同意
データ主体に自身の個人情報を送信してもらうとき、データ管理者(通常は企業)は必ずデータ主体の同意を得なくてはなりません。GDPRでは同意を求めるときの情報開示に関する基準がいっそう厳格化されました。同意は「自由意思により、適切な情報に基づいて具体的かつ明白に示される」必要があり、管理者には「明快かつ平易な言葉」で「他の事柄と明確に区別して」法的要件を説明することが求められています。さらに、管理者は自身の処理が法的要件を満たし、すべてのケースで順守されていることを証明する必要もあります。これまでDPDでは、ある行動または行動以外を通じて同意の意向が明らかである場合、かかる行動または行動以外によって同意を得ているものと見なしていました。つまり、DPDには「オプトアウト」の可能性が明記されていなかったのです。一方、GDPRではその点が変更され、データ主体は「意思表明または明らかな肯定的行動」によって同意の意思を伝える必要があります。
ここで肝心なのは、顧客に同意を強制してはならない点です。また、個人データの処理に同意していることに、顧客自身が気付いていない状態を避けなくてはなりません。さらに、自分が何に同意しているかを顧客が正確に理解し、同意を取り消せるということを事前に知らされている必要があります。同意を得るためには、積極的な行動による明確な意思表示が必要です。あらかじめチェックボックスがオンになっており、それを黙認するなど、行動を伴わない場合は同意と見なされません。このため、オプトイン時にユーザーに適切な情報を提供しておくことは、今後ますます重要になります。
個人の権利の拡充
GDPRにはさらに、データ主体の新たな2つの権利が規定されています。1つは「忘れられる権利」です。データを処理する第三者に対し、データの削除依頼があったことを管理者が通知する義務を含みます。もう1つは「データのポータビリティーの権利」です。データ主体は自身のデータの写しを、一般的な形式で提供するように要求することができます。ユーザーはこの2つの権利によって、企業が保管する個人データの削除や、企業に収集された自身に関する情報の開示を、より簡単に要求できるようになります。
データへのアクセス要求
データ主体には随時、自身のデータへのアクセスを要求する権利がありますが、GDPRではこうした権利がさらに拡充されました。管理者にデータへのアクセス要求があった場合、要求への対応に過大なコストがかかることを証明可能な場合を除き、ほとんどのケースでは対応コストを請求することはできません。また、アクセス要求への対応期間が30日間に短縮されました。明らかに不当な要求や過度な要求など、一部のケースではアクセス要求への対応を拒否できることがあります。ただし、その場合は要求の拒否に対するポリシーおよび処理手順が明確に定義されており、要求の不当性または過剰性を管理者側が立証できなくてはなりません。