一般データ保護規則 (GDPR) が会社にとって何を意味するか

2023 年 9 月 03 日

4 年 2023 月 XNUMX 日更新

今日、特に世界的に大規模なデジタル化が起こって以来、プライバシーは非常に重要です。特定の個人によるデータの悪用や盗用を防ぐために、データの処理方法を監視し、規制する必要があります。プライバシーは人権でもあることをご存知ですか? 個人データは非常に機密性が高く、悪用される傾向があります。したがって、ほとんどの国では、（個人）データの使用と処理を厳しく規制する法律を採用しています。国内法の次に、国内法に影響を与える包括的な規制もあります。たとえば、欧州連合 (EU) は一般データ保護規則 (GDPR) を施行しました。この規制は 2018 年 XNUMX 月に発効し、EU 市場で商品やサービスを提供するあらゆる組織に適用されます。 GDPR は、会社が EU に拠点を置いていない場合でも、同時に EU に顧客がいる場合にも適用されます。 GDPR 規制とその要件の詳細に入る前に、まず GDPR が達成することを目指しているものと、それが起業家にとってなぜ重要なのかを明確にしましょう。この記事では、GDPR とは何か、準拠するために適切な措置を講じる必要がある理由、および可能な限り最も効率的な方法でこれを行う方法について説明します。

GDPR とは一体何ですか?

GDPR は、自然市民の個人データの保護を対象とした EU の規制です。したがって、これは個人データの保護のみを目的としており、専門的なデータや企業のデータの保護を目的とするものではありません。 EUの公式サイトには次のように記載されています。

「個人データの処理およびかかるデータの自由な移動に関する自然人の保護に関する規制 (EU) 2016/679。この規制の訂正文は、23 年 2018 月 24 日に欧州連合官報に掲載されました。GDPR は、デジタル単一市場における企業のルールを明確にすることで、デジタル時代における国民の基本的権利を強化し、貿易を促進します。この共通のルールにより、国家システムの相違によって引き起こされる断片化が解消され、煩雑な手続きが回避されました。この規制は 2016 年 25 月 2018 日に発効し、XNUMX 年 XNUMX 月 XNUMX 日から施行されています。企業および個人向けの詳細情報.【1]　

これは基本的に、提供する商品やサービスの性質上、データを取り扱う必要がある企業が個人データを安全に取り扱うことを保証するための手段です。たとえば、EU 国民として Web サイトで製品を注文した場合、EU に拠点を置いているため、データはこの規制によって保護されます。前に簡単に説明したように、この規制の対象となるために、企業自体が EU 加盟国に設立されている必要はありません。 EU の顧客と取引するすべての企業は、GDPR を遵守し、すべての EU 国民の個人データが確実に保護され、安全であることを保証する必要があります。こうすることで、どの企業も具体的に記載され概要が示されている目的以外にあなたのデータを使用することはないと安心できます。

GDPR の具体的な目的は何ですか?

GDPR の主な目的は個人データの保護です。 GDPR 規制では、貴社を含む大小を問わずすべての組織が、使用する個人データについて考え、その使用理由と使用方法について十分に思慮深く配慮することを求めています。基本的に、GDPR は起業家が顧客、スタッフ、サプライヤー、その他取引先の個人データについてより意識することを求めています。言い換えれば、GDPR 規制は、十分な理由なしに、個人に関するデータを収集できるという理由だけで収集する組織に終止符を打とうとしているのです。あるいは、あまり注意を払わず、あなたに知らせることなく、現在または将来、何らかの形でそれから恩恵を受けることができると信じているからです。以下の情報でわかるように、GDPR では実際には多くのことは禁止されていません。個人のプライバシーをどのように尊重するかについて透明性を提供する限り、電子メールマーケティングに参加したり、広告を掲載したり、顧客の個人データを販売および使用したりすることができます。この規制は、顧客やその他の第三者が特定の目標や行動について知ることができるように、データの使用方法に関する十分な情報を提供することに重点を置いています。これにより、少なくともすべての個人がインフォームド・コンセントに基づいてデータを提供できるようになります。言うだけで十分です。これは、非常に高額な罰金やその他の結果を招く可能性があるため、あなたの言うとおりにし、あなたが述べた目的以外にデータを使用しないでください。

GDPRが適用される起業家

「GDPR は私の会社にも適用されるのですか?」と自問するかもしれません。これに対する答えは非常に簡単です。EU の個人による顧客ベースまたは人事管理を行っている場合、個人データを処理することになります。また、個人データを処理する場合は、一般データ保護規則 (GDPR) に準拠する必要があります。法律は、個人データに対して何ができるか、また個人データをどのように保護しなければならないかを決定します。したがって、EU の個人を扱うすべての企業は GDPR 規制に準拠することが義務付けられているため、組織にとって常に重要です。私たちの職業上および個人的なやり取りはすべてデジタル化が進んでおり、個人のプライバシーを考慮することは、当然のことです。顧客は、お気に入りの店舗が提供した個人データを慎重に取り扱うことを期待しているため、GDPR に関する独自の個人規制を整備することは、誇りに思えることです。さらに、顧客にも気に入っていただけるでしょう。

GDPR によれば、個人データを扱うときは、ほとんどの場合、このデータも処理することになります。データの収集、保存、変更、補足、転送について考えてみましょう。データを匿名で作成または削除した場合でも、データを処理することになります。他のすべての人々と区別できる人々に関するデータは、個人データです。これが特定された個人の定義であり、この記事の後半で詳しく説明します。たとえば、名前と姓がわかっていれば、その人を特定したことになり、このデータはその人の公式に発行された識別手段のデータとも一致します。このプロセスに関与する個人として、あなたは組織に提供する個人データを管理することができます。まず、GDPR により、組織が使用する特定の個人データとその理由について知らされる権利が与えられます。同時に、あなたには、これらの組織があなたのプライバシーをどのように保証しているかについて知らされる権利があります。さらに、自分のデータの使用に反対したり、組織にデータの削除を要求したり、データを競合サービスに転送するよう要求したりすることもできます。【2] したがって、本質的には、データが属する個人がデータをどう扱うかを選択することになります。データが属する個人には、そのデータが処理される理由について知らされる必要があるため、取得した個人データの正確な使用に関して組織として提供する情報に細心の注意を払う必要があるのはこのためです。そうして初めて、個人がデータを正しく使用しているかどうかを判断できるようになります。

正確にどのデータが関係しているのでしょうか?

個人データは GDPR 内で最も重要な役割を果たします。個人のプライバシーを保護することが出発点です。 GDPR ガイドラインを注意深く読むと、データを XNUMX つのカテゴリに分類できます。最初のカテゴリは、特に個人データに関するものです。これは、特定された、または特定可能な自然人に関するすべての情報として分類できます。たとえば、ユーザーの名前と住所の詳細、電子メールアドレス、IP アドレス、生年月日、現在地だけでなく、デバイス ID も含まれます。この個人データは、自然人を識別できるすべての情報です。この概念は非常に広範囲に解釈されることに注意してください。もちろん、姓、名、生年月日、住所に限定されるものではありません。一見すると個人データとは関係のない特定のデータでも、特定の情報を追加することで GDPR に該当する可能性があります。したがって、インターネット上でコンピュータが相互に通信するための固有の番号の組み合わせである (動的) IP アドレスであっても、個人データと見なすことができることが一般に受け入れられています。もちろん、これは特定のケースごとに具体的に考慮する必要がありますが、処理するデータも考慮してください。

XNUMX 番目のカテゴリは、いわゆる擬似匿名データに関するものです。追加情報を使用しないとデータを追跡できないように処理された個人データですが、依然として個人を固有のものにします。たとえば、暗号化された電子メールアドレス、ユーザー ID、または顧客番号は、十分に保護された内部データベースを介してのみ他のデータにリンクされます。これも GDPR の範囲内です。 XNUMX 番目のカテゴリは、完全に匿名のデータで構成されます。つまり、追跡可能な個人データがすべて削除されたデータです。実際には、そもそも個人データが追跡可能でない限り、これを証明するのは困難なことがよくあります。したがって、これは GDPR の範囲外です。

識別可能な人物としての資格があるのは誰ですか?

「識別可能な個人」の範囲に誰が該当するかを定義するのが少し難しい場合があります。特に、偽のソーシャルメディアアカウントを持つ人など、インターネット上には偽のプロフィールがたくさんあるためです。一般に、あまり手間をかけずに個人データを追跡できる場合、その個人は特定可能であると推定できます。たとえば、アカウントデータにリンクできる顧客番号を考えてみましょう。または、簡単に追跡でき、誰のものかを特定できる電話番号。これはすべて個人データです。誰かを特定するのに問題があると思われる場合は、もう少し調査する必要があります。相手が誰なのかを確認するために、その人に有効な身分証明書の提示を求めることができます。また、デジタル電話帳 (実際にはまだ存在します) など、検証済みのデータベースを参照して、誰かの身元に関する情報を取得することもできます。顧客またはその他の第三者が特定可能かどうか不明な場合は、その顧客に連絡して個人データを尋ねるようにしてください。相手があなたの質問に答えない場合は、通常、あなたが持っているすべてのデータを削除し、提供された情報を破棄することが最善です。誰かが偽の ID を使用している可能性があります。 GDPR は個人を保護することを目的としていますが、企業としても詐欺から身を守るために適切な措置を講じる必要があります。残念ながら、人々は偽の ID を使用する可能性があるため、人々が提供する情報に注意することが重要です。誰かが他人のアイデンティティを使用すると、会社として重大な影響が生じる可能性があります。常にデューデリジェンスを行うことをお勧めします。

サードパーティデータを使用する正当な理由

GDPR の主な構成要素は、サードパーティのデータを指定された正当な目的にのみ使用する必要があるというルールです。データ最小化の要件に基づいて、GDPR は、利用可能な XNUMX つの GDPR 法的根拠のいずれかによって裏付けられた、明示され文書化されたビジネス目的にのみ個人データを使用できることを規定しています。言い換えれば、個人データの使用は、明示された目的と法的根拠に限定されます。あなたが行う個人データの処理は、その目的と法的根拠とともに GDPR 登録簿に文書化する必要があります。この文書により、各処理アクティビティについて考え、その目的と法的根拠を慎重に検討する必要があります。 GDPR では、以下に概要を説明する XNUMX つの法的根拠が可能になります。

契約上の義務: 契約を締結する際には、個人データを処理する必要があります。個人データは、契約を締結する際にも使用される場合があります。
同意: ユーザーは、自分の個人データの使用または Cookie の配置について明示的な許可を与えます。
正当な利益: 個人データの処理は、管理者または第三者の正当な利益の目的のために必要です。この場合はバランスが重要であり、データ主体の個人的自由を侵害してはなりません。
重大な利益: 生死に関わる状況が発生した場合、データが処理される場合があります。
法的義務: 個人データは法律に従って処理される必要があります。
公共の利益: これは主に、公共の秩序と安全、一般の公衆の保護に関するリスクなど、政府や地方自治体に関係します。

これらは、個人データの保存と処理を許可する法的根拠です。多くの場合、これらの理由のいくつかが重複する可能性があります。実際に法的根拠があることを説明し証明できる限り、通常は問題ありません。個人データの保管と処理に関する法的根拠が不足している場合、問題が発生する可能性があります。 GDPR は個人のプライバシーの保護を念頭に置いているため、法的根拠が限定されていることに留意してください。これらを知って適用すれば、組織や会社として安全に過ごせるはずです。

GDPRが適用されるデータ

GDPR は、その中核として、完全にまたは少なくとも部分的に自動化されたデータの処理に適用されます。これには、データベースやコンピューターなどを介したデータ処理が伴います。ただし、アーカイブに保存されているファイルなど、物理ファイルに含まれる個人データにも適用されます。ただし、含まれるデータが何らかの注文、ファイル、またはビジネス取引に関連しているという意味で、これらのファイルは実質的なものである必要があります。名前だけが記載された手書きのメモを所有している場合、それは GDPR の下ではデータとして認められません。結局のところ、この手書きのメモは、あなたに興味を持っている人からのものであるか、そうでなければ個人的な性質のものである可能性があります。企業によるデータの一般的な処理方法には、注文管理、顧客データベース、サプライヤーデータベース、スタッフ管理、そしてもちろんニュースレターやダイレクトメールなどのダイレクトマーケティングが含まれます。あなたが処理する個人データの所有者は「データ主体」と呼ばれます。これは、顧客、ニュースレター購読者、従業員、連絡担当者などです。企業に関するデータは個人データとみなされませんが、個人事業主や自営業者に関するデータは個人データとみなされます。【3]

オンラインマーケティングに関するルール

GDPR は、オンラインマーケティングに関して大きな影響を与えます。電子メールマーケティングの場合は常にオプトアウトオプションを提供するなど、遵守する必要がある基本的なルールがいくつかあります。さらに、入札者は自分の好みを示し、調整することもできなければなりません。つまり、現在これらのオプションを提供していない場合は、メールを調整する必要があります。多くの組織はリターゲティングメカニズムも使用しています。これは、たとえば Facebook や Google 広告を通じて実現できますが、これを行うには明示的な許可をリクエストする必要があることに注意してください。おそらく、あなたの Web サイトにはすでにプライバシーと Cookie ポリシーが適用されているでしょう。したがって、これらの規則に伴い、これらの法的部分も改正する必要があります。 GDPR 要件では、これらの文書はより包括的で透明性が高い必要があると規定されています。多くの場合、これらの調整には、インターネット上で無料で入手できるモデルテキストを使用できます。プライバシーと Cookie ポリシーの法的調整に加えて、データ処理責任者を任命する必要があります。この担当者はデータの処理を担当し、組織が GDPR に準拠し、準拠し続けることを保証します。

GDPR に準拠するためのヒントと方法

もちろん最も重要なことは、起業家として、GDPR などの法的規制やルールを遵守することです。幸いなことに、できるだけ少ない労力で GDPR に準拠する方法があります。すでに説明したように、GDPR 自体は実際には何も禁止していませんが、個人データの処理方法について厳格なガイドラインを定めています。特定のガイドラインに従わず、GDPR に記載されていない理由やその範囲外の理由でデータを使用すると、罰金やさらに悪い結果を招く危険があります。次に、あなたが協力するすべての関係者は、あなたが彼らのデータとプライバシーを尊重するとき、あなたをビジネスオーナーとして尊重するだろうということを心に留めておいてください。これにより、ポジティブで信頼できるイメージが得られ、ビジネスにとって本当にプラスになります。ここでは、GDPR への準拠を簡単かつ効率的なプロセスにするためのヒントをいくつか説明します。

1. 最初にどの個人データを処理するかを計画する

まず最初に行うべきことは、どの正確なデータがどのような目的で必要なのかを調査することです。どの情報を収集しますか? 目標を達成するにはどれくらいのデータが必要ですか? 名前とメールアドレスだけですか、それとも住所や電話番号などの追加データも必要ですか? また、どのデータを保管するか、そのデータの出所、およびこの情報をどの当事者と共有するかを記載する処理記録簿を作成する必要もあります。 GDPR では、これについて透明性を保つ必要があると規定されているため、保存期間についても考慮してください。

2. ビジネス全般においてプライバシーを優先します

プライバシーは非常に重要なトピックであり、テクノロジーとデジタル化は進歩し、増加する一方であるため、予見できない将来もこのままになるでしょう。したがって、起業家として、必要なすべてのプライバシー規制について自分自身に知らせ、ビジネスを行う際にこれを優先することが非常に重要です。これにより、適用されるすべての法律を遵守することが保証されるだけでなく、会社に対する信頼のイメージも構築されます。したがって、起業家として、プライバシーに関して合法的にビジネスを行っていることを確信できるように、GDPR ルールをよく理解するか、法律の専門家にアドバイスを求めてください。会社が遵守しなければならない正確なルールを確認する必要があります。オランダ当局は、日常的に使用できる大量の情報、ヒント、ツールを提供して、旅の途中であなたをサポートします。

3. 個人データを処理するための正しい法的根拠を特定する

すでに説明したように、GDPR によれば、個人データの処理と保存を許可する公式の法的根拠は XNUMX つだけです。データを使用する場合、その使用の基礎となる法的根拠を知ることが非常に重要です。理想的には、会社で行うさまざまな種類のデータ処理をプライバシーポリシーなどに文書化し、顧客や第三者がこの情報を読んで確認できるようにする必要があります。次に、各アクションの正しい法的根拠を個別に特定します。新しい動機や理由で個人データを処理する必要がある場合は、開始する前に必ずこのアクティビティも追加してください。

4. データ使用量をできるだけ最小限に抑えるようにしてください

組織として、特定の目標を達成するためには、最小限のデータ要素のみを収集するようにする必要があります。たとえば、商品やサービスをオンラインで販売する場合、ユーザーは通常、電子メールとパスワードを提供するだけで、登録プロセスをスムーズに実行できます。登録プロセスの一環として、顧客に性別、出身地、さらには住所を尋ねる必要はありません。ユーザーが商品の購入を継続し、特定の住所への発送を希望する場合にのみ、詳細情報を要求する必要があります。この段階でユーザーの住所を要求する権利があります。これはあらゆる配送プロセスに不可欠な情報であるためです。収集されるデータの量を最小限に抑えることで、潜在的なプライバシーまたはセキュリティ関連のインシデントの影響を最小限に抑えることができます。データの最小化は GDPR の中核要件であり、必要な情報のみを処理するため、それ以外は処理しないため、ユーザーのプライバシーを保護するのに非常に効果的です。

5. あなたが処理するデータの所有者の権利を理解する

GDPR についての知識を得る上で重要なのは、データを保存および処理する顧客やその他の第三者の権利について理解することです。彼らの権利を知ることによってのみ、自分自身を守り、罰金を回避することができます。 GDPR によって個人に多くの重要な権利が導入されたのは事実です。個人データを検査する権利、データの修正または削除を求める権利、データの処理に異議を唱える権利などです。これらの権利については、以下で簡単に説明します。

アクセス権

最初のアクセス権は、個人が自分に関して処理された個人データを表示および参照する権利を有することを意味します。したがって、顧客がこれを要求した場合、あなたはそれを提供する義務があります。

修正の権利

矯正は矯正と同じです。したがって、修正の権利は、データが正しく処理されることを保証するために、組織が処理する個人データに変更や追加を加える権利を個人に与えます。

忘れられる権利

忘れられる権利とは、文字通り、顧客が特に要求したときに「忘れられる」権利を意味します。その場合、組織は個人データを削除する義務があります。法的義務が関係する場合、個人はこの権利を行使できないことに注意してください。

処理を制限する権利

この権利は、データ主体としての個人に、個人データの処理を制限する機会を与えます。つまり、処理されるデータの削減を要求できることになります。たとえば、企業が関連するプロセスに絶対に必要な以上のデータを要求した場合です。

データの移植性

この権利は、個人が自分の個人データを別の組織に転送する権利を持っていることを意味します。たとえば、誰かが競合他社に転職したり、社員が別の会社に就職したりしたときに、その会社にデータを転送すると、

反対する権利

異議を唱える権利とは、個人データがマーケティング目的で使用される場合など、個人データの処理に異議を唱える権利を個人が持つことを意味します。彼らは特定の個人的な理由でこの権利を行使できます。

自動化された意思決定の対象にならない権利

個人は、自分にとって重大な結果をもたらしたり、人間の介入によって法的結果を引き起こしたりする可能性のある、完全に自動化された意思決定の対象にならない権利を有します。自動処理の例としては、融資を受ける資格があるかどうかを完全に自動的に判断する信用格付けシステムがあります。

情報に対する権利

これは、個人が個人データの収集と処理について要求した場合、組織は個人データの収集と処理に関する明確な情報を個人に提供しなければならないことを意味します。組織は、GDPR の原則に従って、どのデータを処理するのか、そしてその理由を示すことができなければなりません。

これらの権利をよく理解しておくことで、処理しているデータについて顧客や第三者がいつ問い合わせる可能性があるかをより適切に予測できるようになります。そうすれば、準備ができていたので、彼らが要求している情報を義務付けて送信することがはるかに簡単になることがわかります。たとえば、必要なデータを迅速かつ効率的に取得できる優れた顧客管理システムに投資することで、常に問い合わせに備え、データを手元に用意しておくと、時間を大幅に節約できます。

従わない場合はどうなりますか?

この件については、以前にも簡単に触れましたが、GDPR に準拠しない場合には、何らかの影響が生じます。繰り返しになりますが、EU に拠点を置く企業が準拠する必要があるわけではありません。 EU に拠点を置き、そのデータを処理する顧客が 10 人でもいる場合は、GDPR の範囲に該当します。課せられる罰金には 2 つのレベルがあります。各国の管轄データ保護当局は、XNUMX つのレベルで実質的な罰金を課すことができます。そのレベルは、特定の違反に基づいて決定されます。レベル XNUMX の罰金には、親の同意なしに未成年者の個人データを処理すること、データ侵害の報告を怠ったこと、必要なデータセキュリティに関して十分な保証を提供しない処理業者と協力したことなどの違反が含まれます。これらの罰金は最大 XNUMX 万ユーロに達する可能性があり、企業の場合は前会計年度の全世界年間総売上高の最大 XNUMX% に達する可能性があります。

基本的な違反を犯した場合にはレベル 20 が適用されます。たとえば、データ処理原則に準拠していない場合や、データ主体が実際にデータ処理に同意していることを組織が証明できない場合などです。レベル 4 の罰金の範囲に該当した場合、最大 XNUMX 万ユーロ、または会社の世界売上高の最大 XNUMX% の罰金が科せられるリスクがあります。これらの金額は最大値であり、個人の状況やビジネスの年間収益、その他の要因によって左右されることに注意してください。罰金に加えて、国のデータ保護当局は他の制裁を課す場合もあります。これは、警告や叱責から、データ処理の一時的 (場合によっては永久的) 停止まで多岐にわたります。その場合、組織を通じて個人データを一時的または永久に処理できなくなる可能性があります。たとえば、犯罪を繰り返した場合などです。そうなると、基本的にビジネスを行うことができなくなります。もう XNUMX つの GDPR 制裁の可能性としては、十分な根拠のある苦情を申し立てたユーザーに対する損害賠償の支払いが挙げられます。つまり、このような重大な結果を避けるために、個人のプライバシーと個人データに注意を払う必要があります。

GDPR に準拠しているかどうか知りたいですか?

オランダでビジネスを始めることを計画している場合は、GDPR に準拠する必要があります。オランダの顧客、または他の EU 諸国に拠点を置く顧客とビジネスを行っている場合は、この EU 規制にも従う必要があります。自分が GDPR の範囲に該当するかどうかがよくわからない場合は、いつでもお問い合わせください。 Intercompany Solutions この件に関するアドバイスを求めて。当社は、該当する内部規制やプロセスが整備されているかどうか、また第三者に提供した情報が十分かどうかを確認するお手伝いをいたします。場合によっては、重要な情報を見落としがちですが、それによって法律上のトラブルに巻き込まれる可能性があります。覚えておいてください: プライバシーは非常に重要なトピックであるため、最新の規制やニュースを常に最新の状態に保つことが重要です。この件に関してご質問がある場合、またはオランダの事業所に関する詳細情報が必要な場合は、お気軽にお問い合わせください。 Intercompany Solutions いつでも。ご不明な点がございましたら、喜んでお手伝いさせていただきます。また、明確なお見積りをご提示いたします。

ソース：

https://gdpr-info.eu/

https://www.afm.nl/en/over-de-afm/organisatie/privacy

https://finance.ec.europa.eu/

【1] https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_nl#:~:text=The%20general%20regulation%20dataprotection%20(GDPR)&text=The%20AVG%20(also%20known%20under,digital%20unified%20market%20te%20.

【2] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

【3] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming