GDPR: 新しいデータ保護規制に関する 9 つの質問で知っておくべきことすべて

一般データ保護規則 (GDPR) は、2018 年 5 月 25 日から欧州連合で発効します。この日から、欧州国民のデータを処理する企業は、個人データを保護するためにさらに努力し、次の場合には同意を得る必要があります。データ収集。しかし、それは実際に何を変えるのでしょうか? 9 つの質問で物事をより明確に理解することをお勧めします。

一般データ保護規則 (GDPR) は、欧州連合国民の私生活に関連するデータを保護することを目的としています。主な目的は、国によって大きく異なる慣行を調和させて、多国籍企業とそのデータ収集、特に GAFAM (Google、Apple、Facebook、Amazon、Microsoft) に対して大きな影響力を及ぼすことです。また、欧州連合内の企業や行政の IT セキュリティを向上させ、産業スパイから保護することも目的としています。

もちろん、主な目標は、何よりも欧州国民の個人データの可視性と管理を強化することであり、どのようなデータが収集されるか、どのような目的で、この収集を担当する企業によってどのくらいの期間保管されるかなどを明らかにすることです。企業は利害関係者や当局に対して収集を正当化する必要があり、(非常に) 重い制裁の危険を冒さずには望むことを実際に行うことができなくなるため、文書は収集されるデータの量も削減する必要があることがわかります。

個人データとは何ですか?

これらはすべて、直接的または間接的 (相互参照による) に個人を識別できるデータです。これには、名前、名、郵便番号、電子メール、IP アドレス、電話番号、居住地、生年月日、社会保障番号、クレジット カード番号、ナンバー プレート、写真、年齢、性別、DNA、指紋が含まれます。 、興味、意見、収入、インターネットでの行動(訪問したサイトなど)、ソーシャルネットワークでのやり取り、他の人々とのつながり、健康データ、位置情報、会話などの例があります。

このデータは企業内のあらゆる場所に存在し、専門的なアドレス帳や顧客データベースにも含まれています。したがって、これはケンブリッジ・アナリティカのスキャンダルに巻き込まれたFacebookのようなソーシャルネットワークからのデータだけに限定されるものではありません。

GDPR の対象となるのは誰ですか?

欧州連合の居住者に商品、サービスを提供、またはデータを処理し、単一市場で活動するすべての主体 (企業、団体、国際組織) は、GDPR の影響を受けます。しかし、その下請け業者も同様です。テキストで指定されているのは、「データ管理者と下請け業者は、リスクに適したレベルのセキュリティを保証するために、適切な技術的および組織的対策を実施します。」

これらの企業、組織、団体は、欧州連合に加盟している場合とそうでない場合があります。欧州連合国民のデータを処理する限り、遵守する必要があります。

これは企業にとって何を変えるのでしょうか?

企業は、データがどこにあるのか、どのように収集され、どのような目的で保管されているのかをいつでも把握し、これらすべてを要求者に送信できなければなりません。この文書の適用に備えて導入しなければならない対策のリストは次のとおりです。

  • 責任: 欧州文書への準拠を保証するためにあらゆる手段を講じ、異議申し立てが行われた場合に GDPR に準拠していることを証明するのは企業の責任です。
  • 製品やサービスの設計から個人データの保護
  • セキュリティはデフォルトで強力である必要があり、組織は情報システムの整合性が侵害された場合の結果に対処する必要があります。
  • の指定データ保護担当者またはデータ保護担当者: GDPR への準拠を確保し、当局と連携する必要があります。
  • 影響調査: サービスを開始する前に実施する必要があり、サービスが私生活に及ぼす影響を軽減するための措置を見つけることができます。

さらに、収集されたデータは、免除されない限り欧州連合内に留まらなければなりません。データ漏洩やハッキングが発生した場合は、関係者のほか、フランスの CNIL および/または EU 加盟 27 か国のいずれかの対応機関に 72 時間以内に通知する必要があります。これらの違反はデータ侵害登録簿で報告する必要があります。

これはヨーロッパのインターネット ユーザーにとって何を変えるのでしょうか?

企業は収集されるデータを最小限に抑える必要がありますこれは、あなたに関する収集されるデータが少なくなることを意味します。個人データが収集されたら、インターネット ユーザーはすぐに自分のデータも提供する必要があります。明示的な同意。法的通知は次のとおりですこのコレクションの理由を説明してください、そのデータがどのように使用され、どのくらいの期間保存されるか

データの移植性に対する権利もあります。これは、次のことを意味します。Google、Facebook、Apple、Amazon、Microsoft などに問い合わせることができます、あなたに関するすべてのデータを構造化された形式でダウンロードします。これは、このデータが他のユーザーに送信されないことも意味します。「データコントローラー」あなたのリクエストに応じてのみ。したがって、アプリオリに、これは個人データの背後での(法的)販売の終了を意味します。

遵守しない企業にはどのようなリスクがありますか?

この文書は、世界の年間売上高の4%から2,000万ユーロという前例のない非常に重い制裁を規定している。いずれの場合も、最大額が保持されます。さらに、苦情が生じた場合には、当該企業が訴訟費用を賠償しなければなりません。たとえ多国籍企業であっても、単一市場から利益を得たい企業が確実に遵守できるようあらゆる手段が講じられます。

このテキストは実際にどの領域に適用されますか?

この質問は決して不合理なものではありません。一般的なデータ保護規制は、当然のことながら、欧州連合の 27 加盟国で構成される地域にも適用されます。しかし実際には、この大いに期待された文書は、これらの境界をはるかに超えた影響を及ぼします。これは、データ収集に関する不信感が世界的に広がっている状況では存在しなかった標準を定義しています。

たとえば、Facebook は、GDPR 保護が世界中のソーシャル ネットワークのすべてのバージョンに適用されると発表しました。皮肉の極みは、米国に至るまで他の企業が Facebook のようなテキストを採用することだ。

GDPR はいつ発効しますか?

この条文は 2018 年 5 月 25 日に発効しますが、この新しい規制の効果はこの日までに徐々に現れるでしょう。企業が D-Day に GDPR に準拠するには、事前にユーザーに個人データの収集に対する同意 (または同意の拒否) を求めている必要があります。

これは次の場合ですFacebook、GDPR準拠のための変更点リストを発表。テキスト自体は長いプロセスの集大成です。 2017 年は彼らにとって変革の年でした。徐々に、データの収集方法を広範囲に制御し、データのダウンロードを非常に簡単にするサイトが増えてきます。

テキストの弱点は何ですか?

新しいテキストと同様に、完全に夢中にならないことが最善です。 GDPR にはまだ判例がありません。条文には最小および最大の制裁が規定されていますが、これらの制裁の正確な額を実際に知るには裁判所の判決を待つ必要があります。 Quadrature du Net が GDPR 発効日である 2018 年 5 月 25 日に GAFAM に対して計画している訴訟は、この点を明確にするのに役立つはずです。

この記事の執筆時点で、連合内にはまだ多くの企業(特に新興企業)が対応に苦戦していることを考えると、あまり知られていない他の苦情も生じる可能性がある。