GDPRの概要:何が変わっているのか?

公開: 2018-02-15

新しい欧州一般データ保護規則(GDPR)は、2018年5月25日に発効します。これには、個人データの処理方法の根本的な変更が含まれています。 新しいデータ規制は、世界で最も厳しいデータプライバシー法の1つになります。 インターネット全体で、このトピックに関する豊富な情報、解釈、および声明があります。 ここでは、あなたにとって最も重要なポイントを要約しました。

1.個人データの定義

GDPRは、個人データの概念を再定義します。 GDPRによると、次のデータは個人として分類されます。

直接の個人データ

  • フルネーム
  • IDまたは社会保障番号
  • 生体認証データ(指紋など)
  • 電子メールアドレス
  • 住所
  • 電話番号
  • 誕生日
  • ログインとオンライン識別子

間接的な個人データ

  • 経済データ(例:口座番号、クレジットカード番号など)
  • IPアドレス
  • 文化的および社会的データ
  • 個人にまでさかのぼることができる場合は、身体的、遺伝的、精神的なデータ。
  • 疑似匿名化が不十分なデータ
  • ジオロケーションデータ

明らかに非個人データは、他のデータソースと組み合わせることで、場合によっては個人を明確に識別できることに注意してください。 たとえば、性別と郵便番号の組み合わせにより、個人が一意に識別される可能性があります。 したがって、これらも個人データとして解釈する必要があります。

2.役割の定義

GDRPは、データ保護に関して次の3つの役割を定義しています。

データ-件名:

GDPRは、個人データの管理をいわゆる「データ主体」の手に戻します。 GDPRの場合、これは自然人または個人、より正確には欧州市民です。

データコントローラー:

データ管理者とは、個人データの収集および処理の目的を単独でまたは他者と共同で決定する、政府機関、公的機関、またはその他の機関などの自然人または法人です。 ウェブサイトの場合、これはウェブサイト運営者です。

データプロセッサ:

データ処理者は、データ管理者に代わって個人データを処理する自然人または法人です。 たとえば、これは次のようになります。サービスプロバイダー、代理店、マーケティングツール、ビジネスパートナーなど。

GDPRの新機能は、データ処理者とデータ管理者の両方が考慮され、法的に起訴できることです。 GDPRはEU市民からの個人情報の収集と処理を規制していますが、EU市民に関するデータを収集する場合、これはEU外のデータ管理者とデータ処理者にも影響を与えることに注意することも重要です。

3.データ管理者およびデータ処理者の主な義務

  • 設計およびデフォルトでの個人データの保護。
  • 個人情報の収集、保管、および処理は、明確で理解しやすい方法で伝達する必要があります。
  • データ主体の明示的な同意がある場合にのみ、個人データを保存および処理する義務。
  • 個人データを操作、盗難、不正アクセスから保護する義務。
  • データ保護責任者を任命する義務(EUでの事業活動のため)。
  • データ漏えいを当局に報告し、関係者に通知する義務。
  • 要求に応じて(最大30日まで)保存されたデータに関する情報をデータ主体に提供する義務。
  • 要求に応じてデータを完全に削除、匿名化、または破棄できるようにする義務。
  • データベースを最新の状態に保つ義務(これは、いわば自動有効期限につながります)。
  • 非常に機密性の高いデータに対してDPIA(データ保護影響評価)を実施する義務。
  • データ漏えいが発生した場合に従うべきプロセスを定義する義務。
  • 他の国、特にEU外へのデータ転送についてデータ主体に通知する義務。
  • データ主体が同意した目的でのみデータを使用する義務。
  • すべての個人データの出所を知る義務。

4.データ主体の適切な権利

  • 個人データの使用に関する情報とコミュニケーションを透明にする権利
  • 個人データがいつ収集および処理されるかを知る権利
  • 保存されたデータを検査する権利
  • データを修正する権利
  • データを削除する権利(忘れられる権利)
  • データの処理/使用を禁止する権利
  • ポータブル形式でデータを受信する権利
  • 異議を申し立てる権利(たとえば、後日)
  • 法的な結果が生じた場合(たとえば、保険に加入したり、クレジットカードを申請したりする場合)、同意なしにデータが自動的に処理されない権利。
  • 権利の制限:「より高い法律」がある場合は常に、データ主体の権利を制限します。 (たとえば、請求書と契約の保持期間、国家安全保障、警察の調査など)

5. E-プライバシー指令(別名Cookie-Law)

上記の義務と権利がGDPRに完全に準拠して適用される場合、個人データの収集と処理は同意なしに禁止されます。 これは、とりわけクッキーも禁止します。 ただし、 e-プライバシー2002に関する現在の欧州指令(e-プライバシー指令、Cookie-Law)は、Webサイトのパフォーマンスを操作および測定し、オンラインサービスを改善するためにCookieを使用することが非常に重要であることを認識しています。 したがって、このデータの処理について暗黙の同意を得ることが許可されています。 これは、多くのWebサイトの「Cookieバナー」によって長年考慮されてきました。 GDPRは既存のe-プライバシー指令に代わるものではないため、これは引き続き有効です。 ただし、現在改訂中であり、2018年に新バージョンがリリースされる予定です。内容に関しては、上記のCookieの使用は、暗黙の同意により引き続き許可される可能性があります。 ただし、これは、リターゲティングに使用できるマーケティングCookieには適用されません。

ご覧のとおり、 GDPRには多くの新しい開発、義務、権利があります。 重大な罰金が科せられる恐れがあるため、ウェブサイトとオンラインチャネルでGDPRに準拠しているかどうかを確認することを強くお勧めします。 GDPRへの準拠をサポートできます。 GDPR-コンプライアンス-監査の個別見積もりを今すぐリクエストしてください。

新しいプライバシーポリシーについてご不明な点がございましたら、メールでお問い合わせください。