The GDPR (の略 一般データ保護規則) ルールは2か月後に発効します. 私たちの記事は、世界中のコンピューターユーザーにとってそれらが何を意味するのか、そして規制がIT業界全体にどのように影響するのかを明らかにしています. それについてもっと学ぶために読み続けてください.
GDPRポリシーとは?
GDPR規制は、欧州連合で何年にもわたって準備されてきた一連のポリシーです. 本質的に、それらは既存のデータ保護指令の完全な見直しであり、それらの主な目標は、加盟国全体で個人データに関する法律を調和させることです。. その作成の背後にある国会議員によると、新しいメカニズムは、組合全体のデータの管理を強化するのに役立ちます. 規則が最終的に承認されたとき、討論と準備は終了しました 14 4月 2016. 合意された施行日は 25 5月 2018 新しいルールが必須になる場所.
提案された変更とその後の影響により、最終的には、企業と政府機関の両方が訪問者とクライアントの情報を処理する方法が変わります。. 養子縁組プロセスが実行されるにつれて、加盟国の現在のデータプライバシー法に影響を与える多くの主要な変更があります. 政治家と専門家の両方が、これは20年で起こった最大の変化の1つであると述べています. 現在の法律が提案され、受け入れられたとき、異なるタイプの組織と業界が存在していました. 今日、ますます多くの人々とクライアントデバイスが個人情報の収集と行列に関与するようになります, 彼らの虐待の可能性もそうです.
GDPR規制と以前のデータプライバシー法には重要な違いがあります. 本来、GDPRは次のように記述されます 規制 —拘束力のある立法行為. 法律により、欧州連合全体に完全に適用する必要があります. それが置き換える以前のデータプライバシー行為は、必須ではなく、単に個々の国が達成しなければならない目標を設定する指令として定義されています.
今後のGDPR規制の変更
GDPR規制は、以前のプライバシー保護規則と比較して、その領域の範囲を劇的に拡大するように設定されています. この特徴的な部分は、 治外法権の適用性 EU議会によって定義された機能. この要件は、GDPRの現在拡張されている管轄区域に由来します. 現在、この規制は、EUに居住するデータ主体の個人データを処理する組合を運営するすべての企業に適用されます。. ここで重要な条件は ルールは会社の場所に関係なく適用されます. 以前のルールは、次のように述べてデータプロセスを考慮していました “設立の文脈で”. これは、サーバーが組合の外にある場合でも、ルールが概説された会社に影響を与えることを意味します. EUの顧客の個人データを処理する企業は、EUの代表者を任命する必要があります.
新しいルールのもう1つの重要な側面は、変更された同意条件です。. 企業は、長くて判読できないプライバシーポリシーと利用規約を顧客に提示できなくなります。. 同意の要求は、法律により、簡単にアクセスできる方法で行われることが義務付けられています. 新しい要件は、実際のデータ処理の目的を明確に表示することです。. クライアントには、同意を取り消すための簡単なメカニズムも提供する必要があります.
そのことに注意することが重要です 個人データ GDPR規制によって非常に明確に定義されています. それを構成する2つの主な条件があります:
- 所持 — データ主体 (自然人/EU市民) 個人情報の作成者および所有者として定義されます.
- 自然と能力 —プライベートデータは任意の情報として定義されます (文字列または値) 人の身元を間接的または直接的に公開するために使用できます. 例にはそれらの名前が含まれます, 写真, 住所, Eメール, 銀行の詳細, ソーシャルネットワーキングの投稿, 医療情報, IPアドレス, 場所など.
これに加えて、年齢未満の人々のデータの処理には特定の条件があります 16. 企業や政府機関は、以下の年齢未満のすべての子供と市民の親の同意を得るために取得する必要があります 16 オンラインサービスの場合. 加盟国はより低い年齢のために立法するかもしれませんが、それは年齢より低くすることはできません 13.
GDPR規制によって定義されている2つの特徴的なユーザーグループがあります:
- データプロセッサ —これはプライベートデータの収集と行列の目的を決定するエンティティです.
- データプロセッサ —プロセッサは、コントローラに代わって個人データを処理するエンティティです.
規制に違反したGDPR準拠の組織は、罰金を科せられる可能性があります $% 年間世界売上高または2,000万ユーロ – どちらか大きい方. これは、重大な違反が発見された場合に課せられる可能性のある最高の罰金です。. 新しい規制は、 階層型アプローチ 経済制裁に. 会社は罰金を科せられる 2% 必要な記録がない場合、または違反について当局に通知していない場合の年間グローバル売上高. ルールはデータプロセッサとコントローラの両方に適用されます. 結果として クラウドサービスはGDPRの施行から免除されません.
GDPRデータ主体の権利
GDPR規制で定義されているデータ主体にも特定の権利が与えられています. ポリシーはそれを規制します 違反通知は必須になります EU全体で. このようなアクションは、インシデントが発生する可能性が高いすべての場合に必要です。 “個人の権利と自由に対するリスク“. 時間枠が設定されています—通知は内に行われなければなりません 72 発見の時間.
データ主体の拡張された権利には、個人データが処理されているかどうかをデータ管理者から確認する権利も含まれます。. これには、肯定的または否定的な反応だけでなく、, だけでなく、プロセスの目的と手段を含む詳細なレポート. 管理者は、要求に応じて、取得したすべての個人データのコピーを電子形式で無料で提示する必要があります.
データ消去 を有効にします 忘れられる権利 これはデータ主体の要求です (市民) 個人データの削除のためにデータ管理者に, だけでなく、さらなる普及 (分布) それと第三者へのアクセスが取り消された. このための条件は、法律で明確に概説されており、行列の本来の目的および撤回された同意にもはや関連しないデータの定式化が含まれています. 同意は、管理者が以下に従って被験者の権利を比較することを条件として承認されます。 “データの入手可能性に対する公益”.
規則はまたの概念を導入します データの移植性 これは、データ主体が以前に特定の形式で提供した個人データを受け取る権利です。. 規制によって定義されているこれは “一般的に使用され、機械可読形式“. データ主体は、この情報を別のデータ管理者に送信する権利も受け取ります. これは、Webサービスが提供されたデータを共通の形式で保存するデータベースを利用するという事実に関連しています. 要求に応じて、市民は自分のデータのコピーを入手できるようになります.
GDPRのおかげで法的要件の一部にならないもう1つの概念は、 プライバシーバイデザイン. 結果として、データ保護はコアコンポーネントとしてシステムの設計に含まれます. データ管理者は、GDPR規制を満たすために、すべてのWebサービスとコンピューターアプリケーションに効果的な技術的および組織的対策を実装する必要があります. 法律の記事の一部では、管理者はサービスの義務を完了するために絶対に必要なデータのみを保持および処理する必要があると規定されています. 第三者への個人データへのアクセスは絶対に制限する必要があります.
データ保護責任者 (DPO) 規則
現時点では、データ管理者はすべてのデータ処理活動を地域のデータ保護当局に通知する必要があります. いくつかの国で事業を行っている多国籍企業の場合、これを実装するのは非常に難しい場合があります. これは、事実上すべての加盟国がさまざまな通知要件を実装しているという事実によるものです. GDPRの規定に従うことで、各ローカルDPAに通知を送信する必要がなくなります. 法律はまた、関係当局に通知したり、モデル契約条項に基づいて譲渡の承認を得たりしないという要件を削除します (MCC).
これの代わりに、新しいメカニズムは、内部記録保持要件の調整を義務付けています。 データ保護責任者 (DPO). 彼らは、主な活動が何らかの処理操作で構成されているコントローラーとプロセッサーにのみ必須である予約によって活動を実装する必要があります. 定期的かつ体系的な監視が必要な場合 大規模な個人データ また 特別なカテゴリのデータ. データ保護責任者は、次の資質を備えている必要があります:
- 専門的な資質に基づいて任命されなければならず、, 特に, データ保護法と慣行に関する専門知識.
- スタッフまたは外部サービスプロバイダーの可能性があります.
- 連絡先の詳細を関連するDPAに提供する必要があります.
- タスクを実行し、専門知識を維持するための適切なリソースを提供する必要があります.
- 最高レベルの管理者に直接報告する必要があります.
- 利害の衝突を引き起こす可能性のある他のタスクを実行してはなりません。
Brexitの効果とGDPRの実装
ポリシーは、英国の場合は特に注意します- 企業は、関連するGDPR規制を実装する必要がある、EU諸国の市民に商品やサービスを販売するという文脈でデータを処理します. これは、Brexitが行われた後に法律を保持するかどうかには関係ありません. 最初の退出期間が終了し、活動が英国に限定された後は、ポジションが明確に定義されていません. 現在、政府は代替または同等の法的メカニズムを実施することを示しています. 法律の専門家は、そのような法律はGDPRの手順に従う可能性が高いと述べています. これは、以前にICOと英国政府によって提供されたサポートによるものです。. 英国議会の議員は、規制は “効果的にプライバシー基準“.
GDPR実装の結果
GDPRの実装の結果は、市民による個人データの管理を促進することです。. この規制は、EU市民が個人情報の悪用の可能性に対して効果的な対策を講じることができるメカニズムを提供します。. 肯定的な事実は、法律の処方箋が企業と政府機関の両方に適用されることです.
もう1つの前向きな変化は、データ保護メカニズムを簡素化することにより、真の単一EUデジタル市場の創出を強化するのに役立つことです。. プライバシー保護は、信頼感を生み出し、アクティブな当事者による悪用を防ぐため、eコマースの採用と台頭にとって重要です。.
このメカニズムは、世界中のエンドユーザーによって広く使用されているソーシャルネットワークとクラウドサービスプロバイダーにも焦点を当てています。. EU市民は、個人データをEEA以外の国に転送できないことも保証されます。 (欧州経済領域) 同程度のデータ保護が保証されていない限り.