gdprへの3か月：準備方法

これまでに、欧州連合（EU）の一般データ保護規則であるGDPRについて確かに聞いたことがあるでしょう。 GDPRは、欧州のユーザーの個人情報を不正な開示や悪用から保護するために採用されました。 そのため、GDPRは、EU市民のデータの保存場所、使用方法、保存期間、および保護方法に非常に厳しい制限を設けています。

ご想像のとおり、GDPRはヨーロッパのすべてのビジネスに適用されます。 あなたが期待しないかもしれないのは、それが商業で使用されているかどうかにかかわらず、ヨーロッパ市民に関するデータを保持する組織にも適用されるということです。 そして、あなたが規則に違反した場合、罰金は多額になる可能性があります。最大2000万ユーロ（US $ 24, 710, 200）または世界の収益の4％のいずれか大きい方です。

これが意味することは、規則を順守できると確信しない限り、しばらくの間ヨーロッパのビジネスを忘れた方が良いかもしれません。 EUには、プロセスを説明する優れたWebサイトがあります。 ヨーロッパでビジネスを行うことを計画している場合、あなたとあなたのITスタッフはこのWebサイトを読む必要があります。

しかし、もしあなたがすでにEUでビジネスをしている大企業であれば、あなたはすでに要件を十分に認識しており、おそらくルールの順守を示すことができる道を進んでいる可能性が高いでしょう。

しかし、あなたはそれらの組織の1つではないとしますか？ さて、GDPRがまだあなたに影響している可能性があります。 確認するために、座って状況を調べる必要があります。 ここでは、考慮する必要がある主要な事項について簡単に説明します。

運用とデータ保護

まず、操作を確認します。 EUの市民を対象に、どんなに小さなマーケティング活動もターゲットにしていますか？ これは、ウェブサイトのバージョンをヨーロッパ言語にしたり、ヨーロッパの通貨で支払いを受け付けたりするのと同じくらい簡単です。 または、金融取引用ではない場合でも、あらゆる目的であらゆる種類の個人データを収集しますか？

これは、米国を拠点とするウェブサイトを見つけて米ドルで販売されている商品を購入した場合、ヨーロッパをターゲットにしているという意味ではありません。 ただし、その場合でも、データをどのように処理し、どのくらいの期間保持するかに注意する必要があります。 しかし、定期的にヨーロッパのバイヤーに販売することを期待している場合、そこであなたのアカウントにサービスを提供するヨーロッパの会社を見つけることは良い考えかもしれません。

一方、EU市民に対処する可能性があると思われる場合は、データの保護と開示に関する規則に従うようにしてください。

データ保護ルールは、EU市民のデータを損失、盗難、または開示から保護する必要があることを意味します。 また、できるだけ早くデータを削除する必要があります。 また、EU市民のデータが侵害された場合、それが発見されてから72時間後に欧州当局に報告する必要があります。

また、データの使用方法と保持期間を開示する必要があります。 開示は明確かつ簡単に述べる必要があり、EU市民は同意するかしないかに同意する必要があります。 また、開示について留意すべき点がいくつかあります。デフォルトでボックスを事前にチェックすることはできません。また、これらの密集した無限の合法的な「契約条件」文書を開示として使用することはできません。

EU市民はあなたの開示に同意しないことを選択することができ、彼らが「いいえ」と言う方法が必要です。 ただし、商品やサービスの提供に必要な情報（クレジットカード番号や配送先住所など）が必要な場合は、製品を販売する必要はありません。

ルールは、取引の終了時に両当事者に適用されることに注意してください。つまり、あなたとクレジットカード会社です。 欧州への販売を計画している場合は、クレジットカードプロセッサがEUの顧客向けのGDPRルールに従うことを確認する必要があります。

忘れられる権利

そして、もちろん、有名な「忘れられる権利」があります。 リクエストに応じて、EU市民の名前と個人情報を削除できる必要があります。 これは、バックアップを含むあらゆる場所から、その情報がたまたま存在する可能性がある場所を意味します。 これには、データがどこにあり、その中に何があるのか​​を知る必要があります。おそらく今はできません。

忘れられる権利には制限があります。 たとえば、健康保険の携行性と責任に関する法律（HIPAA）または証券取引委員会（SEC）の要件を満たすなど、一部のデータを保持する必要がある場合は、法的要件を満たす必要があります。 しかし、それを超えて、要求に応じてそのような個人データを削除できる必要があります。

これがすべて首の痛みのように見えるなら、あなたは正しいかもしれません。 または、GDPRに関するEUの要件を、セキュリティ運用全体を合理化する機会と見なすこともできます。 たとえば、GDPRの要件を満たす方法ですべてのデータを保存および管理する場合、より安全な操作が可能になります。

同様に、これらの長文の読みにくい「契約条件」文書をダンプし、それらを意図の明確な声明に置き換えて同意を求めると、顧客は高く評価するでしょう。 また、実際に必要ではないが保護する必要があるデータの保存を停止すると、ハッカーはそこにないものを盗むことができないため、人生が簡素化され、侵害のリスクが軽減されます。

現実的には、GDPRは、組織が他の人のデータを処理する方法の実際のベストプラクティスを成文化しています。 これらのルールに準拠する方法を見つけることは、組織全体に役立ちます。