GDPRコンプライアンスを確保するための6つの主要ステップ–すぐに実行する必要があるステップ

GDPRコンプライアンスを確保するための6つの主要ステップ–すぐに実行する必要があるステップ

GDPRコンプライアンスを確保するための6つの主要ステップ–すぐに実行する必要があるステップ
СОДЕРЖАНИЕ
02 июня 2020

GDPRコンプライアンス


誰もがGDPRコンプライアンスのスペシャリストになることができるわけではありませんが、データ保護とプライバシーを無視する必要があるという意味ではありません。特にあなたがビジネスを経営しているなら。 GDPRへの準拠について多くの話がされてきましたが、GDPRに対応することは1回限りのプロジェクトではありません。ビジネスへの継続的なアプローチです.

私たちがデータを共有する人々を信頼すること(あなたのFacebookを見てください!)は、オンラインでのビジネスの重要な部分です。企業がサービスを実行するために個人データを必要とするとき、ユーザーはサービスを決定できるように、それが使用される理由と方法を認識する必要があります.

これが、GDPRが組織に対してより大きな責任を負い、個人の権利を増大させる理由です。.

私たちが話し合った一部のコンサルタントは、100%GDPRに準拠しているようなものはないと言っています. それは、データとプロセスを "倫理的な" 立場とそれほどではない "ツール" または "チェックリスト".

そのため、テンプレートを検索しないでください。各組織には、独自の方法があります。シナリオに基づいて、効率的なデータ保護とプライバシー戦略を開発してください。このガイドは、出発点にすぎず、高レベルで一般的なアプローチです。理想的には、ビジネスの各領域を掘り下げ、データの収集、処理、開示、保存、削除の方法を検討する必要があります.

��このガイドは純粋にガイダンス用であり、法的助言や法的分析を構成するものではありません。組織は、特定の法的問題またはクエリについて独立した法的助言を求める必要がある場合があります.

1. GDPRに関する主要な概念と記事を理解する

GDPRに準拠することは、 "ウェブサイトを修正する". 組織全体の一部です.

企業が情報をまったく処理しない状況はごくわずかです。ほとんどの場合、お客様のデータとやり取りする主要な担当者(HR、IT、マーケティング、セキュリティチーム)にはさまざまなレベルが存在するため、一般的なデータ保護規則に注意する必要があります。一人でのショーではありません。技術的実装と法的実装の両方が必要.

用語を理解する 大きな一歩です。以下は、ガイドで使用するもので、GDPRをナビゲートするのに役立ちます。

  • データ主体 –個人データがコントローラーまたはプロセッサーによって処理される自然人.
  • データコントローラー –個人データの処理の目的、条件、および手段を決定するエンティティ.
  • 個人データ –人を直接または間接的に識別するために使用できる自然人またはデータ主体に関連する情報.
  • データプロセッサ –データコントローラーに代わってデータを処理するエンティティ.

次に、以下の記事をよく理解してください。これにより、GDPRへの移行が簡単になります.

  • アート。 5:個人データの処理に関する原則.
  • アート。 6:個人データ処理の合法的基盤.
  • アート。 12〜22:データ主体の権利(アクセス、データの移植性、忘れられる権利など)
  • アート. 25 & 32:企業は、データ主体の個人データを保護するために必要な保護対策を実施する必要があります.

⚡アクションステップ:

  • 時間をかけて法律を読む.
  • WordPressの完全なGDPRガイドをご覧ください.
  • ユーザーデータを慎重に処理します。営業秘密を扱うのと同じように扱います.
  • GDPRの処分に従って製品、サービス、ツール、プロバイダーなどを評価する.
  • GDPRのリスクとメリットについて協力者に説明する.

2. GDPRコンプライアンスのために今何をすべきか

いくつかの異なる領域でアクションを実行する必要があります。

2.1。データマッピング

GDPRへの準拠に向けた重要なステップは、組織内でのデータの移動方法を理解することです。インベントリを作成して会社の情報の流れを文書化すると、コンプライアンスの証明に役立ちます。出発点としては、次のデータマップが適切です。 GDPRデータマップテンプレート

gdprコンプライアンスデータマップ

データの流れをマッピングすると、GDPRコンプライアンスの問題を引き起こす可能性のある領域を特定するのにも役立ちます。処理操作は、データコントローラーが少なくとも合法的に信頼できる場合にのみ実行できることを覚えておいてください。最も適切な法的根拠は、処理される個人データと処理の目的によって異なります.

2.2。個人情報保護方針

現在のプライバシーポリシーを確認して更新します。これは、人々がGDPRコンプライアンスをチェックするために最初に見る場所です.

データを処理するための法的根拠、保持期間、顧客が実装に不満を持っている場合に不満を言う権利、データが自動意思決定の対象となるかどうか、GDPRに基づく権利を個人に伝える必要があります。.

さらに、簡潔で理解しやすく明確な言葉で情報を提供する必要があります.

2.3。トレーニング

GDPRはビジネス変更プロジェクトです。データを保護することの重要性を理解し、GDPRの基本原則とコンプライアンスのために実装されている手順についてトレーニングを受ける必要があります。.

通知が必要な人とこの記事を共有する.

⚡アクションステップ:

  • データプロセッサによって実行されたデータストリームのマップとドキュメント化.
  • 情報をあきらめるユーザーに対して完全に透過的である.
  • アートごとに、従業員、ベンダー、およびクライアントに有益な通知を提供します。 GDPRの13.
  • Webサイトで機密の個人データを処理するときに明示的/アクティブな同意を使用するように同意方法を構成する.

3.次に取るべきGDPRコンプライアンス手順

データ管理者は、タスクの遂行に関して常に監督当局と協力する必要があります.

組織内のデータ処理アクティビティとセキュリティ管理の定期監査をスケジュールします。同意の証明のために、個人データ処理の記録を最新に保つ.

3.1。他のベンダーが何をしているかを確認する

GDPRには明確な規則がないため、データがユーザーエクスペリエンスを犠牲にすることなく準拠していることを確認するために、市場はさまざまな戦術を考え出す必要があります。多くの企業が新機能を発表しているため、競合他社のWebサイトでニッチの変更やベストプラクティスを確認してください。.

3.2。データ侵害の報告

内部だけでなく外部のデータ侵害を検出、報告、調査するための適切な手順が整っていることを確認する必要があります。データ侵害の重大度、影響を受けるデータ主体の数、影響を受ける個人データの種類などに基づいて、データ侵害マトリックスを設定する間、賢くなります.

通常, 72時間以内に監督官庁にデータ侵害を報告する必要があります, 個人データが匿名化または暗号化されていない限り.

3.3。運用ポリシー、手順、プロセスに引き続き取り組みます

前述のように、プライバシーは1回限りのプロジェクトではありません。収集したデータが安全で、適切な範囲で使用されるようにするための継続的な作業です。個人データを削除する方法や、一般的に使用されている形式でデータを電子的に提供する方法など、個人が持つすべての権利をカバーするように手順を確認する必要があります.

⚡アクションステップ:

  • データ侵害の報告メカニズムの設計.
  • GDPRとプライバシーポリシーに沿ったすべての内部手続きをもたらす.
  • 従業員、顧客、サプライヤーの契約を確認して更新する.
  • 適切な組織的および技術的手段を通じて個人データを保護する.
  • EU外へのデータ転送がGDPR要件に準拠しているかどうかを確認します。移行ポイントを忘れないでください.

4.ウェブサイトの調整

このトピックは、特に開発者やマーケティング担当者にとって、少し物議を醸しています。フォームを調整してCookieの同意を取得すると、問題の80%が解決されると思います. ただし、これは法的な助言ではありません。.

4.1。オプトインフォーム

これは企業が情報を収集する標準的な方法であるため、使用するすべてのフォームを調整する必要があります。最善の方法についてはコンセンサスはありませんが、メールサービスプロバイダーの推奨事項に従っています。この インフォグラフィック オプトインをGDPRに準拠させることから始めるのが良い出発点です.

4.2。クッキーの同意

短いバージョン:厳密に必要なCookie以外のものを設定する前に、Cookieとトラッカーの目的をプレーンな言語で訪問者に通知します。.

企業がこれを実装する方法はいくつかあり、 GDPRリファレンス Cookieを使用しても問題は解決されません。もちろん、いわゆる 機能的なクッキー セッションに使用されますが、ユーザーを追跡するためにCookieを設定するには特定の同意が必要です.

ここで知っておくべきことは、 別のヨーロッパの規制 (ePrivacy)が登場し、Cookieがさらに法化されます.

5.考慮すべきその他のGDPRコンプライアンス問題

GDPRの他の重要な側面を次に示します。

5.1。データの転送と開示

個人データの転送に注目。データプロセッサが外部にデータを転送するつもりの場合は、必ず承認を求めるようにしてください。 EU / EEA. データプロセッサが提供するサービスの一部を外注する場合も、同じ規則が適用されます。.

5.2。データ保護影響評価(DPIA)

GDPRは、導入されている新しいテクノロジー、個人に大きな影響を与える可能性が高いプロファイリング操作、公的にアクセス可能なエリアの大規模な監視など、ハイリスク処理に関与する組織に必須のDPIAを導入します。.

5.3。正当な利益の評価(LIA)

DPIAとは異なり、LIAは主にプライバシースペシャリストによって開発されたベストプラクティスにすぎず、データコントローラーが正当な利益(マーケティング業務など)に依存しようとするすべての状況を指します。あ "興味" と見なすことができます "正当な" データ管理者がデータ保護およびその他の法律に準拠する方法でこの関心を追求できる限り.

5.4。データ保護担当者

GDPRでは、一部の組織にデータ保護担当者(DPO)を任命する必要があります。 DPOを必要とする組織には、公的機関、大規模なデータ主体の定期的かつ体系的な監視を含む活動を行う組織、または現在知られているものを処理する組織が含まれます "機密個人データ" 大きなスケールで見ると.

5.5。子供のデータの処理

組織で未成年者のデータを処理する場合は、個々の年齢を確認し、保護者から同意を得るための適切なシステムが整っていることを確認する必要があります。 GDPRには、16歳未満の子供向けの特別な規定がいくつかあります(GDPRの第8条に注意してください)。

6.監視と監査

企業は、データの使用方法と保護方法について透明性を保つことが法律で義務付けられていることを認めなければなりません。各組織(慈善団体や公共部門の事業体を含む)は、特定のデータを収集する範囲を定義する必要があります.

サービスまたは製品の提供に必要な個人情報のみを収集してください。また、データは他の無関係な目的で共有しないでください.

もう1つの重要なことは、データをハッキングから保護し、正確かつ最新の状態に保ち、一定期間後にデータを削除することです.

一般データ保護規則は、個人の保護に関して、改善の余地を残しています。これが、将来のeプライバシー規制により、特にビッグデータにおいて、透明性がさらに高まり、分析の発生と目的に光を当てる理由です。これは、定期的にデータを監視および監査するのに十分な理由です。.

ここで停止しないでください。このガイドで使用した公式リソースにアクセスし、プライバシーについて学びます.

結局、コンプライアンスのレベルがあり、ここにリストされているものよりも多くの要因に基づいて、どれがあなたに適合するかを決定する必要があります。ただし、これは、GDPRコンプライアンスに向けて正しい方向に進むための素晴らしいスタートです。もちろん、ビジネスとして、私たちは皆、市場で競争力を維持する必要があるため、いくつかのトレードオフがあります.

GDPRに準拠するためにどのように準備していますか?コメントでベストプラクティスを共有してください!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Это интересно
    Adblock
    detector