GDPRの管理方法
EU GDPRは、2018年5月25日に施行された包括的なプライバシー規則です。私たちは、GDPRイニシアチブを管理するだけでなく、Zonosを使用するすべての人にプライバシーに焦点を当てるために、技術内に更新を行いました。
Zonosは、ショッパーと商人が自分のデータとプロセスを管理できるようにする業界をリードするプライバシー技術を提供し、EU GDPRの枠組みを満たしています。
Zonosのビジネスに対する目標は次のとおりです:
- 国境を越えた取引を解読する手助けをする。
- グローバルサプライチェーンを管理するためのコントロールを提供する。
- 国際的なバイヤーに対して安全で素晴らしい体験を提供する。
GDPRの主要な指令項目
罰金
罰金は、GDPR違反に対して年間全世界の売上高の4%または2000万ユーロに達する可能性があります。これは、データ処理に対する顧客の同意が不十分である場合や「プライバシー・バイ・デザイン」の概念の核心を侵害する場合など、最も深刻な違反に対して科される最大の罰金です。
個人データの定義
個人データとは、名前、写真、メールアドレス、銀行情報、ソーシャルネットワーキングサイトへの投稿、医療情報、またはコンピュータのIPアドレスなど、直接的または間接的に個人を特定できる情報のことです。
同意
同意は、データ処理の目的が付随した理解しやすくアクセスしやすい形で与えられなければなりません。同意は明確で、容易に識別可能であり、clearで理解しやすい言葉を使用しなければなりません。また、同意を与えるのと同じくらい簡単に同意を撤回できる必要があります。敏感な個人データを処理する場合、「オプトイン」以外は不十分です。
データ主体が16歳未満の場合、子供の個人データを処理するには親の同意が必要です。メンバー国は親の同意年齢を引き下げることができますが、13歳未満にはできません。
データ保護責任者(DPO)
DPOは、(a) 公的機関、(b) 大規模またはビッグデータの体系的監視を行う組織、または (c) 敏感な個人データの大量処理に参加する組織の場合に任命されなければなりません(第37条)。あなたの組織がこれらのカテゴリに該当しない場合、DPOを任命する必要はありません。
データ主体の権利
違反通知
GDPRの下では、データ侵害が「個人の権利と自由にリスクをもたらす可能性がある」場合、違反通知はすべてのメンバー国で義務化されます。通知は、違反を認識してから72時間以内に行わなければなりません。データ処理者は、データ侵害を最初に認識した後、「遅滞なく」コントローラーに通知する必要があります。
アクセス権
データ主体は、データコントローラーから自分に関する個人データが処理されたかどうか、どこで、何の目的で処理されたかの確認を得る権利があります。データコントローラーは、個人データのコピーを無償で電子フォーマットで提供しなければなりません。
忘れられる権利
データ消去として知られる忘れられる権利は、データ主体がデータコントローラーに自分の個人データを消去し、データのさらなる配布を停止し、第三者にデータの処理を停止させる権利を与えます。データは、処理の元の目的に関連しなくなった場合や、データ主体が同意を撤回した場合に消去されるべきです。この権利は、コントローラーがそのような要求を考慮する際に「データの利用可能性に関する公共の利益」とデータ主体の権利を比較することを要求します。
データの移植性
データ主体は、自分に関する個人データを「一般的に使用され、機械可読な形式」で受け取り、そのデータを別のコントローラーに転送する権利があります。
プライバシー・バイ・デザイン
データプライバシーは、コントローラーとプロセッサーがデータ主体の情報を管理するために使用する技術システムの中心にあるべきであり、単なる付加物ではありません。
データ主体情報
データが収集される際にデータ主体に提供されなければならない情報は明確に定義されており、以下を含みます:
- コントローラーとDPOの身元および連絡先
- 処理の目的、個人データが意図される目的
- 処理の法的根拠
- 該当する場合、コントローラーまたは第三者が追求する正当な利益
- 該当する場合、個人データの受取人または受取人のカテゴリ
- 個人データが保存される期間、または不可能な場合はこの期間を決定するために使用される基準
- 個人データにアクセス、訂正、または消去する権利の存在
- データの移植性の権利
- いつでも同意を撤回する権利
- 監督当局に苦情を申し立てる権利
重要なのは、データがデータ主体から直接取得されていない場合(おそらく第三者リストを使用している場合)、リストは異なり、個人データの出所を含みます:
- プロファイリングの存在と、関与する論理に関する重要な情報、およびその処理がデータ主体に与える重要性と予想される結果。
- GDPRは、第三者リストからデータを取得するマーケターにとって重大な問題を表しています。
正当な利益
GDPR規則の第6条は、データ収集者がデータを合法的に処理できるのは、他の条件の中で正当な利益または同意がある場合のみであると述べています。正当な利益があるかどうかを判断するには、収集しているデータの期待と文脈を「慎重に評価」する必要があります。
同意の必要性を克服するために正当な利益を広く解釈することは魅力的ですが、データ収集を正当化する方法としてオープンエンドの正当な利益の見解を使用することはお勧めしません。GDPRは、詐欺防止、従業員およびクライアントに関連する内部管理目的、ネットワークセキュリティ、公共の安全に対する可能性のある犯罪活動や脅威の報告など、いくつかの例を提供しています。
正当な利益にはまだグレーゾーンがあり、その定義は時間とともに明確になるでしょう。短期的な推奨事項は、「個人データを処理せずに同じ目的を達成できるか?」と尋ねる習慣を身につけることです。答えが「はい」の場合、データ処理の基盤として正当な利益から離れるのが最善の方法です。あなたは同意を得るべきです。
推奨事項
Zonosは、EUのGDPRに準拠するために以下を推奨します:
GDPR遵守のためのステップ
- GDPR遵守のための積極的な計画を立てる。
- プライバシー通知とポリシーを見直し、GDPR遵守レベルを満たしていることを確認する。
- セキュリティ侵害が発生した場合の計画を準備する。
- 同意を監査する。
- マーケティングの同意をオプトインにする。
- 購入者のデータを処理・管理するために、指令の正当な利益部分を法務顧問と見直し、組織がカバーされていることを確認する。
- 個人データの使用に関する同意の言語を見つけやすく、読みやすくする。
- データ主体からのデータ使用に関するリクエストに対するアクションプランを作成する。
- 自らの遵守に責任を持つ。
- 従業員を訓練する。
- clearなプロセスを整備し、文書化し、監査する。
- 必要に応じてDPOを任命する。
- コントローラー/処理パートナーが遵守していることを確認する。
よくある質問
これは誰に影響しますか?
GDPRは、EU内外に所在する組織、コントローラー、およびプロセッサーに適用され、EUデータ主体に商品やサービスを提供する場合に該当します。GDPRは、マーケティング組織やEU主体の行動を監視するデータを供給または使用する組織にも適用されます。
コントローラーとプロセッサーの違いは何ですか?
コントローラーは、個人データの処理の目的、条件、および手段を決定し、プロセッサーはコントローラーの代理として個人データを処理します。
EU GDPR
ZonosがEU GDPRイニシアチブを管理する方法を学ぶ。データ保護は、日常のビジネスにおいて重要性を増しています。一般データ保護規則(GDPR)イニシアチブは、市場における最初のプライバシーイニシアチブではありませんが、これまでのところ、個人のデータとそのデータ権利の理解と管理において最も重要な推進力となっています。
EUは、メンバー国に対して罰金を科すことを許可しており、GDPR違反に対しては年間全世界の売上高の最大4%または2000万ユーロの罰金が科される可能性があります。この指令は、管理の容易さと「ワンストップショップ」の提供を求めています。