GDPR (一般データプライバシー規則) 途中です, EUの置き換え 1995 データ保護指令, そしてそれは個人情報の世界を永久に変えるでしょう. 正確に何が変わるのか、そして私たちのデータを扱う企業はどのように調整するのか? GDPRに関して求められるべき多くの答えがあります, 特に事業主のために, ヨーロッパ全体とその国境を越えて. 言い換えると, から 25 5月 2018 今後、組織による個人データの全体的な処理は、新しい一般データ保護規則に準拠する必要があります.
個人データとは?
ビジネス辞書によると, 個人情報は:
個人を含む可能性のある識別可能な個人に関する記録された情報 (1) 名前, 住所, 電子メールアドレス, 電話番号, (2) 人種, 国籍, 民族性, 元, 色, 宗教的または政治的信念または団体, (3) 年, セックス, 性的指向, 配偶者の有無, 家族の地位, (4) 識別番号, コード, シンボル, (5) 指紋, 血液型, 継承された特性, (6) 身体的/精神的障害に関する情報を含む医療歴, (7) 教育, 金融, 犯罪的, 雇用歴, (8) その他’ 個人についての意見, と (9) 他の個人に関するものを除く個人的な見解.
GDPRポリシーとは?
GDPR規制は、欧州連合で何年にもわたって準備されてきた一連のポリシーです. 本質的に、それらは既存のデータ保護指令の完全な見直しであり、それらの主な目標は、加盟国全体で個人データに関する法律を調和させることです。. その作成の背後にある国会議員によると, 新しいメカニズムは、組合全体のデータの管理を強化するのに役立ちます. 規則が最終的に承認されたとき、討論と準備は終了しました 14 4月 2016. 合意された施行日は 25 5月 2018 新しいルールが必須になる時期.
関連記事: GDPR規制とは何ですか?インターネットユーザーにどのように影響しますか
提案された変更とその後の影響により、最終的には企業と政府機関の両方が個人の情報を処理する方法が変わります。. 加盟国の現在のデータプライバシー法に影響を与える多くの主要な変更があります, 養子縁組プロセスが発生している間. 政治家とプライバシーの専門家の両方が、これが最大の変化の1つであると述べています, 単一の最大の変化ではない場合, 過去20年間. 現在の法律が提案され、受け入れられたとき, 別の種類の組織と業界が存在しました. 今日、ますます多くの人々とクライアントデバイスが個人情報の収集と行列に関与するようになります, 彼らの虐待の可能性もそうです.
GDPR規制と以前のデータプライバシー法には重要な違いがあります. 本質的に、GDPRは規制として書かれています—拘束力のある立法行為. 法律により、欧州連合全体に完全に適用する必要があります. それが置き換える以前のデータプライバシー行為は、必須ではなく、単に個々の国が達成しなければならない目標を設定する指令として定義されています.
データ保護の考え方は新しいものではありません. 実際には, データ法は世界初の国内データ保護法です, スウェーデンで制定された 11 5月 1973. このデータ保護法は 1 7月 1974, 個人データを処理する情報システムに必要なスウェーデンデータ保護局によるライセンス.
もう1つの例は、データ保護法です。 1998 英国議会制定法で承認されました, コンピュータや紙のファイリングシステムに保存されている個人データを保護するように設計されています. この法律は、EUデータ保護指令に準拠しています 1995 , これは、個人が自分自身に関する情報を管理する法的権利を持っていることを示しています.
アメリカも, シングルはありません, 包括的な連邦 (全国) 個人データの収集と使用を規制する法律, トムソン・ロイターの実務法務による説明.
でも, 各議会の用語は、連邦レベルで法律を標準化するための提案をもたらします. その代わり, 米国には、連邦および州の法律と規制のパッチワークシステムがあり、重複する場合があります, ダブテールと矛盾. 加えて, 多くのガイドラインがあります, 法の力を持たない政府機関や業界団体によって開発された, しかし、考慮されている自主規制のガイドラインとフレームワークの一部です “ベストプラクティス”. これらの自主規制の枠組みには、規制当局による執行のためのツールとしてますます使用されている説明責任と執行の要素があります。.
関連記事: 新しい一般データ保護規則 (GDPR) ブレグジットに直面して
企業はGDPRの下でデータをどのように扱うか?
初めに, EU市民のデータを処理および保存している企業は、その必要性を再評価する必要があります. 続行すると, EU市民のデータに関するこれらのプロセスは、GDPRへの準拠に完全に従う必要があります.
IBMの研究者によって実施されたまったく新しい研究により、 60 調査対象の組織の割合は、GDPRをプライバシーを改善するチャンスとして扱っています, 安全, およびデータ管理. 新しい規制は、新しいビジネスモデルの触媒として広く受け入れられています, 単なるコンプライアンスの問題や障害ではなく. 彼らの露出を減らすために, ほとんどの企業は、収集および管理するデータをより選択的かつ慎重にしています, と 70 コンプライアンスの期限前にデータを廃棄する割合.
IBMのビジネス価値研究所 (IBV) 少なくとも近づいた 1,500 グローバル規模で組織のGDPRコンプライアンスを担当するビジネスリーダー, 研究者は報告した. IBMの調査結果は、次のことを明らかにしています。:
– 84 GDPRコンプライアンスの証明は、一般の人々にとって前向きな差別化要因と見なされるとパーセントは考えています
– 76 パーセントは、GDPRにより、新しいビジネスチャンスを生み出すデータ主体とのより信頼できる関係が可能になると述べました
– この機会にもかかわらず, それだけ 36 パーセントは、5月までにGDPRに完全に準拠すると考えています 25 締め切り.
シンディコンパートによると, CTO, データセキュリティ & IBMセキュリティーでのプライバシー, 「「GDPRは、業界全体のビジネスモデルに影響を与える最大の破壊的要因の1つであり、その範囲はEUの国境をはるかに超えています。」.
「GDPRの開始は、個人データを保護する企業の能力に対する消費者の大きな不信の時期にも起こります。. これらの要因が合わさって、企業がデータ責任へのアプローチを再考し、今日のデータ主導型経済に必要な信頼を回復し始めるための最悪の状況を生み出しました。.」
要するに, GDPRの下で, 組織は実装する必要があります データ保護の原則, 技術的および組織的対策と同様に, ユーザーのプライバシーとプライバシーに対するユーザーの権利を保護することを唯一の目的として. 今後の規制の対象となる組織は、包括的なプライバシー保護を呼び出す必要があります, 一方、システムと手順がデータセキュリティのニーズを厳密に遵守していることを確認します.
関連記事: で知っておくべきデータセキュリティのヒントと落とし穴 2018
GDPRに基づくデータセキュリティ
専門家は、GDPR遵守に向けて取るべき手順を示す短いチェックリストをまとめた。:
1.あなたのデータを知る
2.優れたリスク管理を行う
3.包括的なポリシーと手順を実装する
4.適切で効果的なコントロールを実装する
5.効果的なインシデント対応手順を用意する
実際、これらの手順は、組織が実施する必要のあるサイバーセキュリティ戦略と関係があります。. 組織の一般的なセキュリティ状態にリスクベースのアプローチを取りましょう. このアプローチは、GDPRとサイバーセキュリティ戦略の両方にとって非常に重要です.
すなわち, 論文 32 GDPRでは、実施される対策はリスクに応じたセキュリティレベルを確保する必要があると規定されている。:
最先端の技術を考慮に入れる, 実装のコストと性質, 範囲, 処理のコンテキストと目的、および自然人の権利と自由の可能性と重大度が変化するリスク, 管理者と処理者は、リスクに適切なレベルのセキュリティを確保するために、適切な技術的および組織的対策を実施するものとします。 […].
消去する権利, または忘れられる権利
いわゆる「忘れられる権利」は、EUプライバシードメインに 2014 GDPRの前身の下でのEU司法裁判所の判決 (指令95/46/EC), ケースCの場合 131/12, Googleが関与する場合. 判決は、検索エンジンによるリンクの削除を要求するEUデータ主体の権利を特定しました, またはデータコントローラー. 忘れられる権利は現在、消去する権利であり、GDPRの一部です。この権利は、GDPRの基本的なデータ主体の権利です。, 公開されている個人情報のコンテキスト内外の両方.
GDPRが実質的に行っていることは、忘れられる権利の範囲を拡大することです, それを基本的なデータ主体の権利にし、EU市民が権利を行使できるようにするためにデータ管理者を要求する.
公式用語で, 消去する権利により、データ主体は、過度の遅延なしに、管理者から彼または彼女に関する個人データの消去を取得することができます。, 管理者は、過度の遅延なしに個人データを消去する義務を負うものとします。.
でも, 注意すべきこと, ほとんどの権利で起こるように, それを消去する権利は絶対的ではありません. GDPRリサイタル 65 特に、データ主体の個人データを修正する権利と、個人データの保持がGDPRの規定または管理者が従う別の法律に違反する場合に忘れられる権利を対象としています。.
組織は常にユーザーの要求に応じて個人データを消去する必要がありますか?
GDPRは、個人がデータの削除を要求する権利を与えており、組織はこれに準拠する必要があります, ただし、以下の場合は除く:
– 言論の自由の権利を行使するためには、特定の会社が保有する個人データが必要です。;
– そのデータを保持する法的義務があります;
– 公益の理由で (たとえば公衆衛生, 科学的, 統計的または歴史的研究目的).
関連記事: 心配する: FacebookはAndroidデバイス上のSMSと通話データをスクレイプしました
GDPRに基づくユーザーの同意: コンプライアンス
データ管理者がデータを使用する方法がGDPRに準拠していることを確認することは、最優先事項です. 規制が明確に見えるかもしれません, しかし実際には、コンプライアンスを複雑にし、さらに混乱させる多くのベクトルがあります.
一つのために, GDPRでは、データの収集と処理を特定の用途に関連付ける必要があります. でも, これは、規制で要求される単純な意味で常に可能であるとは限りません。. ある目的のために収集されたデータがさまざまなニーズに対応するために使用される可能性があることは既知の事実です. これは私たちが住んでいる相互接続された世界では避けられません, 企業がますます多くのデータを収集する場所, このデータは他のデータセットに追加されることがよくあります. GDPRは、組織およびデータ管理者に対して、最初に同意された特定の目的と常に一致していることを要求します.
Snow Plow Analyticsが指摘したように, これの多くは解釈の対象となります:
特にマーケティングの専門家向け, GDPRで概説されている合法的な理由から、同意がデータ収集の最も重要な基盤になる可能性があります, マーケティングに個人データを使用することが他のどの企業よりも正当化される方法を理解するのは難しいためです。. EUGDPRのウェブサイトに記載されているとおり, 同意を得て合法的にデータを収集するには、, 「データ主体は、1つまたは複数の特定の目的のために彼または彼女の個人データを処理することに同意しました。」
GDPRとFacebook
4月中, ロイターは、Facebookが利用規約を変更して 1.5 ヨーロッパ以外の10億人のユーザーはプライバシー法の対象ではなくなります. 今まで, 米国およびカナダ以外のすべてのユーザーは、アイルランドにある同社の国際本部に準拠した利用規約に準拠しています。. アイルランドで処理されるユーザーデータはGDPRの保護下に置かれようとしているため, Facebookはアフリカのユーザーが, アジア, オーストラリアとラテンアメリカは、より寛容な米国のプライバシー法に準拠しています。.
まだ, FacebookがGDPRに準拠する必要があるベクトルがあります. 収集するデータの量を減らす代わりに, ソーシャルプラットフォームは、データ収集の実践についてユーザーの同意を得ることに焦点を当てています, 生体認証データを含む.
Facebookは、各タイプのデータがどのように使用されるかを明示的に概説する一連の同意要求を作成しました, ロイターは言った. プラットフォームは、ユーザーがオプトインするよりもオプトアウトするのが難しいようにこれらのリクエストを設計していることに注意してください。.
関連記事: Facebookでのあなたのプライバシー-すべてのトラブルの転換点
GDPR: 決定的な考え
手短に, EUに続く 1995 データ保護指令, GDPRは、EUの法制度におけるデータ保護問題へのより洗練されたアプローチを表しています. 今後の規制は、EU市民の個人データの処理に関与する組織によって承認される必要があります. 言い換えると, GDPRは、EU市民の個人データを使用して運営されているすべてのグローバル組織に適用されます.
必ずお読みください ウェブサイトをGDPRに準拠させるための究極のガイド.