コンテンツ
出典:Stanislau V / Dreamstime.com
取り除く:
あなたの会社がEUに拠点を置いていないからといって、GDPRがあなたに適用されないわけではありません。 EU市民のデータを処理するすべてのエンティティは、この規制の対象となります。
多くの人が「GDPR」という頭字語について少し耳を傾けていますが、規制を理解していないか、EUの法律であるため組織に適用されないと感じています。驚くべきことに、EU内に拠点や提携がなくても、ここ米国の企業は、違反した場合に多額の罰金の対象となる場合があります。
評判を損なうリスクに加えて、GDPRに違反すると、重大な財政的影響が生じる可能性があります。データ保護監督当局は、最高2,000万ユーロ、または全世界売上高の4%の行政罰金を科す場合があります。これは懸念を引き起こし、GDPRコンプライアンスを組織のリーダーシップにとって最も重要なものにする必要があります。 (GDPRに準拠していない場合も、サイバー犯罪の標的となる可能性があります。サイバー犯罪者が企業を強要するためにGDPRを活用する方法の詳細をご覧ください。)
どこに適用され、どのような影響がありますか?
2018年5月25日に欧州連合によって施行された一般データ保護規則(GDPR)は、組織が個人データの処理に関する個人のプライバシー権を適切に保護するように設計されています。これは、20年以上にわたるEUのデータプライバシーの最も大きな変化です。
GDPRは、EUに事業所を持つすべての組織に適用されますが、EUデータ保護体制の領土範囲の大幅な拡大を示します。この領域外リーチは、企業が次の条件の1つ以上を満たす場合にトリガーされます。
- 商品やサービスはEU市民に提供されます
- EU市民の行動は監視されています(たとえば、WebサイトでCookieを使用して)
- 個人データは、EU内の施設(例:関連会社)の詐欺で処理されます
企業はGDPRのコンプライアンスをどのように実証しますか?
GDPRは、すべての組織が個人データを処理する際に従う必要がある7つの主要な原則を定めています。
説明責任は、GDPRで最も重要な新しい要件の1つです。説明責任とは、組織がGDPRに準拠できることを示す必要があることを意味します。企業は、以下を含む説明責任の要件を満たすためにコンプライアンスを実証できなければなりません。
- 必要に応じて、データ保護担当者または現地代理人を任命する
- データ処理活動の記録の完成と維持
- 適切なレベルのデータセキュリティを評価し、適切な技術的および組織的なセキュリティ対策を実装する
- 設計およびデフォルトでデータ保護を実装し、実施した対策を文書化します。必要に応じて、データ保護の影響評価を実施する
個人のデータプライバシー権を保護することです。
GDPRは、「データ主体」を「特定された、または特定可能な自然人」と定義しています。言い換えると、従業員、顧客、サプライヤー、またはビジネスおよび/または運営に関連して企業が情報を収集する企業またはその他の人物であるEU市民です。 GDPRは、そのデータ主体に対する特定の権利も明記しています。
組織には、上記の権利に関するデータ主体の要求(DSR)に対応するための手順が整っている必要があります。法的根拠、データ処理、またはその他の要因によって、組織がDSRにどのように対応するかが決まるため、GDPRに関する専門知識を持つ法律専門家と相談することが不可欠です。 (GDPRでは、顧客データの保護が最重要です。詳細は、顧客データは本当に安全ですか?どのように公開するかをご覧ください。)