GDPR-国際IT市場向けにヨーロッパで個人データを処理するための新しいルール

2018年5月に、ヨーロッパは、一般データ保護規則（2016年4月27日のEU規則2016/679またはGDPR-一般データ保護規則）によって確立された更新された個人データ処理規則に切り替えます。 EUの28か国すべてに直接影響するこの規制は、1995年10月24日の個人データ保護に関するフレームワーク指令95/46 / ECに取って代わります。 GDPRの重要なニュアンスは、個人データの処理に関する新しい欧州規則の域外原則であるため、サービスが欧州市場または国際市場向けである場合、ロシア企業はそれらを慎重に検討する必要があります。



新しい規制は、EU居住者に個人データを完全に制御するためのツールを提供します。 2018年5月以降、個人データの処理ルール違反の責任が厳しくなりました：GDPRによると、罰金は2000万ユーロ（約15億ルーブル）または会社の年間世界所得の4％に達します。 この記事では、EUで個人データを処理するための新しいルールを分析し、GDPRへの対応方法に関するロシア企業への推奨事項を策定しました。

GDPRの対象地域は誰ですか？

GDPRには域外効果があり、そのような会社の場所に関係なく、居住者およびEU市民の個人データを処理するすべての会社に適用されます。



もちろん、EUのロシアの組織の支店、駐在員事務所は、新しい要件を満たす必要があります。



次の例を使用して、別の（非自明の）カテゴリを検討します。

この組織はロシアに拠点を置いています。 EUのユーザーを含むユーザーにオンラインの商品やサービスを販売しています。 サービスは、EU諸国の国内トップレベルドメイン（例：「.de」、「。nl」、「。co.uk」）の現地通貨で現地言語でユーザーに提供されます。 ただし、この組織は、EUで直接業務または下請業者を実行していません。



そのような組織はGDPRに準拠する必要がありますか？

はい



結局のところ、サービスと商品は明らかにEUの居住者に提供されます。



-EU居住者の現地語に適合したサービス/製品。

-サービス/商品はEUの現地通貨で支払われます。

-サービス/商品は、EU諸国のトップレベルドメインで提供されます。



これは、オンライン販売の販売時にロシアのヨーロッパ人の個人データを処理する組織（たとえば、ロシアの鉄道、航空会社、ホテル、ホステルなど）がGDPRの対象であり、個人データの処理に関する新しいヨーロッパの規則に従う必要があることを意味します。



GDPRでの個人データの処理に加えて、 データ主体の動作を監視する概念が使用されていることに注意することが重要です。 GDPRは、EUの居住者の行動を（管理者または処理者として）管理する場合（EU内でそのような行動が発生する範囲で）、EUの外部に設立された組織に適用されます。



監視には以下が含まれます。



-インターネットに居住するEUの追跡。

-データ処理方法を使用して、個人、行動、または何かに対する態度をプロファイルします（たとえば、個人の好みを分析または予測するため）。



欧州の立法者は、データ管理者とデータ処理者の概念も分離しています 。 船のマスターとして機能するコントローラーは、船の船員として機能するプロセッサーよりも大きな法的責任を負います。 本質的に、コントローラーは個人データに何が起こるかを決定し、処理の責任を負います。プロセッサーはある種の「実行者」です。



たとえば、従業員がタスクとプロジェクトを実行するために使用するクラウドシステムは、個人の顧客データも保存し、データプロセッサになります。したがって、あなたはコントローラーになります。

GDPRの個人データとはどういう意味ですか？

個人データとは、特定または特定可能な自然人（データ主体）に関連する情報であり、それによって直接的または間接的に決定されます。 このような情報には、名前、場所データ、オンライン識別子、またはこの個人の身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに固有の1つ以上の要因が含まれますが、これらに限定されません（記事4の段落1）。 定義は広範であり、IPアドレスも個人データになり得ることが十分に明確になっています。



特別なまたは機密の個人データのカテゴリに属する​​特定の種類の個人データがあることに注意することが重要です。 これは、人種的または民族的起源、政治的見解、宗教的または哲学的信念、および組合員数を開示する情報です。 さらに、このグループには、個人を特定するために使用される遺伝的、生体認証データ、健康データ、性生活または性的指向に関する情報が含まれます（第9条）。

GDPRデータを処理するための6つの原則

個人データの処理に対するヨーロッパ人の一般的なアプローチは、6つの基本原則の形式で定式化されています。



1） 合法性、正義、透明性 。 個人データは、合法的、公正かつ透過的に処理されなければなりません。 個人データの処理の目標、方法、範囲に関する情報は、できるだけアクセスしやすくシンプルなものにする必要があります。

2） ターゲットの制限 。 データは、会社が指定した目的（オンラインサービス）専用に収集および使用する必要があります。

3） データの最小化 。 処理目的に必要な量を超える個人データを収集することはできません。

4） 精度 。 不正確な個人データは、（ユーザーの要求に応じて）削除または修正する必要があります。

5） ストレージ制限 。 個人データは、処理の目的に必要な期間以上データ主体を特定できない形式で保存する必要があります。

6） 完全性と機密性 。 ユーザーデータを処理する場合、企業は個人データを不正または違法な処理、破壊、損傷から保護する必要があります。

主な要件

GDPR違反通知

企業は、個人データの違反が発見されてから72時間以内に、規制当局（場合によってはデータ主体）に通知する必要があります。



たとえば、最近のUberへのハッカー攻撃のニュースは、このルール違反の典型的な例です。 Uberは、1年後にハッカーが5,700万人のユーザーとドライバーの個人データにアクセスしたと報道機関に語りました。 GDPRを今すぐ運用する場合、年間売上高の4％という高額の罰金を回避することは不可能です。



すべてのEU諸国の個人データの分野における国内規制当局のリストをここに示します 。 また、欧州全体の規制機関である作業部会29または第29条作業部会がありますが、GDPRの発効後、第29条作業部会は新しい機関、欧州データ保護委員会（EDPB）に置き換えられます。



データ主体の権利（個人）



GDPRは、EUの市民および居住者の個人データを管理する権利を大幅に拡大します。 ヨーロッパのユーザーは、データが処理されたという事実、処理の場所と目的、処理中の個人データのカテゴリ、第三者の個人データが開示される期間、データが処理される期間の確認を要求する権利、および組織が受信した個人データのソースを指定し、修正を要求する権利を有します。 さらに、ユーザーは自分のデータの処理の終了を要求する権利を持っています。



GDPRは、忘却権（消去権、忘れられる権利）も提供します。これにより、ヨーロッパ人は、第三者への配布または転送を回避するために、要求に応じて個人データを削除することができます。



これは新しい法律ではなく、現在の指令にも含まれています。 EUの司法裁判所（CJEU-欧州連合の司法裁判所）は、2014年のGoogle Spainの判決において、データ主体が公共の利益でない場合、検索結果からそれらに関する情報を削除する権利があることを明らかにしました。 ただし、忘却の権利は検索エンジンだけにとどまりません。 データの処理を行う会社は、社会の利益またはヨーロッパ人の他の基本的権利と矛盾しない場合、要求に応じて誰かの個人データを削除する必要があります。



たとえば、ニュースサービスの場合は、データを削除する前に、そのような削除が言論の自由と欧州人権憲章第11条によってヨーロッパ人に保証されている情報にアクセスする権利に影響を与えないことを確認してください。



データの移植性に対する権利



データの移植性に対する権利は、GDPRによって導入されたEUデータ処理ルールの革新です。 この権利は、企業が個人データの対象の要求に応じて、別の企業の個人データの無料電子コピーを提供する必要があるという事実に基づいています。



たとえば、「The Sun」というスタートアップは、ソーシャルメディアを共有するためのサイトで市場に参入したいと考えていますが、市場には既に大きな市場シェアを持つ独自の巨人がいます。 データの移植性の権利は、潜在的な顧客がオンラインサービスから別のオンラインサービスにデータを転送するプロセスを簡素化します（異なるサイトに同じデータを再入力することなく）。



別の例。 データ主体は、電子書籍閲覧サービス「Electronic Book」を使用しています。 ある時点で、ユーザーはRead Onlineサービスに切り替えることにしました。 この場合、データの移植性の権利により、「電子書籍」から個人データ（たとえば、文献などの好み）を受け取り、別のサービスに転送することができます。



処理への同意



GDPRは、データ処理の同意を得るためのフォームに関して高い要件を設定しています。 個人データの処理に対する個人の同意は、承認の形式または明確でアクティブなユーザーアクションの形式で表される必要があります。 ユーザーに選択の余地がない場合、または自分自身を害することなく同意を取り消すことができなかった場合、個人データの処理に対する同意は無効になります。 ユーザーが個人データの処理に同意した場合、コントローラーはこれを実証できるはずです。



デフォルトの同意フィールドにチェックマークまたはその他のデフォルトの同意方法を使用することはお勧めしません。 同意は、ユーザーの沈黙または無反応の形で表現することもできません。 個人データの処理に対する同意を撤回する手順に関する情報は、ユーザーが簡単に見つけられるように配置する必要があります。



特別な子供の保護



子どもの個人データは、個人データの処理に関するリスク、結果、保証、および権利をあまり知らないため、特別な保護に値します。 子供のデータの処理に対する同意は、親（または子供の法定代理人）によって承認される必要があります。 親の許可の年齢のしきい値は、EU加盟国（13〜16歳）によって個別に設定されます。



データ保護責任者の任命



この要件は、定期的かつ体系的な大規模な観察、人の監視（上記）を実施する企業に適用されます。 または、医療記録や犯罪記録などの特別な個人データの大規模な処理を実行する人。



いずれの場合でも、組織は、ユーザーデータ処理を管理し、GDPR要件への準拠を監視するために、データ保護担当者を自発的に任命することができます。 この場合、会社は、そのような従業員に関する情報を公開するとともに、関連するEU諸国の個人データの保護のために国家規制機関に送信する必要があります。

どうする

データ保護に関する新しい欧州規制の適用範囲に入るか、サービスと商品を拡大してEU諸国に提供する計画がある場合、会社が使用する個人データを処理する方法と手段の包括的な評価を実施し、それらを新しいGDPRルールに準拠させることをお勧めします。 また、ヨーロッパの消費者とユーザーを対象としたサイトとオンラインサービスのユーザー契約（利用規約）の個人データの処理に関するプライバシーポリシーと規定を確認する必要があります。 GDPR要件に準拠するには、内部データ保護ポリシーを開発し、スタッフを訓練し、データ処理活動のチェックを行い、処理プロセスの記録を保持し、統合プライバシーシステムの対策を実施し、個人データの処理を担当する従業員を任命する必要があります（当然、自然と処理された個人データの量）。



個人データの処理に関する新しい要件は深刻であるにもかかわらず、非ヨーロッパのプレーヤーにとってはプラスの側面があります。導入前に行われた個々のEU諸国の個人データの処理における国の微妙な違いを考慮するよりも、データの保護と処理に関する単一のルールを順守する方が簡単ですGDPR。 さらに、この改革の目的は、EUで活動する企業のコストと官僚主義を削減することにより、経済成長を促進することです。 28（EU加盟国の数）の代わりに1つのルールに従うことは、中小企業が新しい市場に参入するのに役立ちます。 法律によれば、場合によっては、義務はビジネスの規模、処理されるデータの性質、およびその他の要因によって異なる場合があります。



また、GDPRのフレームワーク内で可能な欧州の規制当局および個人データ主体（ユーザー）からの要求に対応するためのメカニズムを事前に検討する必要があります（たとえば、データの洗練、削除、処理の停止、またはデータポータビリティの権利を持つ別の会社への転送など）。

おわりに

GDPRは最も重要な立法文書であり、EUおよびそれ以降の個人データ保護のレベルを大幅に向上させます。 非常に慎重な調査とコンプライアンスが必要です。 この改革は、データ保護の分野で適用されるべき規則の明確さと一貫性を提供します。 また、ユーザーと消費者の信頼を回復し、企業が単一のヨーロッパのデジタル市場で機会を最大化できるようにします。 世界中の個人データの収集、分析、転送は、経済的に非常に重要になっています。 もちろん、個人データは現代経済の「通貨」です。 また、何らかの形でユーザーデータを収集する場合は、第三者による漏洩や不正操作を防ぐために、その安全性を慎重に監視する必要があります。