GDPR規制の発表と今後の導入に続いて、世界中のインターネットサイトを更新する必要があります. 所有者は、法律で概説されているように、訪問者と顧客のプライバシーを保護するためにすべての要件を実装する必要があります. 私たちの記事では、必要なすべての変更を詳細に紹介しています.
GPDR規制の差し迫った影響
消費者のプライバシー保護に関連する今後のGDPR規制の影響により、機密情報を処理するすべてのインターネット企業のWebサイトを大幅に変更する必要があります. それらは欧州連合によって承認されており、以前の法律と比較して、すべての企業に影響を及ぼします, 組合外の人でさえ, 個人データを処理する. ウェブサイトの所有者は、データが処理されるすべての場合に、新しい要素を実装し、サイトを慎重に再設計する必要があります. 指令であり、元の形式では強制的で拘束力のない以前の法律と比較して, GDPRポリシーは、コンテンツ全体で施行されるEU全体の規制です. 専門家によると、これらは過去10年間のこの分野での最大の変化のいくつかです. 必要な変更のリストは非常に広範囲であり、Webサイト管理者は期限内にすべてのアイテムを実装する必要があります.
GDPR 101: どこから始めるか
ウェブマスターは、必要な変更を認識し、GDPRポリシーのすべてのコンポーネントを実装することから始める必要があります. 法律が規制する主な懸念事項は、ユーザーデータに対する説明責任の提供です。. この要件は、Webサービスの大部分がEU内と同じようにプライバシー保護が保証されていないEU外の国でデータを処理するという事実から生じています。. 最も重要な修正の1つは、この問題に関連しています。EU市民のデータを処理するすべての企業は、サーバーの場所に関係なく、厳格なポリシーを順守する必要があります。.
規制は次の定義に適用されることに注意することが重要です。 プライベートデータ:
自然人または「データ主体」に関連する情報, 直接または間接的に人を識別するために使用することができます. |
Webサイトの所有者は、すべての訪問者に次の質問に対する回答を明確に示す必要があります:
- サイトに個人データが必要な理由?
- メールアドレス
- データはどのように取得されますか?
- データはどのように保持されていますか?
- インターネットサービスがそれをどのように保護するか?
- 第三者と共有されていますか、またどのような条件で共有されていますか??
これらの変更に加えて、ウェブサイトの所有者は、EU市民情報が懸念される場合、すべてのデータ処理活動のために新しい技術メカニズムを再編成して実装する必要があります. ノート: 規制は政府機関にも影響を及ぼします.
GDPR規制とその基本規定
データ処理活動の基礎を築く重要な原則は、 遵守の証明. 組織 (とそのサイト) 機密データを処理する法的根拠があることを明確に示す必要があります. 現在、実質的にすべてのインターネットサービスは デフォルトで同意 —彼らは、関連するサービスを使用すると、訪問者が自動的に同意を与えるという条件を設定しました. GDPR規制は、機密性の高いユーザー情報を処理するための5つの異なる法的根拠を概説しています:
- 個々の訪問者との法的拘束力のある契約.
- 法的義務の遵守.
- さまざまな義務によって定義される重要な利益.
- パブリックタスクのパフォーマンス.
- 正当な利益.
従うべき最も重要なアドバイスの1つは、インターネットサービスのすべての担当者に今後の変更を認識させることです。. データ処理に何らかの形で関係している人々は、GDPR規制を完全に実装する必要があります. より大きなサービスが懸念される場合、以下を実行することが重要です。 完全な情報監査. 専門家は、データがどのように収集され、規定に概説されている適切な条件下でデータが保存されているかを調べるためにこれが必要であると述べています.
保護するためにすべての手順を修正する必要があります すべてのユーザー権利 GDPRの変更によって保証されている. 要求に応じて個人データを削除する手順は必須であり、いつでも利用できる必要があります.
プライバシーデータ自体の保存とアクセス制御に関する変更に加えて、Webサイト管理者はユーザーの同意の別のデータベースを維持する必要があります. これは、GDPR規則により、訪問者とサービスユーザーが個人データ処理への同意を簡単に取り消す方法が必要であることが強制されているという事実に関連しています。. 結果として、サイトはオプションを自動化できる必要があります—機械可読な標準形式ですべての処理済みデータを提供し、要求に応じてプライベートデータのすべての痕跡を削除する機能を備えている必要があります.
新しいサイトの重要な部分は、訪問者の年齢を確認するシステムの実装と、親または保護者の同意を得るメカニズムです。. 新しい法律は、侵害による個人データのリスクが発生した場合に即時通知を強制します. GDPR規則には、違反の可能性がある場合にデータ所有者が影響を受けるすべてのユーザーに通知することが義務付けられています。. これに関連して、影響を受けるすべての企業, サイトとインターネットサービスは、 データ保護責任者 GDPR規制の実施と調整を委任し、個人データのコンプライアンスと正しい運用に全責任を負うのは誰ですか.
GDPRの影響—強化されたユーザーのプライベートデータの権利
GDPRに準拠したサイトによって保証される必要がある、いくつかの異なるタイプのユーザー権利に対するポリシーの規定を読者に思い出させます. 通知を受ける権利 リストの最初で最も重要な記事です. これは、Webサイトの所有者とインターネットサービスが、機密性の高いユーザー情報を取得して処理しようとしていることを訪問者と顧客に通知する必要があるという事実に関連しています。. 結果として、通知は目立つように表示され、非常に明確に書かれている必要があります, わかりやすくアクセスしやすい方法. 規則は、通知は保護されているので子供や未成年者でも理解できるように書かれなければならないことを支持しています.
もう1つの重要な考慮事項は、サイト管理者の観点からです。. データには2つの基本的なタイプがあります: ユーザーに直接提供され、情報を収集した二次データ主体. 2つの違いは、データ処理自体に基づいて行われます。. ウェブマスターは、情報収集メカニズムを調べることにより、関連するカテゴリを決定できます. これらの2つのカテゴリの内訳と具体的な例、およびそれらがどのように適合するかを次に示します。:
データの種類 |
組織から直接取得したデータ |
組織から間接的に取得したデータ |
コントローラのIDと連絡先の詳細, コントローラーの代表者および責任あるデータ保護責任者. |
√ |
√ |
データ処理操作の目的と合法的な基盤. |
√ |
√ |
サービスまたはデータ活動に責任のある第三者の正当な利益. |
√ |
√ |
個人データのカテゴリ. |
√ |
|
取得/処理されたデータの受信者またはカテゴリ. |
√ |
√ |
他者への譲渡の詳細と保護のメカニズム. |
√ |
√ |
保持期間と基準. |
√ |
√ |
ユーザーの同意の保存. |
√ |
√ |
同意の撤回とその保管のメカニズム. |
√ |
√ |
苦情のメカニズムとそのようなイベントの保存/処理. |
√ |
√ |
個人データおよび関連するメタデータのソース. |
√ |
|
個人データの処理ステータスの提供—このフィールドは、プロセスが義務の一部であるかどうかをチェックし、必要なサービスの提供に失敗した場合に起こりうる結果を保持します. |
√ |
|
意思決定のための自動化されたメカニズム. |
√ |
√ |
The アクセス権 サイトによって保護される必要がある2番目の個人の権利です. ウェブサイトの所有者は、個人の意志を支持し、それらを付与する必要があります 機械可読形式で処理されたユーザーデータに無料でアクセス. GDPR規制では、サイト管理者が料金を請求できると規定されています “リーズナブルな料金” リクエストが過度または反復的であることが判明した場合の合理的な料金.
The 修正する権利 個々のユーザーがインターネットサービスに提供される個人データを変更または削除する機能を提供します. サイト所有者がサードパーティのデータ処理会社または施設と協力している場合は、この事実に特別な注意を払う必要があります. サイトの所有者は、行われた修正についてすべてのエージェントに通知する責任があります.
関連記事は 忘れられる権利 これも保護されています. これにより、個々のユーザーが削除を要求できるようになります (およびその後の削除) 継続的な処理に説得力のある理由がない場合の個人データの. しかし、これはそうではありません 絶対的な権利. 個人は以下の条件の下でこれを行うことができます:
- 個人データが最初に収集/処理された目的に関連して不要になった場合.
- ユーザーが同意を撤回したとき.
- ユーザーが処理に反対し、処理を続行するための正当な利益を無効にすることがない場合.
- 個人データが違法に処理された.
- 法的義務を遵守するために、個人データを消去する必要があります.
- 個人データは、子供への情報化社会サービスの提供に関連して処理されます.
インターネットの訪問者は次のように保証されます 処理を制限する権利 彼らの個人情報の. GDPR規則には、データの処理を制限またはブロックするユーザーの能力を規定する記事が含まれています. この場合 (ユーザーの同意が得られた後) サイトの所有者は引き続きデータを保存できます, しかし、彼らはそれをさらに処理しないかもしれません.
The データの移植性に対する権利 GDPR規制で導入される最も重要な側面の1つです. これは、ユーザーがさまざまなインターネットサービスで自分の目的のために個人データを取得して再利用する権利を受け取ることを意味します. 彼らは動くことを許されるべきです, ある環境から別の環境に安全かつ確実な方法でデータの大部分をコピーまたは転送する. サイトのウェブマスターは、この技術的機能を有効にしてサイトに実装する必要があります. ユーザーがデータを要求するときは、機械可読形式でデータを取得する必要があります。CSVなどのオープンフォーマットが最も顕著な例として挙げられています。. 回答は1か月以内である必要があります. リクエストが複雑すぎると思われる場合、またはサイト管理者が受信したリクエストの数に対応できない場合は、拡張を行うことができます.
ユーザーはまた受け取ります 異議を唱える権利 彼らの個人データの処理に. これにはすべての形式が含まれるため、これはWebマスターにとって重要です。 ダイレクトマーケティング プロファイリングアクションを利用する. この規定に準拠するために、管理者は、受け取った異議の確認時にそのようなアクションを自動的に停止するメカニズムを設定できます。.
GDPR規制のコンプライアンスメカニズム
Webサイトの管理者は、ポリシーの変更に合わせるために、ニュースレターの購読オプションと連絡先の設定を再編成する必要があります。. 変更の結果、デフォルトの位置は デフォルトで同意. フォームを再調整する必要があります. 設計者は、これらの変更は、これまでの標準的な慣行であったため、ユーザーがすぐに認識できない可能性があることに注意してください。 デフォルトで同意. 以前は、スポンサー付きのメッセージやニュースレターを積極的にオプトアウトする必要がありました。, GDPR規制により、オプションでオプトインが可能になります.
さらに、プライバシーデータ処理に関連する利用規約は別のフォームに記載する必要があります. このようなデータを整理する良い方法は、個々のオプトインフィールドを設定するテンプレートレイアウトを使用することです。:
- 利用規約へのオプトイン (TOS) 条件.
- プライバシーポリシーオプトインチェック.
- コンタクト & ニュースレターのオプトインチェック.
被害者が同意し、プライバシーポリシーと利用規約に同意したら、それを管理および撤回する簡単な方法が必要になります。. ユーザー中心のアプローチは、作成を容易にすることです。 ユーザープロファイルページ 認証メカニズムを使用して、それらによって個別に構成できます (リンク, ユーザー登録または別のオプション). ユーザーがニュースレター/スポンサーシップメッセージのオンとオフを切り替えることができるようにすることができます, 個人データ収集の同意と同様に.
マーケティングメッセージやニュースレターに関しては、個々のユーザーに受信メッセージの頻度を変更する機会が与えられることもあります。. 管理者は、サブスクリプション解除オプションに2つのオプションをリストすることも検討できます。: オプトアウトの理由と個別の確認手順.
Web管理者は、すべてのWebフォームとメッセージが データ処理者とオペレーターを明確に特定する. GDPR規則では、すべての関係者に名前を付ける必要があると規定されています. 関連するGDPR用語を実装するには、すべてのプライバシーポリシーと利用規約のドキュメントを含める必要があります. 情報には、個人データが取得される理由と、それが処理および保持される条件とセキュリティ上の予防措置を含める必要があります。.
必要なプライバシーポリシーの更新には、次の項目が含まれている必要があります:
- GDPRコンプライアンスメッセージ.
- インターネットサービスによって収集および保存されるデータとコンテンツの種類. 例にはIPアドレスが含まれます, ジオロケーション, アクセス情報, ブラウザ, クッキー, 訪問期間, ユーザーインタラクション, 人口統計データなど.
- ウェブマスターは、個人データにアクセスできる人を指定する必要があります.
- データ保護責任者の詳細とその連絡先の詳細.
- プライバシーポリシーでは、リクエストと苦情を登録する方法を詳細に示す必要があります.
- ポリシーでは、組織が個人情報を安全に保持および処理する方法についても概説する必要があります。.
最も重要な変更の1つはに関連しています Eコマースサイト 新しいルールが主要なユーザビリティとデータ処理の変更を実装する場所. それらのほとんどすべては、実際に金融取引を処理するサービスである支払いゲートウェイを使用しています. サイトの所有者は、関連するプロセスを変更し、個人情報の痕跡をすべて削除して、規制に従って調整する必要があります.
インターネットサービスと大規模サイトの大部分は、サードパーティの追跡技術と分析ソフトウェアを利用しています. ほとんどの場合、ユーザーの同意なしに機能します. サービスの多くは現在、GDPR規制に準拠するように更新されています. それらの使用は通常、問題のサイトのプライバシーポリシーと利用規約文書に概説されています.