この第21条と次の第23条は、第3章「データ主体の権利」の第4節「異議を述べる権利及び個人に対する自動化された意思決定」になります。
まずは、第21条の異議を述べる権利に入ります。
第21条:異議を述べる権利
1. データ主体は、自己の特別な状況と関連する根拠に基づき、第6条第1項(e)又は(f)に基づいて行われる自己と関係する個人データの取扱いに対し、それらの条項に基づくプロファイリングの場合を含め、いつでも、異議を述べる権利を有する。管理者は、データ主体の利益、権利及び自由よりも優先する取扱いについて、又は、訴えの提起及び攻撃防御について、やむをえない正当な根拠があることをその管理者が証明しない限り、以後、その個人データの取扱いをしない。
「自己の特別な状況に関連する根拠に基づき」と訳されていますが元の英語は「on grounds to his or her particular situation」となっているので、「particular situation」は「個々の立場」とか「特殊な状況」とも訳せますので、そこまで「特別感」があるイメージではなく、「データ主体は個別の事情に基づき」ぐらいのイメージで読んだ方が理解しやすいのではないかと思います。
第6条第1項の(e)は「公的な権限の行使において行われる職務の遂行」、(f)は「正当な利益」ですが、これらを法的根拠としてデータを取扱われる場合、プロファイリングを含めて、データ主体はいつでも異議を述べる権利があるとされています。
異議を述べられた管理者は、データ主体の利益、権利および自由よりも優先する取扱いがあること、または、訴えの提起および攻撃防御のための、やむを得ない正当な根拠があることを証明できない限り、それ以降の個人データの取扱いはできません。
なお、この証明責任は管理者にあることが前文第69項に示されております。
(69) 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要であるという理由で、又は、管理者若しくは第三者の正当な利益を根拠として、個人データが適法に取扱われうる場合、データ主体は、それにもかかわらず、自己の特別の状況に関する個人データの取扱いについて、異議を述べる資格が与えられなければならない。管理者は、管理者の必要不可欠の正当な利益がデータ主体の基本的な権利及び自由よりも優先することを証明しなければならない。
一般データ保護規則(GDPR)の前文 個人情報保護委員会にる仮日本語訳
2. 個人データがダイレクトマーケティングの目的のために取扱われる場合、データ主体は、いつでも、そのようなマーケティングのための自己に関係する個人データの取扱いに対して、異議を述べる権利を有する。その取扱いは、そのようなダイレクトマーケティングと関係する範囲内で、プロファイリングを含む。
ダイレクトマーケティングの目的のために個人データが取扱われている場合(プロファイリングを含め)、データ主体による異議申し立てがあったら、管理者は何の条件をつけることなく無条件に、ダイレクトマーケティングに関連する範囲内における個人データの取扱いについて、応じなければならないことになっています。
3. データ主体がダイレクトマーケティングの目的のための取扱いに対して異議を述べる場合、その個人データは、そのような目的のために取扱われてはならない。
ダイレクトマーケティングを目的とした個人データの取扱いに対して異議を述べられた場合、それ以後にダイレクトマーケティングの目的で当該データ主体の個人データが取扱われてはならないとされています。
4. 遅くともデータ主体への最初の連絡の時点で、第1項及び第2項に規定する権利は、明示的にデータ主体の注意を引くようにされ、かつ、他の情報とは明確に分けて表示されなければならない。
上記の第1項および第2項の権利は、「遅くともデータ主体への最初の連絡の時点」で、明示的に注意を引くように、かつ、他の情報とは明確に分けて表示されなければならない、とされています。
「遅くともデータ主体の最初の連絡の時点」とは、「データ主体から個人データが取得される場合」であればその取得する時(第13条第1項)、「個人データがデータ主体から取得されたものではない場合」であれば、「遅くともデータ取得後の1か月以内」(第14条第3項)となります。
5. 情報社会サービスの利用の過程において、かつ、指令2002/58/ECにかかわらず、データ主体は、技術的な仕様を用いる自動化された仕組みによって異議を述べる自己の権利を行使できる。
情報社会サービスを利用の過程では、技術的に自動化された方法で異議を述べる権利を行使できるとされています。
ダイレクトマーケティングの目的で届いたメールに対して、イチイチ処理を停止するために手続きが必要となったら面倒ですよね。ボタン一つで処理を止めることができた方が、ユーザーとしては好ましいと思います。
なお、指令2002/58/ECは、いわゆる「e プライバシー指令」のことですが、ここでは「この指令にかかわらず」となっているので、気にする必要もありません(そのため、eプライバシー指令の説明も割愛します)。
6. 第89条第1項により科学的研究若しくは歴史的研究の目的又は統計の目的で個人データが取扱われる場合、データ主体は、公共の利益のための理由によって行われる職務の遂行のためにその取扱いが必要となる場合を除き、自己の特別な状況と関連する根拠に基づき、自己と関係する個人データの取扱いに対して、異議を述べる権利を有する。
第89条第1項の「科学的研究若しくは歴史的研究の目的又は統計の目的」で個人データが取扱われる場合も、データ主体の個別の事情に基づき、異議を述べる権利を有しますが、「公共の利益のための理由によって行われる職務の遂行のためにその取扱いが必要となる場合を除き」という前提がついております。
「科学的研究若しくは歴史的研究の目的又は統計の目的」であっても異議を述べる権利は認められているものの、公益性が重要視されていることが分かります。
以上、第21条の「異議を述べる権利」でした。
