直近5月4日付にて、欧州司法裁判所第一法廷は、一般データ保護規則(以下「GDPR」という)第15条に定める個人データ保護、具体的には、処理中のデータへのデータ主体者のアクセス権に関する、案件番号C-487/21号(Osterreichische Datenschutzbehörde and CRIF GmbH)判決を下した。
本件裁判所は、GDPR第15条の適用範囲の定義を試み、データ主体者が処理されたデータのコピーを受領する権利に関する第3項に特別に言及している。
当該判決は、あるビジネスコンサルタントエージェンシーが、処理された個人データへのアクセスを要求するデータ主体者からの申請を受けて、個人データに関する基本情報を含む要約リストを送付したケースを取り扱った。申請者は、提供リストが不十分であるとみなし、同社が保有する全データを提供すべきであると主張した。そして、管轄当局であるオーストリアデータ保護庁に不服申立てを行い、却下されたという事実背景があった。
当該データ主体者は、オーストリア連邦行政裁判所に異議申し立てを行い、同裁判所は、GDPR第15条の範囲、具体的には、データ主体者が受領する権利を有するデータについての「情報」概念に関する側面、およびデータの完全「コピー」を受領する権利の範囲についての疑問を解決するよう、欧州司法裁判所に予備判決を照会した。
当該問題提起に対し、欧州司法裁判所は、まずGDPR第15条3項に定めるデータ主体者が個人データ「コピー」を受領する権利は、営業秘密や知的財産権、コンピュータプログラムの保護等、第三者の権利や自由保護観点により制限をかけた上で、処理データの真正かつ了解度の高い複製物の提供を意味するとの判断を示した。
同裁判所は、通常の「コピー」概念を考慮する必要性に言及し、要約リストを渡すことは、法務官が自身の結論において示した「原本の複製または正本」の条件に一致しないことを確認した。「コピー」の概念は、文書自体のみで対応するのではないことを明確にし、つまりコピーとは、信用度もしくは支払い能力の評価等、処理の結果として生じるすべての情報を含む、処理の対象となるすべての個人データを指すとした。
続けて欧州司法裁判所は、個人情報へのアクセスが可能となることで、データ主体者が「自分に関する個人データが正確であり、合法的に処理されていることの確認」ができることで、同データ主体者が、当該データの修正および削除の権利を行使できるようになると考えている。
同様に「情報」概念の範囲に関する問題については、データ処理責任者が、データ主体者からの申請に応じて「コピー」を通じて提供しなければならない個人データのみを指すとの判断を示した。
最後に同裁判所はGDPR第12条文の文言に言及し、データ主体者に提供されるべき情報は「明確かつ平易な言語で、簡潔、透明、明瞭、容易なアクセス」の形式で提供されなければならないとの条件を明確に提示した。
当該判決によって、GDPR第15条から導き出される可能性のあった解釈上の抜け道は塞がれ、データ保護の分野における当事者らの権利及び義務が更に明確に定義された。これによりデータ主体が、より多くのデータにアクセスできるようになるであろう。
ヴィラ・オスカル (Óscar Vilá)
ヴィラ法律事務所
より詳細な情報につきましては下記までご連絡ください。
2023年6月2日
