個人データ：欧州連合の新しい規則

新しい個人データ保護規則（GDPR）は2016年4月14日に承認され、おそらく2018年5月に施行されます。これらの規則は、欧州企業だけでなく、欧州連合で商品やサービスを提供する他の国の企業にも適用されます。

これらの規則は、現在有効な1995年に採択された欧州連合指令に優先します。 ヨーロッパの個人データの分野では何が新しくなりますか？



まず、規制がEU以外の企業に適用されるようになりました。 EUで商品またはサービス（無料のものを含む）を提供するために個人データを処理する企業、またはEUの市民の行動を監視する企業は、規則を遵守する必要があります。 EU内の特定の国での商品やサービスの提供は、その国で使用されている言語または通貨の使用と、その国で商品またはサービスを注文する機会です。 また、監視とは、ユーザーに関するデータを使用して、ユーザーの選択に影響を与えたり、ユーザーの好みを決定したりできる特別な技術の使用です。 したがって、物理的にEU外に所在するが、EUに所在するユーザーに事実上影響を与える企業は、新しい規則の対象となります。



第二に、規制ではユーザーの個人データの処理に対する同意が必要です。 同時に、異なる目的でデータを処理するには、個別の同意が必要になります。 そのような同意は、自由で、意識的かつ具体的でなければならず、いつでも取り消すことができます。 サイト、プログラム、またはアプリケーションにアクセスするためにユーザーがそのような同意を強制される場合、同意は無料とはみなされません。 例外は、契約を実行するために個人ユーザーデータが必要な場合です。 また、マーケティング目的で個人データが収集および処理される場合、ユーザーは自分のデータの収集および処理に同意できないはずです。 そして、ユーザーがそのような権利を持っているという事実にユーザーの注意を個別に引き付ける必要があります。



第三に、個人データを扱う企業には新しい責任があります。 内部監査を実施するだけでなく、個人データ（処理対象のデータタイプと目的）とのトランザクションの記録を保持する必要があります。 また、個人データの使用に関連するプロジェクトでは、企業による特定の義務を果たす必要があります。 たとえば、設計によるデータ保護の原則に従ってデータの使用を最小限にする義務（つまり、データの使用を特定の目的のみに制限し、可能であれば匿名化されたデータを使用する）。 すべての企業は、個人データの取り扱い手順に違反した場合に講じるべき措置に関する内部文書を採用する必要があります。



第4に、企業は72時間以内に個人データの違反を規制当局に通知する必要があります。 違反の内部レジストリを維持することも必要です。

新しいドキュメントの特定の規定は、個人データの国境を越えた転送に関連しています。 EU外にデータを転送する場合、ユーザーには関連するリスクを通知する必要があります。 1つのグループの企業の枠組み内で個人データを国境を越えて転送することは可能ですが、同時に、グループに含まれるすべての企業は、個人データの保護に関する強制的な企業ルールを持たなければなりません。



そして最後に、違反に対する責任の増加に注意する必要があります。 最大の罰金は、2000万ユーロ、または世界の年間売上高の4％になります。

欧州の弁護士は、新しい変更について議論し、個人データを扱う企業は、将来の活動が新しい規則に準拠することを保証するために、多数のイベントを実施する必要があることに注意しています。 たとえば、新しい内部ドキュメントを作成し、内部監査を実施し、ユーザーとの既存の契約を確認し、スタッフトレーニングを実施し、社内の責任者を任命します。