GDPRへの対応

それは、EU市民の個人データの保存や使用をするか否かで異なります。つまり、お客様や見込み客、あるいは従業員がEU市民であるかどうかです。EU市民の従業員がいる場合、おそらくその人物の氏名や住所、銀行情報が保存されているでしょう。このようなデータは、欧州委員会の観点からは個人データとみなされ、規則の一部に従う必要があります。例えば、従業員が自分のデータの使用に同意している必要があり、また訂正する権利などの権利を有していなければなりません。組織はそのすべてを文書化し、当局に提出する必要があります。

扱うデータの種類によります。そのデータを使用して個人を特定できますか？もし可能であれば、ほとんどのB2B企業にとって答えは「はい」です。欧州委員会の見解ではそれは個人データの処理にあたり、B2C企業と同じ条件に従う必要があります。

シンプルな答えは「はい」です。EU市民の個人データを扱っている場合は、所在地がどこであっても、つまりEU加盟国であるか否かに関わらず、遵守する必要があります。

いいえ、必ずしもそうとは限りません。GDPRの初期の草案では、250人という数字がDPOの要不要を分ける判断基準として指定されていましたが、残念ながら、最終的な規則にはこれに関する明確なガイドラインがありません。DPOが必須となるのは、すべての公的機関、または健康データなど特別なカテゴリの個人データを大規模に扱う組織、あるいはビジネスの中心的業務に「大規模なデータ主体の定期的かつ体系的な監視」が含まれる場合です。ほとんどの大規模小売業者はこの定義に該当します。この定義が適用されるかどうか不明な場合は、法律的な助言を求めることをお勧めします。

はい。GDPRは、いわゆる「記録保存の制限」を定めています。これは、処理を目的とする個人データを、必要とされる期間を越えて保存することはできないという意味です。個人データは、公益のためのアーカイブ、科学的あるいは歴史的な研究、または統計を目的として扱われる場合に限り、長期間の保存が可能です。

はい。それは、現在「データポータビリティの権利」と呼ばれる消費者の権利です。GDPRでは次のように明確に述べられています。「データ主体は、自己が管理者に対して提供した自己と関係する個人データを、構造化され、一般的に利用され機械可読性のある形式で受け取る権利をもち、また、その個人データの提供を受けた管理者から妨げられることなく、別の管理者に対し、それらの個人データを移行する権利を有する。」

GDPRは確実にマーケティングの方法に大きな影響を与えます。誰をマーケティング対象にできるかに関してはもちろん、あなたがB2C企業であっても、B2B企業であっても同様に影響を受けます。同意要件では、あなたが対象者のデータを用いて当該人に対するマーケティングを行うことを対象者が望んでいるという明確な同意を各個人から得るように求められます。以前は、連絡先を収集してデータベースに保存し、そのデータを使用して、最初にデータが収集された場所や目的とは異なる目的、あるいはプラットフォーム上でその連絡先に対するさらなるマーケティングを行うことが可能でした。GDPRでは、同意はその特定の処理行動に固有である必要があります。つまり、将来的な処理を含めるために制限のない、あるいは包括的な同意を要求することはできません。新しい手段で個人にマーケティングを行いたいときには、その特定の目的のために新たな同意を得る必要があります。さらに、要求に応じて当局に文書化したものを提出できるようにするために、これらすべての同意を適切に管理しなければなりません。

はい。ただし、受信者は特定のデータ保護基準を遵守する必要があります。GDPRでは、欧州委員会が「適切な」水準の保護を実行していると判断した、あるいは標準的な契約条項や拘束的企業準則（BCR）の使用など特定の状況下にあると判断したEU域外の組織や国に対する個人データの転送が許可されています。

GDPRは、組織が多国籍環境で個人データを管理しやすくし、また、深刻な損害を与えるデータ侵害に企業が関わってしまうリスクを最小限に抑えることも目的として作成されています。GDPRは、ほぼすべての面で様々な国内法に取って代わり、その目的は、ヨーロッパ全域でデータ保護規則を一致させることです。さらに、各加盟国に「監督機関」が導入されたことで、組織は個人データに関連するすべての問題を一か所で処理できるようになりました。

遵守していない場合、多額の罰金が科せられる可能性があります。管理および緩和に関する違反の罰則は、最大で1,000万ユーロあるいは世界的な年間売上高の2%ですが、権利と義務に関する違反では最大で2,000万ユーロ、あるいは売上高の4%に上ります。