一般データ保護規則(AVG)を通じてオランダ法に組み込まれた第15条は、すべての個人に対し、組織が自分の個人データを処理しているかどうかを知る権利、そのコピーを取得する権利、そして目的、受信者、保存期間といった関連情報を確認する権利を明確に与えています。この権利は透明性と説明責任の根幹を成すものであり、個人は自分に関する情報がどのような形で保持されているかを確認できるとともに、企業はデータ処理を明確かつ文書化され、かつ防御可能な状態に保つことを義務付けられます。
ご自身の人事ファイルを請求する場合でも、お客様からの個人情報開示請求への回答を準備する場合でも、第15条の正確な適用範囲と限界を理解することで、罰金、紛争、そして風評被害のリスクを軽減できます。以下のページでは、法文を分かりやすい英語に翻訳し、データ主体向けに段階的な請求テンプレートを解説するとともに、管理者向けに期限、手数料、編集義務についてガイダンスを提供します。さらに、オランダ人事管理庁(Autoriteit Persoonsgegevens)が施行するオランダ特有の規則についても解説し、最後に双方にとって実用的なチェックリストを掲載します。
AVG第15条を平易な英語で解読する
「データ主体は、自己に関する個人データが処理されているか否かについて管理者から確認を受ける権利を有し、処理されている場合には、個人データにアクセスする権利を有する…」—第15条(1) GDPR
分かりやすく言うと、どの組織でも 「私に関するデータを保存していますか?もしそうなら、何を、なぜ、誰と共有し、どれくらいの期間保存しているのか教えてください。」 これが GDPR に基づくアクセス権の本質です。オランダの Uitvoeringswet AVG は実質を変えずに施行をローカライズするだけなので、オランダの AVG 第 15 条の範囲は同一です。
リクエストを提出すると、次の 8 つの具体的な項目を受け取る権利があります。
- 処理の確認
- 個人データのコピー
- 処理目的
- 関連するデータカテゴリ
- 受信者または受信者カテゴリ
- 計画保管期間またはそれを決定する基準
- 行使できるその他のGDPR権利
- EEA外への転送に対する保護措置
この権利は個人的なものであり、データ主体(または有効な代理人)のみが行使することができ、 絶対の ご自身のデータの受け取りについて。ただし、管理者は、他の基本的な権利(企業秘密、第三者のプライバシー)が侵害される場合、アクセスを制限または拒否することがあります。
法律用語と一般用語
| 第15条 | それが本当に意味すること |
|---|---|
| 15(1) 確認 | データが処理されるかどうかを「はい/いいえ」で尋ねます。 |
| 15(1) アクセス | 実際のデータとコンテキストを取得します。 |
| 15(1)(c) 受信者 | 社内外で誰がデータを閲覧または取得するかを把握します。 |
| 15(2) 第三国への移転 | EEA 外に送信されるデータと、使用される保護について説明します。 |
| 15(3) copy | 再利用可能なデジタル形式で情報を無料で受け取ります。 |
要点を一目で
- コントローラーにはどれくらい時間がかかりますか? 一か月複雑な場合には 3 つまで拡張可能。
- 請求できますか? いいえただし、その要求が「明らかに根拠がない、または過剰」である場合は除きます。
- データはどのような形式で受け取りますか? 安全な電子ファイル (例: PDF または CSV) 別途ご要望がない限り、提供されません。
- 特別なフォームを使用する必要がありますか? いいえ; 電子メール、手紙、電話でも構いません。
- もし彼らが私に対して何も保留していなかったらどうなりますか?彼らは同じ期限内に書面でその旨を伝えなければなりません。
誰が誰に対して権利を行使できるか?
GDPR第4条(1)に基づき、 データ主体 生存し、識別可能な自然人(顧客、従業員、患者、未成年の生徒など)を指します。いずれもGDPRに基づくアクセス権を行使できます。AVG第15条の適用範囲は、年齢、国籍、居住地による差別はありません。リクエストは、 コントローラ: 決定する側 現在も将来も、 および の データが処理される。単にデータを保存するだけのクラウドプロバイダーや給与計算機関は、 プロセッサ; リクエストをコントローラに渡す必要がありますが、直接の指示を拒否することはできません。
オランダ居住者は、オランダ市場をターゲットとする外国企業(例:アイルランドに拠点を置くソーシャルネットワーク)に対してもリクエストを送信できます。1ヶ月のカウントダウンは、管理者がリクエストを受信した時点から開始されます。サーバーの所在地は問いません。
特別な状況:代理人、故人、両親、保護者
- 未成年者および無能力成人の場合: 親、保護者、または保佐人がオランダ民法第 1 巻に基づいて代理で行動できます。
- 学校と 雇用者: 生徒と職員 自分自身 本人アクセス要求 (SAR) を提出できます。代理人は任意であり、必須ではありません。
- 死亡者は GDPR の対象外ですが、医師、公証人、保険業者は関連ファイルを開示する前に職業上の守秘義務を遵守する必要があります。
共有システムにおける管理者の共同責任
2つ以上の組織が 一緒に 処理の目的または手段を決定する権限(GDPR第26条)—例えば、雇用主とそのHRソフトウェアベンダー—は 共同管理者両当事者は、第 15 条の要請に誰が応じるかを透明性を持って合意し、データ主体に通知する必要がありますが、一方が対応しなかった場合、双方とも責任を負います。
開示すべき事項:データおよび補足情報
GDPRに基づくアクセス権を行使する場合、AVG第15条の規定により、管理者は2つの事項を引き渡す義務があります。 実際の個人データ そしてパッケージ 文脈の詳細写真とキャプションの両方を受け取ると考えてください。法律では、開示義務を以下の8つの項目に分類しています。
| 第15条(1)項 | 受け取るべきもの |
|---|---|
| (a)確認 | 明確な はい・いいえ あなたのデータが処理されるかどうか |
| (b)目的 | データが存在する理由(例:給与計算、マーケティング) |
| (c)カテゴリー | 連絡先の詳細、購入履歴、GPSログなどの種類 |
| (d)受領者 | 社内チーム および 外部パートナーまたはプロセッサー |
| (e)保持 | 正確な期間または基準(例:「税法の場合は7年間」) |
| (f)権利 | 訂正、削除、制限、異議申し立て、苦情申し立ての可能性があることをお知らせします |
| (g) 出典 | あなたから収集されていない場合、データの出所 |
| (h)移転 | EEA外への出荷に対する安全対策 |
個人データとは、名前や番号だけではありません。行動プロファイル、推定信用スコア、防犯カメラの映像、音声録音、デバイスID、さらにはログインタイムスタンプといった一見地味なメタデータまで、直接的または間接的に個人を特定できるあらゆる情報が含まれます。
「個人データのコピー」の説明
A copy オリジナルの紙媒体のファイルではなく、理解しやすい形で複製されたものです。以下の点にご留意ください。
- 給与記録のPDF
- CRMノートのCSVエクスポート
- サポートコールの音声ファイルを含むZIP
リクエストを電子メールで送信した場合、紙を要求しない限り、デフォルトの配信も電子的かつ「一般的に使用される」形式になります。
個人データ vs. 文書:どこで線引きするか
管理者は、あなたに関係する情報のみを抽出しなければなりません。例えば、複数の従業員が参加する会議メモでは、あなたの発言は公開され、同僚の発言は編集される可能性があります。逆に、署名されたメモでは、 雇用契約 すべての条項はあなたに関係するものなので、完全に開示されます。
必須補足情報
データ管理者は、データの複製に加えて、目的、カテゴリー、受信者、保持、利用可能な権利、データソース、自動化された意思決定の背後にあるロジック(もしあれば)、そして移転の安全策について説明する必要があります。曖昧な回答には注意が必要です。「業務目的のため」や「必要な期間保管する」といった回答では、英国個人情報保護監督庁(Autoriteit Persoonsgegevens)の要件を満たさない可能性が高いからです。包括的かつ平易な言葉での説明こそが、苦情や罰金に対する最良の防御策となります。
オランダにおける個人情報アクセスリクエスト(SAR)の提出と処理方法
個人情報アクセス要求は、データ主体が望むあらゆる方法で行うことができます。電話、 メール手紙、ソーシャルメディアのDM、あるいはチャットボットなど、様々な方法で提出できます。GDPR第12条は、管理者が特定のフォームを要求することを禁じているため、「私に関するすべての個人データのコピーを希望します」というだけで、期限のカウントダウンを開始できます。しかしながら、ベストプラクティスとしては、双方が期限を把握できるよう、書面による記録を提出することです。要求が届いたら、管理者は直ちに(1)受領を確認し、(2)その旨を記録に残さなければなりません。 一か月 回答期間。最初の1ヶ月を過ぎても回答を怠ったり、回答を遅らせたりすると、Autoriteit Persoonsgegevens(AP)から苦情を受け、罰金を科せられる可能性があります。
以下は、データ主体がコピー&ペーストできる簡潔なバイリンガル テンプレートです。法律用語は必要ありません。
Subject: Subject Access Request – Article 15 GDPR/AVG
Dear [Controller],
I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data.
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).
Kind regards,
[Name] | [Email] | [Any reference number]
---
Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR
Geachte [Verwerkingsverantwoordelijke],
Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt.
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.
Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]
コントローラーはシンプルな受入ワークフローを作成する必要があります。[メール保護] メールボックス、チケット番号、自動確認など、後でコンプライアンスを証明します。
過剰な情報収集を伴わない本人確認
管制官は、必要以上のデータを取得することなく、誰が要求しているのかを「合理的」に確認する必要がある。APは以下のことを推奨している。
- 可能な限り、リクエストの詳細を既存のアカウント データ (ユーザー名、クライアント ID) と一致させます。
- 追加の証明が避けられない場合は、編集されたパスポートを要求するか、 運転免許証のスキャン BSN、写真、MRZは黒く塗りつぶされています。
- 検証に必要な期間を超えてコピーを保存しないでください。チェックの事実を記録してから、ファイルを削除してください。
説明責任のためのログ記録と保存
基本的なSARログは、規制当局やDPOの満足度を高めます。記録内容:
- 受信日とチャネル(メール、電話など)
- 本人確認手続きの実施
- 保存されるデータの範囲
- 関与する社内チーム
- 返答の日付と方法 + 延長を要求した場合
- 提供された情報の概要または拒否の理由
この登録簿を維持することで、第 5 条の「説明責任」の原則がサポートされ、AP が訪問してきた場合にすぐに使用できる監査証跡が提供されます。
コントローラーのタイムライン、料金、配信形式
時計がスタートすると、コントローラーは 一か月 個人情報へのアクセス要求に応じるため。期限は1回延長できる。 最大2か月追加ただし、複雑なリクエストや多数のリクエストの場合のみ および 遅延の理由については、最初の1ヶ月以内に説明しなければなりません。個人データを保有していない場合でも、管理者は同じ期限内に回答し、その旨を明確に述べなければなりません。
第12条(5)は、アクセスは無料とするゼロ料金ルールを定めている。料金は、要求があった場合にのみ認められる。 「明らかに根拠がない、または過剰な」毎週同一のコピーを要求する従業員や、何百もの偽のプロフィールに関するデータを要求するスパマーを想像してみてください。
配信は「一般的に使用されている」安全な形式で行われなければなりません。簡単な比較は以下の通りです。
| フォーマット | メリット | デメリット |
|---|---|---|
| 暗号化されたPDF | 読みやすく、編集も簡単 | 弱いパスワードの可能性 |
| CSVエクスポート | 機械可読、小型 | 一般人にとっては難しい |
| 安全なポータル | 2FAと監査証跡 | 維持費が高い |
どちらのルートを選択する場合でも、コントローラーは合理的な設定を尊重し、独自のロックインを回避する必要があります。
安全な送信とデータの最小化
保護されていないスプレッドシートをメールで送信しないでください。パスワードで保護されたファイル(鍵は別途共有)、二要素認証付きのHTTPSポータル、または紙の束の場合は書留郵便を使用してください。送信前に、第三者のデータは編集ソフトウェアでスクレイピングし、余分なフィールドを削除してください。これは、第5条(1)(c)の最小化要件を満たし、同僚、企業秘密、および傍観者を保護します。
アクセスを制限または拒否する正当な理由
第15条は強力ですが、無制限ではありません。第4項および63条の序文では、管理者は、情報の開示が他の基本的権利と衝突する場合、または明らかに不合理である場合、開示内容を削減したり、拒否したりできることが明確にされています。立証責任は管理者にあります。 ドキュメント フルアクセスによって競合する利益が損なわれる理由と、その影響をどのように軽減したか(部分的な編集など)を説明します。
第三者のプライバシーの保護
同僚や顧客の名前も記載したメールのやり取りを公開すると、 アプリ環境に合わせて 個人データ。オランダの判例法(Rb. Midden-Nederland、ECLI:NL:RBMNE:2023:1204)では、要求者が文脈を理解している限り、管理者は第三者識別子を空白にしたり要約したりできることが確認されています。手法:
- 黒線で書かれた名前と電話番号
- 中立的な用語(「別の従業員」)に置き換える
- ファイル全体ではなく抜粋を提供する
企業秘密、知的財産、著作権
企業はアルゴリズムの着物を開示する必要はありません。ソースコード、価格設定式、または著作権で保護された資料を公開することで機密ノウハウが漏洩する可能性がある場合、第15条(4)に基づき、慎重な対応が認められています。一般的な回避策としては、自動化された意思決定のロジックをコード全体ではなく平易な英語で説明し、独自のテンプレートではなく契約書の抜粋を提示することが挙げられます。より詳細な情報開示が商業上の利益を損なう理由を常に説明してください。
権利濫用の防止
リクエストは 明らかに根拠がない、または過剰である 繰り返しが多く、煩わしく、あるいは意図的に煩わしい場合(完全なデータが既に提供された後、毎週コピー&ペーストされたSARを送信するなど)は、管理者にとって以下のような事態を招く可能性があります。
- 管理費を反映した「合理的な料金」を請求する。 or
- 一切行動を拒否する。
いずれの場合も、書面でその立場を正当化し、データ主体に個人情報保護庁に苦情を申し立てる権利があることを通知する必要があります。
救済を求める:オランダにおける苦情と訴訟
管理者が目標を達成しなかった場合、データ主体には、GDPR に基づくアクセス権を強制するための迅速かつエスカレーションのオプションがあります (AVG の第 15 条の範囲)。
- 内部からの促し。 第 15 条と経過期限を記載した日付入りのリマインダーを送信します。ほとんどの組織は、要求されるとそれに従います。
- Autoriteit Persoonsgegevens の苦情。 オンラインで申請してください。AP(更生保護局)は、情報開示命令、日額罰金、または行政罰を課すことができます。単純なケースであれば、3ヶ月以内に解決するケースも少なくありません。
- 民事訴訟。 GDPR第82条に基づく オランダの裁判所 差止命令を発令し、賠償金を支給することができる。最近の判決では、差し止め命令に対して250~2500ユーロの賠償金が支給され、迅速な手続きが取られている。 コート・ゲディング 緊急の雇用紛争に対する救済措置が利用可能。
国境を越えた協力とワンストップショップ
オランダ居住者は、EUの管理者の本部が他の場所にある場合でも、APに苦情を申し立てることができます。APはGDPRを通じてファイルを転送します。 ワン・ストップ・ショップ、 そしてその 欧州のデータ保護委員会 あらゆる規制上の行き詰まりを打破できるため、データの取得に地理的な障壁はなくなります。
組織向けコンプライアンスブループリント
きちんとしたSARプロセスは、最初のリクエストが届くずっと前から始まっています。これらの基本要素を構築すれば、アクセスに関する問題の90%は解消されます。
- 簡潔でわかりやすい英語で書かれた SAR ポリシーを公開し、スタッフにそのポリシーを案内します。
- 処理アクティビティの記録 (RoPA) を最新の状態に保ち、データがどこに保存されているかを把握します。
- 保持期間と削除トリガーをマップします。古いデータは引き渡す必要のないデータです。
- 二重管理レビューにより、段階的な編集ワークフローを維持します。
- 第5条のすべての要求、決定、期限を記録する 説明責任.
- スピード、明確さ、指揮系統をテストするために、毎年卓上訓練を実施します。
口頭でのリクエストの特定とトリアージについて、フロント オフィス、人事、IT 部門をトレーニングします。1 回の電話不応答でペナルティ クロックが開始される可能性があります。
自動化とツール
データ検出ソフトウェア、ID 検証 API、安全なダウンロード ポータルを使用して、データをすばやく検索、パッケージ化、転送します。常に人間による感覚的な確認とコンテキストの余地を残します。
他のデータ主体の権利との統合
SAR ワークフローを修正、消去、または移植性のアクションに分岐するように設計します。1 つの一貫したパイプラインにより、重複した検索や矛盾した回答を回避できます。
データ主体のエンパワーメント:効果的なリクエストのための実践的なヒント
明確で適切な範囲を定めたSARは、全員の時間を節約し、管制官の遅延を困難にします。以下の戦術をお試しください。
- ピンポイント 何 希望するものは「2024年1月1日から3月31日までの私とマネージャーのJansenとの間のすべての電子メール」です。
- 言及 コラボレー そこには「HR システムとヘルプデスクのチケット」と書かれています。
- あなたの 推奨される形式 (CSV、PDF) および安全なチャネル。
- 関連する場合は緊急性を示す(「近日公開予定 人事考課 10月15日」。
データが到着したら、エラーやギャップがないかスキャンし、修正または削除のリクエストを直ちに発行します。同じ証拠の軌跡を追跡することで勢いを維持します。
無視された場合のエスカレーション戦略
31日目になってもまだ連絡がない?礼儀正しく、しかし毅然とした態度で臨むべきだ。
Subject: Reminder – Article 15 GDPR/AVG request overdue
Dear [Controller],
On [date] I requested access to my personal data. The one-month term has passed without a response.
Please provide the information within seven days or explain the lawful basis for any refusal.
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.
Regards,
[Name]
すべての手順を記録してください(日付、メール、通話記録など)。延長期間が1週間を超えた場合は、AP(原告代理人)にオンラインで苦情を申し立て、証拠書類を添付してください。裁判所や規制当局は、きちんと整理された請求者を優先します。
アクセス権のまとめ
GDPR/AVG第15条は、個人を主体的に扱うことを規定しています。組織があなたのデータをどのように扱っているかを尋ね、確認し、異議を申し立てることができます。管理者にとって、明確な手順、整理された記録、そして適切な編集は必須です。これらこそが、1ヶ月の期限内に提出し、欧州個人データ保護庁(Autoriteit Persoonsgegevens)の監視を逃れる唯一の方法なのです。
基本的なプレイブックを覚えておいてください:
- リクエストは非公式なものでも構いません。
- 回答は自由、迅速、かつ完全でなければならない。
- 制限は狭く、正当化されなければならない。
- 部分的な開示は全面的な拒否に勝る。
これらのルールに従えば、アクセス権は法廷での悩みの種ではなく、日常的なコンプライアンス タスクになります。
カスタマイズされたSARテンプレート、サードパーティデータの整理、または頑固な管理者への戦略が必要ですか?プライバシー弁護士は Law & More 回答を求めるデータ主体であっても、確実性を求める企業であっても、介入する準備ができています。