目次:
ビデオ: therunofsummer (十一月 2024)
多くの企業、特に多くの中小企業(SMB)にとって、データの実際の場所は謎かもしれません。 たとえば、Amazon Web Services(AWS)に属するバージニア北部地域にあるクラウドベースのサーバークラスターで実行しているとします。 つまり、データはバージニア北部にありますよね? まあ、はい、おそらく。 しかし、ヨーロッパの企業や個人とビジネスをしているとしましょう。 そして、それらのエンティティに関するデータもおそらくその地域にあります。 そして、非常に短い時間で、それが問題になるかもしれません。
さらに重要なことは、GDPRのほかに、国境を越えたデータフローに関する他の規制もあり、それらを考慮する必要があることです。 これは、EU市民(またはEUに住んでいる市民ではない人)のデータが途中で別の国を通過することが問題になる場合があるためです。 これは、保管する場所だけでなく、顧客と従業員がどこにいるかを知る必要があることを意味します。
GDPRの規則に違反した場合に、このコラムや過去に他の多くの場所で概説されているため、あなたを待っているかもしれない過酷な罰則には立ち入りません。 したがって、これらのペナルティがあなたに適用されることは望ましくない、とだけ言っておきましょう。
GDPRコンプライアンスへの7つのパス
しかし、予防措置を講じている限り、罰則について心配する必要はありません。 問題を回避するためにできるいくつかのかなり簡単なことがあります。 ここに、最も簡単なものから最も難しいものの順に、そのうちの7つを示します。
EUの人々から個人情報を収集しないでください。 あなたのウェブサイトがあなたのウェブサイトに登録する過程で誰かが個人情報(例えば彼らの名前と住所)を記入する能力を持っているなら、EUからの登録を受け入れないか、まったく受け入れません。
EUの人々から個人情報を受け入れる必要がある場合(おそらくそこに商品を販売するeコマースWebサイトがあるため)、データをEU境界内にあるクラウドサーバーに保存します。 多くの場合、これは現在のクラウドプロバイダーのヨーロッパのWebサイトを使用して、Infrastructure-as-a-Service(IaaS)サーバークラスターを構成するだけの問題です。 あるいは、ほとんどのクラウドプロバイダーのプロフェッショナルサービス部門との短い契約に資金を提供することで、彼らがこのタスクを処理することになります。 それだけでなく、 ヨーロッパに拠点を置く コンサルタントとの関わりが十分に幸運である場合は、おそらく認定テストと適切なドキュメントも入手できます。
データを米国またはヨーロッパの他のいくつかの国に移動できる場合がありますが、制限があります。 米国では、プライバシーシールドに基づいています。プライバシーシールドは、米国、EU、およびスイス間の合意であり、米国とそれらの国の間を流れるデータの保護要件を指定します。 組織がGDPRのデータ保護要件を満たしていることを証明することはおそらく良い考えですが、EUの法律では、データの収集と保持は即時のタスクを実行するために必要なもののみに制限されています。 つまり、GDPRの詳細を知っている人にさまざまなデータフローを追跡してもらうことを意味します。 退屈ですが、これはあなたがコンプライアンスを守っていることを確認する唯一の方法です。
データがEUであろうと米国であろうと、データを処理する必要がある場合は、データ保護責任者(DPO)として指名された人を含むなど、特定の要件を満たす必要があります。 また、データが不要になったときにデータを削除するための専用のワークフローを調整する必要があります。これは、忘れることを求めている人の個人情報を確実に削除できるため、特に複雑になる可能性があります。 率直に言って、それがEUの人々に関する情報を保存することをもう一度考えるもう1つの理由です。
本当にEUでビジネスを行う必要がある場合は、おそらく、ヨーロッパのサーバーまたはビジネスグレードのファイル共有サービスを備えたクラウドアカウントではなく、そこに存在することを検討する必要があります。 ヨーロッパで業務を行うために会社に参加したい場合や、GDPRの専門家やコンサルタントを配置する方が、GDPR後の欧州ビジネスを単純に行うことは言うまでもありません。ヨーロッパの世界は他のどこよりも本質的に簡単です。
オフィスを開設する場合、ヨーロッパの従業員もGDPRルールに従って情報を処理する必要があります。 米国で従業員レコードを保持することはできますが、従業員が仕事をするために厳密に必要ではない情報を保持しないなど、ルールに従う必要があります。 また、従業員から個人情報を保存する許可を取得する必要があります(おそらく、従業員が支払いを受けるためです)が、DPOは保存されているすべてのデータを評価して、必要なものであることを確認する必要があります。 たとえば、理由がない限り、写真を要求することはできません。その場合、写真の使用方法について非常に具体的な理由を示す必要があります。 そして、従業員は何の影響もなく辞退することを許可されなければなりません。
複雑な部分については、IT部門は、保護されたデータが常にどこにあるか、使用中の場所、保存されている場所、および保護されている方法を判断できる必要があります。 アイルランドのクラウドサーバーにあると言うだけでは十分ではありません。 そのサーバーに到達する方法、使用時に何が起こるか、どのように保護されるかを詳細に知る必要があります。 最善の策は、少なくとも最初のマッピングと、その情報を維持する管理ツールの選択について、専門家を雇ってこれを行うことです。 最終的にはDPOとサポートスタッフが必要になりますが、短期的には、ほとんどの企業は、少なくとも検証可能な専門知識を持つコンサルタントを雇うことができます。
先延ばしのために
もちろん、それを細かく言ってはいけませんが、このすべてをすでに行っているはずです。 それでも、日々のビジネスの現実は彼らのものであり、これを読んでいるあなたの多くはそうではない可能性があります。 日付が基本的にあなたにあるので、少なくともあなたのデータがどこにあるかを知ることから始めてください。 そして、本来あるべき場所にない場合は、それがわかるまで上記のポイント1を参照してください。
これを行っている間、個人情報を要求するWebサイトの一部にアクセスできるようになる前に、同意フォームを投稿することをお勧めします。 Apache Web Servicesプロジェクトの副社長でありWSO2のディレクターであるSagara Gunathungeは、さまざまな目的のために同意フォームのいくつかの自由に利用可能な例を提供しています。 ただし、収集した情報への直接リンクと、それがEUまたは他の場所に保存されているかどうかを示すことができるように、これらのフォームに記入する人を追跡する必要があることに注意してください。 収集する情報に何が起きているのかを明確に表現し、正確に伝えてください。 はい、それは首の痛みです。 しかし、他の選択肢はオプション1です。
