オランダのAVG/GDPR権利:データプライバシー権の完全ガイド
データアクセス、削除、ポータビリティ、Autoriteit Persoonsgegevensへの苦情申し立てなど、AVG(オランダ版GDPR)の権利を解説。オランダ在住者向け実践ガイド。
オランダのAVG/GDPR権利:データプライバシー権の完全ガイド
Algemene Verordening Gegevensbescherming(AVG)— EUの一般データ保護規則(GDPR)のオランダ版 — は、あなたの個人データに対する強力な権利を与えています。データを処理するすべての企業、組織、政府機関が遵守しなければなりません。しかし、多くのオランダの住民は、自分に何の権利があるのか、またはどのように行使するのかを知らないため、これらの権利をほとんど利用していません。
このガイドでは、各AVG権利を実践的に説明し、権利行使の手順とAutoriteit Persoonsgegevens(AP、オランダのデータ保護当局)への苦情申し立て方法を解説します。
AVG/GDPRの権利一覧
| 権利 | 意味 | 一般的な使用場面 |
|---|---|---|
| アクセス権(inzagerecht) | 組織が保有するあなたのデータを確認 | 雇用主、保険会社、SNSが何を保存しているか確認 |
| 訂正権 | 不正確なデータを修正 | 誤った住所、名前のスペル、古い情報 |
| 消去権 | データの削除を要求 | 古いアカウントの削除、マーケティングプロファイルの削除 |
| データポータビリティ権 | データを転送可能な形式で受け取る | 銀行の乗り換え、サービスプロバイダーの変更 |
| 異議申し立て権 | データ処理の停止 | ダイレクトマーケティング、プロファイリングのオプトアウト |
| 制限権 | データの使用方法を制限 | データの正確性に関する紛争中 |
| 自動意思決定に関する権利 | アルゴリズムのみによる決定に異議申し立て | 信用スコアリング、自動化された採用スクリーニング |
アクセス権(Inzagerecht)
最も強力で、最も一般的に使用される権利です。あなたの個人データを持つ組織は以下を教えなければなりません:
- 保有しているデータ
- 処理する理由(法的根拠)
- 共有先(第三者、他の企業)
- 保持期間(保管期間)
- データの出所(あなたから直接収集していない場合)
アクセスリクエストの提出方法
- 組織のデータ保護連絡先を特定する。 ほとんどの企業はウェブサイト(通常はプライバシーポリシー内)にプライバシー連絡先またはデータ保護責任者(DPO)を記載しています。
- メールで書面リクエストを送る。 特定の書式は不要ですが、以下を含めてください:
- フルネームと連絡先
- AVGに基づくアクセス権を行使するという明確な記述
- 確認したいデータの指定(または保有するすべての個人データを要求)
- 要求された場合は身分証明を提供する。 組織は身元証明を求めることができますが、必要以上のものを求めることはできません(例:アクセスリクエスト処理だけのためにBSNを求めるべきではない)。
- 回答を待つ。 組織は30日以内に回答する義務があります。複雑なリクエストの場合は60日の延長が可能ですが、最初の30日以内に延長を通知する必要があります。
- 回答は無料でなければならない。 組織はデータの最初のコピーに対して料金を請求できません。追加コピーには合理的な料金を請求できる場合があります。
アクセスリクエストメールのサンプル
件名:AVG Inzageverzoek / データアクセスリクエスト
データ保護責任者殿、
AVG/GDPRの第15条に基づき、貴組織が処理する私に関するすべての個人データへのアクセスを要求します。以下を提供してください:
- 私の個人データのすべてのコピー
- 処理の目的
- 私のデータが共有された受取人のカテゴリー
- 私のデータの保持期間
私の詳細:[名前、メールアドレス、該当する場合は顧客/アカウント番号]
法律の要求通り、30日以内に回答してください。
消去権(忘れられる権利)
以下の場合、個人データの削除を要求できます:
- 当初の目的にデータが不要になった場合
- 同意を撤回した場合
- 処理に異議を申し立て、正当な利益が優先されない場合
- データが違法に処理された場合
- 法的義務を遵守するためにデータを削除する必要がある場合
重要な制限事項
組織は以下の場合に削除を拒否できます:
- データの保持が法的に義務付けられている場合(例:税務記録を7年間)
- 法的請求にデータが必要な場合
- 優先する公共の利益がある場合(例:公衆衛生)
- ジャーナリスティック、学術、または統計目的にデータが必要な場合
削除リクエストの実用的なヒント
- 何を削除したいか具体的に示す — すべてのデータ、特定のカテゴリー、または特定の期間のデータ。
- サービスを使わなくなった場合はまずアカウントを閉じ、 その後残りのデータの削除を要求。
- 30日以内に確認が届かない場合はフォローアップする。
- バックアップを含むすべてのデータが削除されたことの確認を求める(組織にはバックアップを消去するための合理的な期間がある)。
データポータビリティ権
構造化された一般的に使用される機械可読形式で個人データを受け取る権利があります。また、組織が別のサービスプロバイダーにデータを直接転送することも要求できます。
この権利は以下の場合に適用されます:
- 処理があなたの同意または契約に基づいている場合
- 処理が自動化された手段で行われている場合
便利な使用場面
- 銀行の乗り換え — 取引履歴を標準形式でリクエスト
- 健康保険の変更 — 請求履歴の転送
- クラウドサービスの乗り換え — プロバイダーからデータをエクスポートして別のプロバイダーにインポート
- メールプロバイダーの変更 — 連絡先とメールデータの転送
異議申し立て権
以下の状況でデータ処理に異議を申し立てることができます:
ダイレクトマーケティング
ダイレクトマーケティング目的の処理に対しては絶対的な権利があります。組織は直ちに停止しなければなりません — 例外はありません。
プロファイリング
組織があなたをプロファイリングしている場合(予測や決定を行うためにデータに基づくプロファイルを作成)、異議を申し立てることができます。「やむを得ない正当な理由」を証明できない限り、停止しなければなりません。
公共の利益または正当な利益に基づく処理
処理が公共の利益または組織の正当な利益に基づく場合、異議を申し立てることができます。組織はその利益があなたの利益を上回ることを証明できない限り、停止しなければなりません。
Autoriteit Persoonsgegevensへの苦情申し立て
組織がAVG権利に準拠しない場合、Autoriteit Persoonsgegevens(AP)に苦情を申し立てることができます。
申し立て前に
- まず組織に直接権利を行使する。 APは苦情申し立て前に組織への連絡を期待しています。
- 法定回答期間を待つ(30日、複雑なリクエストの場合最大90日に延長可能)。
- すべてを記録する — リクエストと組織の回答(または回答なし)のコピーを保管。
申し立て方法
- autoriteitpersoonsgegevens.nlにアクセスし、オンライン苦情フォーム(klacht indienen)を使用。
- 以下を提供:
- あなたの詳細
- 苦情対象の組織
- 行使しようとした権利
- 通信のコピー
- 受け取った回答(または回答がなかったことの確認)
- APが苦情を評価し、調査の要否を決定します。
APが行えること
- 組織を調査する
- 警告または叱責を発行する
- コンプライアンスを命令する — 組織にリクエストへの対応を強制
- 罰金を課す — 最大2,000万ユーロまたは全世界の年間売上高の4%
個人データの積極的な保護
AVG権利はデータ収集後のコントロールに役立ちますが、予防に勝るものはありません。以下は実践的なステップです:
- データ共有を最小限に抑える。 厳密に必要なものだけを提供。ジムにBSNは不要。オンラインショップに生年月日は不要。
- プライバシーポリシーを読む — 最低限、どのデータが収集され、誰と共有されるかを確認。
- 異なるサービスには別のメールアドレスを使用して クロストラッキングを制限。
- 定期的に権利を行使する。 取引のある組織へのデータリクエストを年間の習慣にしましょう。
個人文書(IDのコピー、BSNを含む文書、機密性の高い個人情報)を共有する必要がある場合は、安全で一時的なチャネルを使用してください。LOCK.PUBでは、自動期限切れ付きの暗号化されたパスワード保護メモとリンクを作成できます。誰かの受信箱に永久に残るIDのコピーをメールで送る代わりに、受取人が確認した後に期限切れとなるLOCK.PUBリンクを作成しましょう。
状況別AVG権利ガイド
| 状況 | 使用する権利 | 要求内容 |
|---|---|---|
| 退職 | 消去権 + アクセス権 | 個人ファイルの削除、従業員データのコピー要求 |
| 銀行乗り換え | ポータビリティ + 消去 | データ転送、旧口座記録の削除 |
| スパムメール受信 | 異議申し立て + 消去 | ダイレクトマーケティングの停止、マーケティングプロファイルの削除 |
| 信用審査の拒否 | アクセス + 自動意思決定 | 信用データの確認、アルゴリズムへの異議申し立て |
| オンラインの誤情報発見 | 訂正 + 消去 | 不正確なデータの修正または削除 |
| 古いSNSアカウント | 消去 | アカウントに関連するすべてのデータの削除 |
| データ漏洩通知 | アクセス | 流出したデータの確認 |
オランダにおけるAVGの施行
| 指標 | 数値 |
|---|---|
| APが年間受け取る苦情件数 | 25,000件以上 |
| 苦情解決までの平均期間 | 3〜6カ月 |
| オランダの過去最大の罰金 | 数千万ユーロ(年により異なる) |
| 最も多い苦情の種類 | アクセス権 / 回答の不履行 |
| 苦情の多い業種 | 通信、医療、金融、政府 |
まとめ
AVGの権利は本物であり、強制力があり、行使は無料です。法的な用語に臆する必要はありません。AVGの核心は、あなたがデータの所有者であり、組織はそれを尊重しなければならないということです。まずは日常的に取引のある組織にアクセスリクエストを出してみてください。保有されているデータの量に驚くかもしれません。
機密性の高い個人データを共有する必要がある場合は、LOCK.PUBで自動期限切れ付きの暗号化メモとリンクを作成してください。収集されるデータから自分で共有する方法まで、あらゆるステップでデータをコントロールしましょう。
LOCK.PUBで個人データを保護 — 自動期限切れの暗号化パスワード保護共有。
キーワード
こちらもおすすめ
BSNなりすまし防止:オランダでBurgerservicenummerを守る方法
BSNを本当に必要とする組織、詐欺師がBSNで何ができるか、オランダでBurgerservicenummerをなりすましから守る方法を解説。
KVKKプライバシーガイド:トルコにおけるデータ保護の権利
KVKK(トルコ個人データ保護法)に基づく権利を理解しましょう。データ削除の要求方法、苦情の申立て方、トルコでのプライバシー権の行使方法を解説します。
PESELナンバーのセキュリティ:ポーランドの国民IDを詐欺から守る方法
PESELとは何か、なぜ詐欺師が狙うのか、mObywatelのZastrzeżenie PESELを使って身元詐称、不正融資、SIM登録悪用から身を守る方法を解説。