GDPRが近づいています:準備方法

公開: 2017-11-15

注:これは一般的な情報提供のみを目的としており、法的分析または法的アドバイスを構成することを意図したものではありません。 GDPRに基づく特定の義務について詳しくは、弁護士に問い合わせる必要があります。

欧州連合の市民と取引を行う組織の一員である場合は、一般データ保護規則(GDPR)に関連する今後の変更について聞いたことがあるかもしれません。 GDPRは、EU市民の利益のためにデータ保護規則と権利を強化および統合することを目的とした欧州連合の法律です。 GDPRは、EUに商品やサービスを提供する、またはEUユーザーの行動を監視するために追跡技術(Cookieや追跡ピクセルなど)を利用するEU組織および非EU組織(あらゆる規模)に適用されます。

GDPRは、2018年5月25日から施行されます。

その時点で、準拠していない組織は、罰金やその他の規制制裁の対象となる可能性があります。 GDPRの概要については、この記事から始めるのが最適です。

GDPRの主な原則

あなたとあなたのチームが次のGDPRに備えるときは、次の原則に留意してください。

  • 収集された個人データは、公正、合法、かつ透明性のある方法で処理される必要があります。 人が合理的に期待しないような方法で使用するべきではありません。
  • 個人データは、特定の目的を達成するためにのみ収集する必要があり、それらの目的と互換性のない方法でさらに使用することはできません。 組織は、個人データを収集するときに、その理由を指定する必要があります。
  • 保持される個人データは、最新かつ正確に保つ必要があります。 その目的を達成するために必要以上に開催されるべきではありません。
  • EU市民は、自分の個人データにアクセスする権利があります。 また、データのコピーを要求したり、データを妨害することなく更新、削除、制限、または別の組織に移動したりすることもできます。
  • すべての個人データは安全に保管する必要があり、特定の種類の活動を行う企業は現在、データ保護責任者を任命する必要があります。

個人データとは何ですか?

個人データのGDPR定義には、名前、パスポート番号、生年月日など、通常は個人を特定できる情報(PII)と見なされるものが含まれますが、IPアドレスやデバイスなど、非PIIと見なされる可能性のあるデータも含まれます。 ID。

個人データには、ハッシュまたは暗号化された個人に関するデータを含めることもできます。

GDPRが個人データと見なすものの包括的なリストについては、GDPRの第4条(1)をお読みください。

さらに、個人データの定義には、「個人データの特別なカテゴリ」と呼ばれるデータのサブセットが含まれます。 個人データの特別なカテゴリは、GDPRに明示的に記載されているデータの特定のリストであり、人種、宗教、政治的意見、健康データなどが含まれます。

GDPRに備えるための手順

データマッピング–以下を決定(および文書化)します。

  • どのような個人データを所有または収集していますか?
  • 個人データはどのような目的で使用されますか?
  • このデータはどこから来たのですか、そしてそれはどの当事者と共有されましたか?
  • このデータは現在どこにありますか?
  • データはどのくらいの期間保存されますか?
  • データ主体がリクエストを送信した場合、このデータはどのように削除または変更されますか?

権利–現在の手順をチェックして、データ主体の権利を遵守できることを確認します。 EU市民は、自分の個人データにアクセスする権利があります。 また、特定の状況では、データのコピーを要求したり、データを支障なく更新、削除、制限、または別の組織に移動したりすることもできます。

同意–個人データを処理する根拠として同意に依存する場合は、同意を追求、取得、および文書化する方法に対処します。 特定の(すべてではない)種類の活動については、通常、個人データを使用するために、たとえば特別なカテゴリの個人データを処理する場合など、個人から同意を得る必要があります。 GDPRは、同意は明確な肯定的な行為によって与えられるべきであると述べています。沈黙、事前にチェックされたボックス、または非アクティブは通常、同意を構成しません。 同意も通知する必要があります。

組織は、個人データを収集する理由とその使用目的に関する情報を提供する必要があります。

また、誰が、いつ、どのような具体的な声明に同意したかなど、取得したすべての同意の記録を保持する必要があります。 EUの個人は、いつでも同意を取り消す権利があります。

プライバシーポリシー–現在のプライバシーポリシーを確認し、更新が必要かどうかを判断します。

製品設計–設計によってプライバシーをプロジェクトに組み込み、製品のプライバシーへの影響を最小限に抑える方法を検討する必要があります。 必要に応じて、仮名化、匿名化、および暗号化を使用してみてください。 プライバシーバイデザインの詳細については、GDPRの第25条をご覧ください。

データ漏えい手順–データ漏えいを検出、報告、調査するための手順が整っていることを確認します。 GDPRでは、情報漏えいが個人のプライバシー権にリスクをもたらす可能性が低い場合を除き、通常、検出から72時間以内にデータ保護当局に情報漏えいを報告するよう組織に求めています。

データ保護責任者–データ保護責任者(DPO)を任命する必要があるかどうかを判断します。 GDPRでは、組織のコアアクティビティに「大規模なデータ主体の定期的かつ体系的な監視」が含まれる場合、または組織が「特別なカテゴリの個人データ」の大規模な処理を行う場合は、DPOを任命する必要があると述べています。 DPOは、GDPR要件への準拠を監視する責任があり、組織と監督当局の間の連絡窓口として機能します。

サードパーティプロバイダー–データ主体の個人データにアクセスまたは処理する現在使用しているすべてのサードパーティソリューション(Webサイト追跡Cookieを含む)のリストを作成します。 サードパーティプロバイダーとのすべての契約を確認する必要があります。 契約には、必要に応じてGDPRに準拠した機密保持条項とデータプライバシー条項を含めます。 GDPR規制に準拠しているかどうかは、範囲内であると判断したサードパーティプロバイダーに問い合わせてください。

認識– GDPRと、それが顧客の個人データの収集と処理に与える影響について従業員を教育します。

プライバシーシールドはどうですか?

GDPRには、EU外への個人データの転送に関する特定の要件があります。

たとえば、データ転送は、適切なデータ保護法があると判断された国、または適切なデータエクスポートメカニズムを導入した国でのみ行う必要があります。

EUは、米国が適切なデータ保護法を持っているとは考えていませんが、プライバシーシールドは、米国の組織がGDPRのこの要件を満たすために適切なデータ保護慣行を実施していることを示すために参加できる自主的な自己認証プログラムです。 。

SendGridはPrivacyShield認定を受けており、代替のデータエクスポートメカニズムとして標準の契約条項を顧客に提供します。

これはEメールにどのように影響しますか?

GDPRは、マーケティング慣行に影響を与えます。 GDPRに関係するすべてのメールマーケティング担当者は、必要に応じて同意を追求、取得、文書化する方法に取り組む必要があります。 マーケターはまた、要求された場合に個人のデータを更新、削除、制限、または移動できることを確認したいと思うでしょう。 GDPRに準拠し、不要な件名のメールアドレスをリストから削除することで、配信可能性を向上させることができます。

次は何?

組織がGDPRの影響を受けると思われる場合は、弁護士に連絡して、GDPRに基づく特定の義務について詳しく調べてください。 この投稿の目的は、GDPRの結果として組織に発生する可能性のある変更のいくつかを強調することです。 GDPRの全文はこちらから入手できます。 また、Cookieの使用、Eプライバシー規制、およびそれがGDPRにどのように関連しているかに関する詳細情報もここで見つけることができます。