GDPRとは何ですか？

一般データ保護規則（GDPR）は、企業やその他の組織が個人データを処理する方法を管理する汎ヨーロッパの規則です。これは20年間で最も重要なデータ保護イニシアチブであり、欧州連合の人々にサービスを提供する世界中のすべての組織に大きな影響を及ぼします。

データの使用方法を管理し、「個人の基本的権利と自由」を保護するために、法律では、データの処理、透明性、文書化、およびユーザーの同意に関する厳格な要件が設定されています。

各組織は、記録を維持し、個人データの処理を監視する必要があります

データ管理者として、各組織は記録を保持し、個人データ処理活動を監視する必要があります。これには、組織によって管理される個人データだけでなく、サードパーティ（いわゆるデータプロセッサ）によって管理される個人データも含まれます。

データプロセッサは、サービスとしてのソフトウェアプロバイダーから、組み込みのサードパーティサービス、組織のWebサイトへの訪問者トラフィックの追跡および訪問者トラフィックまで、何でもかまいません。

データ管理者と処理者の両方が、処理されるデータの種類、処理の目的、およびデータが送信される国と第三者に責任を負うことができなければなりません。

GDPRの範囲を超えて、またはGDPRによって「適切」と見なされない個人データが組織または管轄区域に送信される場合は、そのデータとそれに伴うリスクについてユーザーに具体的に通知する必要があります。

すべての同意は、同意が与えられたことの証拠として記録する必要があります

2020年5月4日、欧州データ保護評議会（EDPB）は、GDPRに基づく有効な同意に関するガイドラインを採択しました。

有効な同意は、ユーザーの希望を自由に、具体的に、最新かつ明確に示すもの、つまりユーザーによる明確で肯定的な行動でなければなりません。

EDPBガイドラインは、次のことを明確にしています。 サイトをスクロールまたは閲覧し続けることは有効な同意ではありません そしてそれ Cookieバナーにデフォルトのチェックボックスを設定することはできません .

Cookieの壁（強制的な同意）も非準拠と見なされます。

EDPBは、EU全体でGDPRを実装する責任を負う最高の監督機関であり、各EU加盟国のデータ保護当局の代表者で構成されています。そのガイドラインと決定は、国レベルでGDPRを実施するための基礎となります。

個人は「データを転送する権利」、「データにアクセスする権利」、「忘れられる権利」を持ち、いつでも同意を取り消すことができます。この場合、データ管理者は、収集された目的のために必要がなくなった場合、個人の個人データを削除する必要があります。

データ漏えいが発生した場合、企業は72時間以内にデータ保護当局および影響を受ける個人に通知できる必要があります。

さらに、GDPRは、公的機関、250人を超える従業員を抱える組織、および機密性の高い個人データを大規模に処理する企業に、データ保護責任者（DPO）の雇用またはトレーニングを義務付けています。 DPOは、組織全体でGDPRコンプライアンスを確保するための措置を講じる必要があります。

Brexitに関連して、英国政府は、GDPRにほぼ準拠する同等の法律を実施することを計画しています。

GDPRは私のサイトにとってどのような意味がありますか？

あなたのサイトがEUの人々にサービスを提供していて、あなた（またはGoogleやFacebookなどの組み込みサードパーティサービス）があらゆる種類の個人データを処理する場合は、訪問者から事前の同意を得る必要があります。

有効な同意を得るには、個人データを処理する前に、データ処理の範囲と目的を平易な言葉で訪問者に説明する必要があります。

この情報は、訪問者がいつでも利用できる必要があります。プライバシーポリシーの一部として。また、訪問者が同意を変更または取り消すための簡単な方法を提供する必要があります。

すべての同意は証拠として記録する必要があり、個人データの監視、および統合されたサードパーティサービスによる監視は、送信される国のデータに基づいて文書化する必要があります。

データ保護法の改革に関するEU情報ページを参照してください。

個人データの定義は何ですか？

GDPRでは、個人データを「識別可能または識別可能な自然人（「データ主体」）に関連する情報と定義しています。識別可能な自然人とは、名前、識別番号などの識別子で直接的または間接的に識別できる情報です。、位置データ、インターネット識別子、またはその自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的、または社会的アイデンティティに関連する1つ以上の要因。「」

IPアドレスなどのインターネットIDは、匿名でない限り、個人データと見なされるようになりました。

リバースエンジニアリングでニックネームが属するデータを識別できる場合、ニックネームもGDPRの対象となります。

GDPRの実施日：2018年5月25日

EUデータ保護改革は、2016年4月27日に欧州議会と欧州理事会によって承認されました。欧州データ保護規則は2018年5月25日から適用され、データ保護指令に取って代わります。

GDPRの罰金と罰則

コンプライアンス違反のリスクが発生した場合のエージェンシーは、最大2,000万ユーロまたはエージェンシーのグローバル年間売上高の4%のいずれか高い方の罰金を科されます。

GDPRチェックリスト：私がしなければならない6つのこと

1.あなたの体を準備します：

組織全体の利害関係者にGDPR要件を紹介します。サイバーセキュリティスタッフ、設計ベースのプライバシー、およびプライバシーベースの原則に関するトレーニングを実施します。必要に応じて、つまり250人以上が雇用されている場合は、データ保護責任者（DPO）を指名してください。

2.データを確認します。

すべてのデータがどこにあり、誰がアクセスでき、どのデバイスにアクセスできるかを確認してください。サードパーティのプロセッサからのものを含め、個人データが処理される場所を決定します。法的手続きの理由を文書化し、現在のプライバシーポリシーを更新します。

3.監査パートナー：

サービスパートナー、つまり、サイト上のサードパーティの組み込みサービスまたはサービスとしてのソフトウェアプロバイダーも、GDPRに準拠しているか、公式のデータペナルティの下にあることを確認してください。彼らの国際的なデータストリームをチェックしてマッピングします。

4.同意を得る：

同意を求め、取得し、記録する方法を適用して、コンプライアンスを確保します。個々のデータ主体が同意する内容を明確に記録し、同意を取り消すまたは変更するためのデータ主体オプションを提供します。

5.データの権利への対応：

組織がデータアクセス、修正、削除などのデータ主体の権利に対応できるようにする手順を実装します。それらが顧客と従業員の両方によってどのように実践されるかを文書化します。

6.データ侵害に備える：

GDPRに通知するための72時間の制限時間内に個人データの侵害を検出、調査、報告するための手順が整っていることを確認します。

GDPRへの準拠と要件

コース、トレーニング、GDPR認定：

EU GDPR財団（EU GDPR F）およびEU GDPRプラクティショナー（EU GDPR P）（両方ともISO 17024認定）の資格は、さまざまなコースで取得できます。 ITガバナンス。 International Association of Privacy Professionals（IAPP）もオンライントレーニングを提供しています。