ビジネスウェブサイトのGDPReコマースチェックリスト-完全ガイド

公開: 2020-09-26

序章

GDPRコンプライアンスは、ヨーロッパ諸国に製品またはサービスを提供するWebサイトの主要な要件です。 これにより、Webサイトが法的枠組みに準拠するだけでなく、訪問者の目にも信頼できるものになります。 透明度が上がるにつれて。 ただし、GDPRに準拠する方法は、一部のWebサイト所有者にとってあいまいな点になる可能性があります。

この記事では、GDPReコマースチェックリストをご用意しました。 この分野の初心者であろうと専門家であろうと、GDPRチェックリストはeコマースコンプライアンスのガイドフレームワークとして機能します。 記事の最後に、2つのシンプルなWordPressプラグインを使用して、サイトをGDPRに準拠させる簡単な方法についても説明します。 記事に目を通すと、面倒なことなく、いくつかの簡単な手順でWebサイトのGDPRに準拠することができます。

GDPRとは何ですか?

1

一般データ保護規則またはGDPRは、ヨーロッパの法的枠組みです。 これは、EUの居住者のデータプライバシーを保護するために2018年5月25日に実装されました。

GDPRは誰に適用されますか?

GDPRは、次の場合に営利団体に適用されます-

  • EU諸国のいずれかでビジネスプレゼンスを持っています。
  • EUに事業を展開していませんが、欧州居住者の個人データを処理し、その製品またはサービスをEU諸国の居住者に提供しています。
  • 250人以上の従業員の強みを持っています
  • 従業員は250人未満ですが、そのデータ収集と処理はデータ主体のプライバシーの権利と自由に影響を与えます。プロセスは定期的であり、特定の種類の機密データが含まれます。

知っておく必要のあるeコマースGDPRの罰金

GDPRに基づく主な罰金は次のとおりです-

  • 前年の会社の年収の最大2%、または最大1,000万ドルのいずれか高い方。 不適合の場合に適用されます。
  • 会社の前年の年収の最大4%または2,000万ドルのいずれか高い方。 これは、データ侵害のためのものです。

GDPRの主な要件とGDPRへの準拠方法

データを処理するための法的根拠

GDPRによると、EU居住者の個人データは、少なくとも1つの法的根拠がある場合にのみ所有できます。 GDPRがデータ処理に提供する法的根拠は次のとおりです-

  • ユーザーは特定の目的のために同意を与えました
  • ユーザーが参加者である契約を維持または締結するには、データ処理が必要です
  • データの管理者が対象となる法的義務を履行するには、データ処理が必要です。
  • ユーザーの利益を保護するためにデータ処理が必要です
  • 公益のために行われる活動にはデータ処理が必要です
  • データ処理は、データの管理者または他の人の正当な利益のために行われます。

同意

同意という言葉は、単にデータ処理に対するユーザーの許可を意味します。 同意は任意である必要があり、通常は本質的に変動します。 つまり、ユーザーはいつでも同意を変更できます。 同意通知はクリーンで明確でなければなりません。 あいまいさがあってはなりません。

組織は、次の同意記録を保持する必要があります-

  • 誰が同意しましたか?
  • ユーザーからどのように同意が得られたのか、いつ
  • 同意収集時にユーザーに同意書が提示されたかどうか
  • 同意収集時に適用された法的文書および条件

ユーザーの権利

GDPRは、EU市民にプライバシーとセキュリティを保護するための多くの権利を与えています。 GDPRに基づく主な権利は次のとおりです-

  • 通知を受ける権利

データ主体はデータ処理について知らされなければならず、データを収集する前に彼らの同意を求められるべきです。 彼らは、データがどのような目的で収集されているのか、データがどのように処理および保存されるのか、そしてデータが共有されている第三者と共有されるのかどうかを知る権利があります。

  • アクセス権

データ主体は、組織のデータベースにある個人データにいつでもアクセスできるようになりました。 コントローラは、ユーザーが要求した場合、データ処理のプロセスの概要を提示するようにバインドされています。

  • 是正する権利

ユーザーは、データが不完全または不正確な場合にデータを修正する権利を持ちます。 GDPRは、プロセスに関与するすべてのサードパーティの受信者に修正を開示する必要があるとも述べています。 ユーザーが要求した場合、組織はサードパーティの受信者についてユーザーに通知する必要があります。

  • 消去する権利

ユーザーは、組織にデータベースから自分のデータを削除するように依頼できます。 その場合、組織は情報を削除する義務があります。

  • 処理を制限する権利

データ主体には、データ処理を制限する権利があります。 リクエストは、リクエストを受け取ってから1か月以内に処理する必要があります。

  • データの移植性に対する権利

ユーザーは、データプロセッサからの異議なしに、あるコントローラから別のコントローラに転送するための個人データを取得できます。 提供されたデータと観測されたデータの両方がこのルールに該当します。

  • 異議を唱える権利

GDPRは、ユーザーが個人データを含む特定のデータ処理活動に反対する権利をユーザーに与えます。 データ処理が公益のために行われる場合、ユーザーは異議申し立てに対して正当な動機を与える必要があります。 単にマーケティング目的で処理を行う場合は、ユーザー側から異議を唱える動機付けは必要ありません。

  • 自動化された意思決定とプロファイリングに関連する権利

データ主体は、自動データ処理のシステムにノーと言う権利があります。 組織は、ユーザーの許可に基づいてEU加盟国の法律で承認された契約を締結または維持する必要があり、データ主体に法的または同様の影響を及ぼさない場合にのみ、自動データ処理を実行できます。

国境を越えたデータ転送

GDPRでは、データの転送先の国がEU基準に従って適切なレベルのデータ保護を備えている場合にのみ、EEAまたは欧州経済領域外へのデータ転送が許可されます。

もう1つの条件は、データ主体にそのことを通知する必要があることです。 対象者の同意なしに、データを転送することは許可されていません。

設計とデフォルトによるプライバシー

データ処理は、ビジネスプロセスの設計とその開発の最初から含まれている必要があります。 つまり、企業は、データ処理の基準が高く設定され、データ処理のライフサイクルに関する限り、GDPRによって設定された基準を満たすために必要なすべての措置が講じられていることを確認する必要があります。

違反通知

情報漏えいが発生した場合は、情報漏えいの認識から72時間以内に、データ管理者から上位の当局に通知する必要があります。 データがデータ管理者に代わってデータ処理者によって処理される場合、彼はそれについて知った瞬間にデータ侵害について管理者に通知しなければなりません。 また、ユーザーにはデータ侵害について通知する必要があります。

データ保護責任者

データ保護責任者は、組織がGDPR法に準拠するのを支援する人物です。 彼は、組織がすべてのルールを実装し、議題を設定し、内部コンプライアンスのための行動を取るのを支援します。

特に以下の場合には、データ保護責任者が必要です-

  • 大規模な体系的なユーザーモニタリングが定期的に行われる場所
  • データ処理が公的機関によって行われる場合
  • ユーザーのデータを使用して複雑な操作を実行する場合、特に機密データを処理する場合。

処理活動の記録の維持

GDPRは、データコントローラーとプロセッサーの両方に、ユーザーのデータの包括的で更新された「完全かつ広範な」記録を保持することを義務付けています。

次の場合は記録を保持する必要があります-

  • データ処理は時折ありません
  • EU居住者のプライバシーの権利と自由にリスクをもたらす可能性があります
  • 機密または特別なカテゴリのデータが含まれます
  • 処理は250人以上の従業員を抱える組織によって行われます

レコードには-が含まれている必要があります

  • データ管理者の名前と連絡先情報
  • データ処理の目的
  • データのカテゴリ、ユーザー、およびデータ受信者の適切な説明
  • さまざまなカテゴリのデータを処理するためのおおよその時間制限
  • 組織の技術的なセキュリティ対策の説明

データ保護影響評価(DPIA)

DPIAまたはデータ保護影響評価は、組織がGDPRの基準を満たし、それに準拠するように自らをアップグレードするのに役立つプロセスです。 これは主に記録管理のプロセスです。 データ処理がデータ主体のプライバシーにリスクをもたらす可能性がある場合は必須です。 DIPAは、組織の便宜のために書面で記録する必要があります。

DIPAには次のものが含まれます-

  • 処理されたデータの説明
  • データ処理の目的
  • その目的に関連するデータ処理の要件と範囲の評価レポート
  • 危険因子の評価
  • リスクに対処するために取られた措置の説明

完全なコンプライアンスを開始するために必要なものは次のとおりです。

GDPRに準拠するにはさまざまな方法があります。 この目的の主な要件は、eコマースWebサイトのプライバシーポリシー、個人データを収集するためのユーザーの同意、およびCookieを使用する場合のCookie通知ポリシーです。 これらの要件を満たす最も簡単な方法は、WordPressプラグインを使用することです。 WP LegalPagesProとWPCookieConsentという2つのユーザーフレンドリーなプラグインをお勧めします。

WPリーガルページPRO

2

WP Legal Pages Proは、数回クリックするだけでWordPressWebサイトに弁護士レベルの法的文書を作成するのに役立つ強力なWordPressツールです。 25以上の事前に設計されたテンプレートが付属しています。 このWordPressプライバシーポリシープラグインには、eコマースWebサイトのGDPRプライバシーポリシーが含まれています。 プラグインをインストールしてアクティブ化し、テンプレートをインポートし、詳細を追加して[公開]ボタンをクリックするだけで、ウェブサイトをGDPRに準拠させることができます。

WPCookie同意

3

WP Cookie Consentは、カスタムCookieバーを使用して、サイトをGDPRに準拠させるのに役立つ、エレガントでモダンなWordPressCookie同意プラグインです。 それはあなたが数分以内に問題なくクッキー通知を作成することを可能にします。 ジオロケーションに基づいて、これらの通知を表示または非表示にすることができます。 ワンクリックスキャナーがあり、有効になっている間、すべてのWebサイトとサードパーティのCookieを自動的に検出します。 Cookieの詳細は手動で編集できます。

最終的な考え

この記事では、GDPRの法的枠組みとeコマースコンプライアンスについてのアイデアを提供しようとしました。 また、ウェブサイトを新しく実装されたプライバシールールに準拠させるために、詳細なGDPR要件チェックリストを提供しています。 記事の最後に、GDPRに必要な法的文書を生成するように設計された2つの初心者向けで応答性の高いプラグインを提案しました。 プラグインを入手して先に進むことができます。 数分以内に、サイトをGDPRに準拠させることができます。

記事が役に立ったら、TwitterやFacebookで共有してください。 以下のコメントセクションにあなたの意見を残してください。 皆様からのフィードバックをお待ちしております。 さらに詳しい情報が必要な場合は、遠慮なくご連絡ください。 すぐにご連絡いたします。 ビデオチュートリアルについては、YouTubeチャンネルに登録してください。

免責事項:これは隣人のブログからのゲストの貢献です