一般データ保護規則(GDPR)
一般データ保護規則(略して「 GDPR 」)が最近ニュースで取り上げられています。しかし、新しいルールとは何であり、それらはあなたのビジネスにどのように影響しますか?
その背景
1995年に、欧州委員会はデータ保護指令を発表しました。これにより、すべてのEU加盟国は、自国民の個人データが適切に保護されていることを確認し、第三者が自分のデータを保持していることを知る権利を市民に保証することを確保しました。必要に応じてそのデータの修正または削除を要求できるようにするため。
しかしその後の数年間で、ソーシャルメディア、スマートフォン、インターネットの急速な発展により、既存の法的保護は不十分であることがわかりました。その結果、欧州委員会は新しい規則 - 一般データ保護規則 - を提案しました。個々のEU加盟国が独自の方法で規則を履行することを許可していた以前のデータ保護指令とは異なり、GDPR規則は単一の日に単一のEU全体の規則として実施されることになっていました。
GDPRの主な目的の1つは、データがEUビジネスまたは非EUビジネスのどちらによって処理または処理されているかにかかわらず、すべてのEU市民が同じレベルの保護を確保できるようにすることです。委員会は、彼らの目的は、個人データが将来のデジタル経済にとってますます重要になっている時代に、すべての市民が標準の「デジタル権利」を持つことを保証することであると述べた。
GDPRはなぜ重要なのですか?
GDPRは、本規則の広い範囲の両方のために、また不適合に対する重大な罰則のために、すべての事業にとって重要です。重大な違反があった場合、罰金は2,000万ユーロまたは世界的な売上高の4%のいずれか高い額に達する可能性があります。
GDPRはまた、いかなるデータ侵害に対する潜在的な責任範囲も拡大します。以前は、実際にデータを所有していたデータ「コントローラ」と、そのデータで何かをするためにコントローラによって契約されていたデータ「プロセッサ」との間には区別がありました。前者は個人データの損失または誤用に対して責任を負う可能性がありますが、後者については責任を負いません。しかし、GDPRの下では、コントローラーとプロセッサーの両方が共同で責任を負うことになります。つまり、どちらかまたは両方の当事者が、影響を受けた個人によって訴えられたり、規制当局によって罰金を科されたりする可能性があります。
テクノロジー分野の多くの企業はプロセッサになる可能性が高いので、これはGDPRの下ではそれらの企業が今まで持っていなかった潜在的な責任を持つことになるということです
GDPRは実際に何を必要としますか?
GDPRは、データを管理または処理している人に対して、いくつかの義務を課しています。これは完全なガイドとなることを目的としていませんが、基本的な要件は次のとおりです。
- 自分が管理しているデータとその取得元を把握しておく
- あなたが管理または処理するデータについては、必ず「合法的」に管理してください(これについては後で詳しく説明します)。
- 自分が管理または処理するデータを保護し、そのデータに対するリスクを最小限に抑えるための適切な措置を講じてください。
- 自分が管理するデータの処理を外注する場合は、プロセッサが同等の保護基準に従って動作していることを確認する必要があります。
- 「個人用」または「機密」データを保持している場合は、そのデータを確実に保護するための追加措置を講じる必要があります。個人データは広く描かれています - EメールアドレスやIPアドレスでさえも個人データと見なすことができます。
- 個人が要求した場合、あなたは自分が保持しているデータのコピーを迅速かつ適切な機械可読形式で提供しなければなりません(「データの移植性」)
- 個人から要求された場合は、保持しているデータをすべて削除する必要があります(「忘れられる権利」)。
「合法的根拠」
「合法的根拠」はGDPRの最も重要な部分の1つです。基本的には、収集または処理されるデータはすべて合法的に行われる必要があります。合法的な根拠がない場合、データを収集または処理することはできず、破棄する必要があります。
合法的な根拠としてカウントされるいくつかの異なるシナリオがあります。
- ユーザーがユーザーのデータの収集および処理に明示的に同意した場合。これは最も一般的な合法的な基礎であり、また満たすのがかなり簡単なものです。どのデータを収集しようとしているのか、またその理由をユーザーに明確かつ明確に伝える必要があります。その後、そのようなコレクションにオプトインする機会をユーザーに与える必要があります(これはオプトインであり、オプトアウトではないことに注意してください)。
- 契約を履行するためにデータを収集する必要がある場合。これは一般的な合法的な根拠である可能性もあり、商品やサービスを販売するオンラインショップなどの一般的な状況でのデータの収集と処理を可能にすることを目的としています。この状況では、顧客は商品またはサービスを購入することによって契約を締結しているので、実際にその契約を履行するために必要であるため、請求および出荷情報を収集し、それをクレジットカード処理業者に渡すことが合法です。ただし、このデータを別の目的(マーケティングなど)に使用することは、契約を履行するために必要ではないため、合法的な根拠とはなりません。
- 法律で定められている場合法律で義務付けられているため、データを収集して処理しなければならない場合があります。良い例としては、銀行や金融機関は、6年までの間、特定の記録を保存することを法律で義務付けられていることが多いでしょう。
- 重要な関心があるところ。この合法的な基盤は、生死に関わる緊急事態を対象としており、緊急サービスなどの機関によるデータ処理を対象とするため、ビジネスの世界では発生する可能性は低い
- 公共の仕事に必要な場合。政府部門やその他の公的機関が職務を遂行するためにデータを収集し処理することを可能にすることを目的としているため、これも起こりそうもない。例としては、裁判所に出向くなどのサービスを提供するためにデータを収集および処理する必要がある法律事務所などがあります。
- 最後に、「正当な利益」があります。これは意図的にかなり曖昧になるように作成されていますが、本質的にデータの収集と処理を可能にします。良い例は、ある個人がビジネスからマーケティングEメールを受け取らないように頼んだ場合、マーケティングEメールがその人に完全に削除されるのではなく、確実にその人のEメールアドレスを保持することに正当な関心があるでしょうそのため、将来それらを誤って電子メールで送信する危険があります。しかし、合法的な利益に対する高い制限があります - それは、会社にとって便利であるという理由だけではなく、個人の最優先の利益にあるに違いありません。
また、収集または処理されるデータが「機密」(基本的に人種、宗教、性的嗜好、政治的所属、医療記録、労働組合のメンバーシップに関係するもの)である場合は、さらに厳格な法的要件が適用されます。 - 基本的にあなたはユーザーからの明白な同意があるか、圧倒的な公共の利益のためにそれが法律によって必要とされるところでそのようなデータを集めるか、または処理することができるだけです。
再インキュベートについてはどうですか?
GDPRの下でのReincubateの権利と義務についての詳細は、当社のプライバシーポリシーをご覧ください。