ウェブサイトをGDPRに準拠させる方法

公開: 2018-07-12

多くのユーザーからGDPRについて質問があります。それはどういう意味ですか? それは誰に、そして何に適用されますか? それはビジネスとしての私にどのような影響を与えますか? 多くの情報がネット上で流通している一方で、この情報の一部が不完全、不正確、または誤解を招く可能性があることを私たちは知っています。

そのため、英国の大手法律事務所の1つである、知的財産を専門とする会社であるFladgateに連絡しました。 彼らは親切にも、この投稿に含まれている主題に関する完全で専門的な回答を提供してくれました。

以下に、Elementorサイトの作成者に関連するトピックに関連する、GDPRの読みやすく理解しやすいガイドラインを示します。 法的な文書で作成されているため、通常のブログ用語とは少し異なりますが、GDPRルールを明確に理解するための最良の(そして唯一の)方法であると考えています。 私たちのコミュニティのためにこれらの精巧で包括的なガイドラインを作成して明確にしてくれたFladgateのEddiePowellに感謝します。

ウェブサイトの法的要件:開始ガイド
法令遵守へ

この投稿で回答された質問は次のとおりです。

GDPRとは何ですか?なぜそれが重要なのですか?

GDPRの基本的なルールは何ですか?

どの個人データを使用でき、どのように使用できますか?

個人データを第三者に転送することはできますか?

個人は企業に対してどのような権利を持っていますか?

事業主として、自分のWebサイトの個人データをどのように保護する必要がありますか?

GDPRとは何ですか?なぜそれが重要なのですか?

GDPRは、一般データ保護規則の略です。 これは、企業が個人の個人データをどのように保持および使用するかを管理する、EUが策定した新しい一連の規則です。

ほとんどの人は、規則に違反した企業に課せられる可能性のある罰金について聞いたことがあるでしょう。 これらは最大2,000万ユーロに達する可能性があり、特に大規模な企業グループの場合、グループのグローバル売上高の4%に達する可能性があり、これは莫大な金額になる可能性があります。

ただし、さらに重要なことは、データ保護ルールに準拠していないことに関連する宣伝は、ビジネスの評判を著しく損ない、顧客やサプライヤーがそれを信頼しないことにつながる可能性があることです。 さらに、顧客がその情報でビジネスを信頼しない場合、新しいビジネスは影響を受け、それは高水準のプライバシーを維持します。 顧客は自分の個人情報を管理していると感じたいと思っています。

基本的なルール

ルールは「個人データ」に適用されます。 個人データには、人の名前、住所、連絡先の詳細などの明らかなものが含まれます。また、住所から個人を識別できる電子メールアドレスのリストも含まれます(例: [電子メールで保護] –ボブスミスはユニバーサルで働いていることがわかりますウィジェット)とIPアドレス。 情報を匿名化すると、情報が個人データでなくなるため、一連の情報から個人が誰であるかを特定することはできません。

GDPRによると、この個人データ(これらはすべて「処理」と呼ばれます)は、ビジネスのシステムに保存されているという理由だけで収集、保存、使用、転送することはできません。 何をしたいのかを考え、ルールを適用する必要があります。

GDPRで指定されている6つの理由のいずれかが必要です。 私たちの目的のための重要なものは次のとおりです。

  • 個人との契約の履行、または情報を使用して契約を締結する。
  • マネーロンダリング防止規則の遵守や犯罪の防止など、ビジネスの対象となる法的義務(他社との契約ではない)の遵守。
  • 個人が、あなたが彼らの情報で何をしたいのかについて彼らの同意(具体的で、情報に基づいており、明確でなければならない)を与えた場合; と
  • 実行したい処理がビジネスの正当な利益のために必要であるが、プライバシーに関心を持つ関係者の権利と利益とバランスが取れている場合。

あなたが彼らの両親と彼らの同意を確認しなければならないあなたが子供を扱っている特別な規則があります。 人々の刑事上の有罪判決に関する情報を扱うための特別な規則、および法律が「特別なカテゴリー」と呼ぶものについての特別な規則もあります。これには以下に関する情報が含まれます。

  • 健康
  • 民族性
  • 性的指向
  • 政治的信念
  • 宗教
  • 労働組合への加入
  • 遺伝的および生体認証データ。

電子メールとSMSのマーケティングには特別なルール(GDPRの一部ではない)があることも覚えておく価値があります。誰かの電子メールアドレスまたは連絡先の詳細があるため、これらのチャネルを介してマーケティングコミュニケーションを送信しても問題ないとは限りません。 情報を収集するときに、これらのコミュニケーションをオプトアウトする機能を提供し、将来のマーケティングコミュニケーションの購読を解除する機能を常に含める必要があります。

計画と通知

新しいソフトウェアの実装、新しいデータベースプロジェクト、またはよりパーソナライズされたサービスを顧客に提供するなどの目的で個人データを使用する場合は、既存の個人データを取得しても問題ないと想定しないことが非常に重要です。ビジネスのシステム上でそれを使用します。 上記で説明したベースについて考える必要があります。特に、これらに関するルールが非常に厳しいため、含まれる可能性のある特別なカテゴリデータがあるかどうかを考える必要があります。

定められた目的のためにさらに情報を収集する場合は、実際に必要なものだけを収集するようにしてください。 言われた目的を達成するために必要以上のものを提供するように個人に依頼しないでください。

個人は、個人情報で何が起こっているかについて非常に明確な言葉で伝える必要があります。 これも:

  • あなたの会社の詳細と連絡先の詳細。
  • データの処理の目的は何ですか。
  • データの送信先。
  • データを別の国にエクスポートする予定があるかどうか。
  • データを保持する期間。 と
  • GDPRに基づいて発生する同意を撤回する権利およびその他の権利に関する情報。

この情報は、情報が収集されたとき、または(情報が間接的に受信された場合)受信から1か月以内に、GDPRに基づいて提供される必要があります。 あなたのビジネスはあなたがこの情報を与えることを可能にする標準的なフォームを持っているべきです–それらは新しい個人データが集められるとき常に使われるべきです。

上記に準拠したら、計画したプロジェクトを実行しますが、それに固執し、不要な、または合法的に保持できなかった個人データを必ず削除してください。 計画を変更したり、個人データを使用して別のことを行うことにした場合は、手順をもう一度やり直して、演習をやり直す必要があることを忘れないでください。

転送

あなたのビジネスが使用するために収集された個人データの使用には特に注意してください、そしてあなたは今それを第三者に渡したいと思っています。

上記の基本的なコンプライアンス手順について考え、処理の法的根拠を満たし、個人に必要なすべての情報が提供されていることを確認する必要があります。

受信者があなたの指示に従ってあなたのために仕事をしている場合(給与サービスプロバイダーなど)、彼らはあなたの「処理者」になり、セキュリティとコンプライアンスに関する特定の保証を含む書面による契約を結ぶ必要があります。

「特別なカテゴリ」のデータを受信または転送できる可能性はほとんどありません。これが必要になった場合は、必ずビジネスのコンプライアンスチームに確認する必要があります。

個人データの保護に関する法律がそれほど厳格ではない可能性があるEU以外の国に情報を移動する場合は、特別な規則もあります。 個人データを受け取る予定の企業または組織との標準形式の契約を使用するか、個人の権利が尊重されることを保証するその他の取り決めを行う必要がある場合があります。

個人の権利

GDPRは、個人データを保持している企業に対する多くの権利を個人に与えます。 これらには以下が含まれます

  • 整流-間違いや不正確を修正しなければなりません。
  • アクセス–データのコピー、およびデータの使用目的の詳細を提供する必要があります。
  • 処理の停止–誰かの個人データの使用をすべて停止します
  • 消去(忘れられる権利) –個人に関するすべての記録の削除
  • 移植性–機械可読形式で保持されている個人データを個人または別のプロバイダーに転送します。

安全

GDPRはセキュリティレベルを指定していません。 企業は適切なレベルの技術的および組織的セキュリティを備えている必要があるとだけ言っているので、企業はこの要件に準拠するのに役立つように設計されたセキュリティ手順を実施します。 常にそれらに従ってください。

個人データのセキュリティを侵害する可能性があるのは、大規模なサイバー攻撃だけではないことを忘れないでください。 多くの場合、モバイルデバイスに保存されている個人データが失われたり、暗号化されていないラップトップが公共の場所に残されたりするなど、最大の問題を引き起こすのは小さなことです。 個人データが失われる最大の原因の1つは、オートコンプリートによって間違ったメールアドレスが入力されたためにメールが誤って表示されることです。

GDPRは、セキュリティ違反について当局に通知する義務を企業に課します。また、管理者が通知する必要があるものについて決定できるように、会社は違反を記録する義務があります。 。 個人データに関連する損失は、迅速に修正されたり、損害を与える可能性が低い場合でも、会社のポリシーに従って報告されるようにしてください。

Eddie Powellは、ロンドンのFladgateLLP弁護士のCommercialSport andIPチームのパートナーです。 詳細については、https://www.fladgate.com/lawyer/eddie-powell/を参照してください。

サイトをGDPRに準拠させるためにどのような手順を実行しましたか? 以下のコメントでお知らせください。