GDPR コンプライアンス期限: 簡単な英語で準拠する方法

公開: 2018-05-15
ロシュニ・シェイク
ゲスト寄稿者

Google、 LinkedIn 、Twitter などの企業が、条件やプライバシー ポリシーを次々と変更した理由を考えてみてください。 あなたは今までに通知に気づいたに違いありません。

ええ、Facebook はすでにユーザー データの不一致で脚光を浴びています。 しかし、すべての Cookie ポリシーに何が起こっているかを見てください。 企業は急速に条件を更新しています。

この熱狂を引き起こしているのは何ですか? もちろん、これはビジネス界をかき乱した 1 つの法律、GDPR のおかげで起こっています。

欧州連合の GDPR 法は、2018 年 5 月 25 日に発効します。これは、2016 年 4 月に EU 議会で発足し、採択されて以来、ニュースになっています。

この法律は、大量のデータを管理するビジネスに影響を与えます。 これは、場所に関係なく、すべての EU 市民のデータに適用されます。

GDPR とは何ですか? なぜ展開されているのですか?

簡単に言えば、EU に居住する個人として、私のデータは GDPR によって保護されています。

GDPR は、一般データ保護規則の略です。 これは、古くて時代遅れになった 1995 年のデータ保護指令に代わるものです。 GDPR は、20 年間で多くの変化があった現在、より重要になっています。

急速な技術の進歩と企業によるデータ処理/使用により、GDPR のような法律の必要性が認識されています。

この新しい規制は、個人データの管理を EU 市民に戻すために施行されています。 これは、一般の個人データを悪用する企業の能力を制御するために実行されます。 GDPR は、市民にデジタル権利を与えるために展開されています。

この法律は、各国政府が制裁に関する法律を可決することを要求していません。 これは、EU 市民のデータを扱うあらゆる個人、組織、または企業に当然適用できることを意味します。

この法律は、あなたの会社が B2B レベルまたは B2C レベルで運営されているかどうかに関係なく、あなたのビジネスに適用されます。

GDPR はあなたのビジネスにどのように影響しますか?

GDPR の波がもたらした影響については、良いニュースと悪いニュースの両方があります。 理由を見てみましょう。

一部の中小企業の経営者は、突然の仕事の過負荷についてパニックに陥り、不平を言っています。 製品サポート会社のオーナーである Russel Xiam 氏は、GDPR 準拠のソフトウェア プラットフォームに移行するには、やるべきことがたくさんあると述べています。

GDPR の計画は、ビジネス上の選択を再検討することと同じです。 ラッセル・シアム

これは、中小企業が最も影響を受けていることを意味します。

プロジェクト管理会社のアジバオ社のオーナーであるジョン・ハイアム氏は、人々が欧州企業との取引を拒否しているのは、彼らが窮地に陥ることを恐れているからだと語った。

ドイツの人事担当者である Isabelle Trijt 氏は次のように述べています。

GDPR 準拠のサークル内にとどまるために、新規採用および従業員のオンボーディング ポリシーを修正/変更/破棄する必要がありました。 また、過去のインタビュー対象者のデータを含む古い記録をすべて削除する責任も負わなければなりませんでした。

これに加えて、ブリュッセルのビジネス オーナーは、Convertkit から MailChimp に移行しました。Convertkit には、ユーザーがデータを「選択」できるチェックボックス オプションがなかったからです。 これは、Convertkit が今日の時点で機能を更新したにもかかわらず、ビジネス オーナーがユーザーに詳細な制御を与えない電子メール サービス プロバイダーを放棄していることを意味します。

メール サービス プロバイダーが従わなかった規則によってビジネスが危険にさらされることはないため、これは理にかなっています。 結局のところ、電子メールの応答者は、ビジネスに生じた損失に対して責任を負わないポリシーを持っている可能性がありますよね?

そのようなシナリオが発生することはめったにありませんが、法律に準拠していないことに対する責任はあなたにあります。メールリスト。

一方、フランスの Ivizone の CTO 兼共同創設者である Sidney Burks 氏は、次のように述べています。

新しいポリシーは、私たちのビジネスに大きな影響を与えていません。 これは主に、フランスの法律がすでにデータ保護とプライバシーに関して非常に厳しい要件を定めていたことが原因である可能性があります. GDPR により、データ プライバシーを当社の製品の中核に据え、ゼロから考えることを余儀なくされましたが、製品の新しいリリースを開発しているため、クリーンで効率的な方法でこれを行うことができました。

Sidney はまた、GDPR により、企業はデータ ハウスを整理する必要に迫られていると付け加えています。 現在、古いデータや不要なデータを削除するためのポリシーを追加し、データ ストレージとアクセスに関する内部セキュリティ ポリシーを強化しています。 これは、クライアントにより高いレベルのデータ セキュリティを提供することを意味します。

そのため、企業または組織がユーザー データを処理および処理する場合は、ユーザー データのセキュリティについて考慮する必要があります。 この場合、GDPR に準拠する義務があります。 ビジネスが GDPR 法に準拠していない場合、重い罰則に直面する可能性があります。

最も深刻な逸脱に対する最高のペナルティは、グローバル売上高の 4% または 2000 万ユーロのいずれか高い方の費用がかかります (ペナルティについては後のセクションで詳しく説明します)。

GDPR 法は ____ に適用されますか?

法律が誰に適用されるかについては、大きな混乱があります。 EU 市民について語る情報源はほとんどなく、EU 居住者について語る情報源もあります。

GDPR の権利を持つ人々が「データ主体」と呼ばれるため、混乱が生じます。 しかし、これらのデータ主体は誰ですか?

データ主体、彼らは誰ですか?

GDPR はすべての EU 市民のデータに適用されますか?

それとも、EU に居住する人々にのみ適用されますか?

データ主体は、個人データが管理者または処理者によって処理される自然人として定義されます。 コントローラーまたはプロセッサーは、データ処理ファネルを指定するビジネスまたはビジネスによって雇用されるエンティティである可能性があります。

「データ主体」という用語には、特定の定義はありません。 実際、それは含意です。 GDPR は、EU 加盟国内で行われるあらゆる取引において、EU 市民のプライバシーと個人情報を保護することを企業に求めています。 Cyber​​ Counsel によると、特定の時点で EU 加盟国に存在するすべての人がデータ主体になります。

精査の対象となるデータの種類は何ですか?

GDPR は、自然人に関するすべての個人データをその人の所有物と見なします。 データの種類には次のものがあります。

  • デジタル情報
  • 生体認証データ
  • 遺伝子データ
  • 暗号化されたデータ
  • 個人データ

データ主体の権利:

1. EU GDPR に従って、データ主体になるかどうかを選択できます。 つまり、データの処理を拒否することができ、そうすることで、データ主体にならない権利を行使することになります。
2. データ主体になることを選択した場合、データについて通知を受ける権利があります。 お客様は、お客様の個人情報に関連するすべての情報処理を求める権利を有します。

3. また、いつでも個人データを変更したり、データを撤回したりするための完全な権限と権限が与えられます。 これが、企業がチェックボックス オプション (上記のセクションで説明) を提供して、ユーザーに同意を得る自由と権限を与える必要がある主な理由です。

4. データ主体は、処理されているデータが不正確または不正確であると考える場合、自分のデータの一部またはすべての処理に反対することもできます。

5. データ主体は、あるサービス プロバイダーから別のサービス プロバイダーへのデータの転送に異議を唱えたり、抵抗したりすることもできます。 これに加えて、データ主体として、記録からのデータの削除を要求することもできます。 ただし、処理されるデータが法的目的、公衆衛生目的、研究目的などである場合、データ主体はこの権利を取得できない場合があります。

つまり、ビジネス、組織、または市民権の場所に関係なく、すべての EU 居住者に適用されます。 また、データ主体の権利を侵害すると、重い罰則が課せられます。

ペナルティを決定する要因は何ですか?

1.過去の違反– GDPR の観点から、または以前に有効だったデータ保護指令のいずれかから、違反の履歴がある場合、これはペナルティ額を決定する要因になります。
2.原因– 違反は意図的であり、営利目的である可能性があります。 または、無視できるステップの結果だったでしょう。 いずれにせよ、意思決定機関は原因に応じて罰金額を設定します。
3.情報の種類– 使用される情報の分類によって異なります。 たとえば、ある企業が個人の遺伝子データまたは生体認証データをビジネス目的で使用した可能性があります。 これは、雇用の詳細などの情報よりも高いペナルティを引き付ける可能性があります。 繰り返しますが、罰則は EU 法の裁量と境界内で完全に設定されます。
4.解決策と対策– ビジネスによって直接影響を受ける個人またはグループに与えられた損害を軽減するための措置を講じている場合、これも決定要因になります。
5.予防措置– EU は 2018 年 5 月に発効し、完全に施行されるまでに 2 年間の移行期間がありました。あなたの会社が GDPR 法に準拠し続けるための措置を講じたにもかかわらず、侵害が発生した場合、これは次のようになります。ペナルティが設定される前に強調するポイント。
6. 意図– データの損傷が意図的なものである場合、これがペナルティのトリガーになる可能性があります。
7.協力と関係– ビジネスが監督当局と協力して損害を修復し、場合によっては違反を元に戻すことを義務付けている場合、これは罰則を軽減する可能性のあるポジティブな要素として機能します。
8.報告 – 違反が違反団体自体によって積極的に報告された場合、または二次情報源によって通知された場合。

罰金の決定は完全に EU 法の裁量の範囲内にあるため、上記の要因のいずれも特定の罰則を保証するものではないことに注意してください。

詳細については、こちら で GDPR 法の施行につながる主要な原則を参照してください

データ保護責任者 (DPO) の任命

ビジネスで処理されているデータは、監視を受ける必要がある場合があります。 GDPR に準拠するためにビジネスを組織化する際に支援が必要な場合、EU 機関は専門家に相談することをお勧めします。

各 EU 加盟国は、データ法の遵守を監視するために、1 つまたは複数の独立した公的機関を指名することができます。

GDPR によると、ビジネスが次のレベルで運営されている場合、データ保護責任者を任命する必要があります。

1. 公的機関として活動する団体

2. 大規模なデータ集約と監視を扱う企業

3. 重要な個人情報を大量に取り扱う企業

GDPR に関する 5 つの誤解

1. 米国企業は深刻な影響を受けています – EU の顧客を持つすべての企業 (米国企業だけでなく) は、法律を遵守する必要があります。

2. 中小企業の経営者は GDPR について心配する必要はありません – 小規模または大規模な企業: ユーザー データを処理する場合は、GDPR に準拠する必要があります。

3. ユーザーがサブスクリプション中に個人情報を入力することを選択した場合、ユーザーの同意は必須ではありません – 2018 年 5 月 25 日から、チェックボックスの形式でユーザーからの明示的な同意が必須になりました。

4. EU 内でビジネスを行っていない場合は、心配する必要はありません – EU 市民のデータを扱うビジネスであれば、市民の所在地に関係なく、GDPR が適用されます。

5. ユーザーデータは、ユーザーによって提供されたデータのみです – Cookie の形で収集、生成、変更、モーフィング、または取得されたデータ、ユーザーの行動は依然としてユーザーデータです。

結論

データ主体の個人情報を収集する Web サイトを運営している企業の場合、法的に準拠した方法でユーザー情報を取得することが義務付けられています。 たとえば、Web サイトにポップアップまたはサブスクリプション フォームがある場合、ユーザーの同意を得ていることを確認する唯一の方法は次のとおりです。

  • 同意を得て関心のあるメンバーのみをプールするダブルオプトイン方式を実装します。
  • ユーザーが自分のデータを規制するために選択できるオプションを提供します。
  • ユーザーに登録解除のオプションを提供します。
  • 使用するすべてのサードパーティ サービスが GDPR に準拠していることを確認します。
  • データ取得手順をチェックします。
  • 透明性のある方法でプライバシー ポリシーを伝達します。
  • データ保護責任者を指名するか、データ侵害を回避するためにビジネスを教育および訓練します。
  • 定期的なデータ監査とアクセシビリティの確保。
  • 保持および処理するデータを最小限に抑えます。

免責事項: 上記の情報は、参照および情報提供のみを目的としています。 法律上の助言にはなりません。 さらにアドバイスが必要な場合は、弁護士にご相談ください。