GDPR

TL; DR

一般データ保護規則（GDPR）は、世界で最も厳格なプライバシーおよびセキュリティ法の1つです。欧州連合によって起草され承認されましたが、規制は、組織がEU内の人々に関するデータを対象とするか収集する限り、組織がどこで活動するかに関係なく、組織に義務を課します。規制は2018年5月25日に発効しました。 GDPRは、プライバシーとセキュリティの基準に違反した場合に罰金を科し、制裁措置は数千万ユーロに上ります。

GDPRとは何ですか？

GDPR（一般データ保護規則）は、EUおよびEEAにおける欧州連合のデータ保護およびプライバシー法、ならびにEUおよびEEA外への個人データの転送に関する法律です。 GDPRの主な目的は、個人データを管理できるようにすることと、欧州連合のプライバシー法を統一することで国際問題の規制環境を簡素化することです。規制は必須であり、個人データを保持または処理するすべての組織は準拠する必要があります。

この規則は2018年5月25日に発効し、2018年のデータ保護法に反映されました。この規制は「オペレーター」と「データプロセッサー」の両方に適用され、統合された古いルールと、データ主体に対するいくつかの新しい権利を対象としています。

個人データとは何ですか？

個人データとは、直接的または間接的に特定できる人物を指すデータであり、次のとおりです。

• 電子的に処理された;
• アーカイブに保管。
• 教育情報など、アクセス可能な情報セットの一部。
• 公的機関によって開催された;
• 必ずしも個人固有ではありませんが、それは彼らの識別につながります。
• 例：名前、電子メールアドレス、場所、宗教、民族、性別、Web Cookieに保存されているデータ、IP、政治的意見、生体データなど。

GDPRの原則

個人データは、公正、合法、かつ透過的に処理する必要があります。

• データは、定義された正当な目的のために収集されるべきであり、それらの目的と互換性のない方法でさらに処理されるべきではありません。
• データは過剰であってはならず、絶対に必要な量のデータのみを処理します。
• データは正しく、必要に応じて更新する必要があります。
• データは必要以上に長く保存しないでください。
• データは安全に保つ必要があります。
• 管理者は、収集する個人データの種類とその使用方法に責任を負います。従業員は、組織の手順の範囲外で個人データを開示したり、他者が保持している個人データを自分の目的で使用したりしないでください。

GDPRは誰に適用されますか？

GDPRは、EUで活動しているすべての組織、およびEUの顧客や企業に商品やサービスを提供しているEU以外の組織に適用されます。これには、直接、独自の目的で、または間接的に、訪問者に関するサードパーティのアプリやツール（Google Analyticsなど）のデータを収集しているWebサイトが含まれます。

電話に保存されている家族の電話番号など、個人レベルで他の人に関するデータを持っている人は、そのデータのGDPRを考慮する必要はありません。