の要望に沿った形で対応することが望ましい。」と解説されております。
これは、データポータビリティ権に近い考え方のようにも思いますが、あくまで開示の一環であり、データポータビリティを目的にしたものでないとされています。
以上、第20条のデータポータビリティ権でした。
