メインコンテンツまでスキップ

EUの一般データ保護規則(GDPR)

おそらくこれまでで最も包括的なデータプライバシー基準であるGDPRは、組織の本社がどこにあるかに関係なく、EU市民の個人データを処理する組織にとって重大な課題を提示します。

2018年5月より、EUの一般データ保護規則(GDPR)は、個人データの保護を改善し、データ侵害に対する組織の説明責任を強化することを目的としています。 世界の収益の最大4%または2,000万ユーロ(どちらか高い方)の罰金が科せられる可能性があるため、GDPRには確かに効力あります。 組織の場所に関係なく、EU居住者の個人データを処理または管理する場合は、GDPRに準拠している必要があります。そうでない場合、多額の罰金が科せられ、影響を受ける当事者にデータ侵害を通知する必要があります。 GDPRコンプライアンスの詳細について。

GDPRは拡張性があり、次の章と条項が含まれます。

第1章:一般規定

  • 第1条:主題と目的
  • 第2条:資料範囲第3条:領土範囲第4条:定義

第2章:原則

  • 第5条:個人データ処理に関する原則
  • 第6条:処理の合法性
  • 第7条:同意の条件
  • 第8条:情報化社会サービスに関連する子供の同意に適用される条件
  • 第9条:特別なカテゴリーの個人データの処理
  • 第10条:刑事上の有罪判決および犯罪に関連するデータの処理
  • 第11条:識別を必要としない処理

第3章:データ主体の権利

セクション1:透明性とモダリティ

  • 第12条:データ主体の権利を行使するための透明性の高い情報、コミュニケーションおよびモダリティ
  • 第2節:情報とデータへのアクセス
  • 第13条:データ主体から個人データが収集される場合に提供される情報
  • 第14条:データ主体から個人データが取得されていない場合に提供される情報
  • 第15条:データ主体によるアクセス権
セクション3: 修正と消去
  • 第16条:修正する権利
  • 第17条:消去する権利(「忘れられる権利」)
  • 第18条:処理を制限する権利
  • 第19条:個人データの訂正または消去または処理の制限に関する通知義務
  • 第20条:データの移植性に対する権利
セクション4: 異議を唱える権利と自動化された個人の意思決定
  • 第21条:異議を唱える権利
  • 第22条:プロファイリングを含む、自動化された個人の意思決定
セクション5: 制限
  • 第23条:制限事項

第4章:コントローラーとプロセッサー

セクション1: 一般的な義務
  • 第24条:コントローラーの責任
  • 第25条:設計およびデフォルトでのデータ保護
  • 第26条:ジョイントコントローラー
  • 第27条:連合に設立されていない管理者の代表
  • 第28条:プロセッサー
  • 第29条:コントローラーまたはプロセッサーの権限下での処理
  • 第30条:処理活動の記録
  • 第31条:監督当局との協力
セクション2: 個人データのセキュリティ
  • 第32条:処理のセキュリティ
  • 第33条:監督当局への個人データ侵害の通知
  • 第34条:データ主体への個人データ侵害の伝達
セクション3: データ保護の影響評価と事前協議
  • 第35条:データ保護の影響評価
  • 第36条:事前相談
セクション4: データ保護責任者
  • 第37条:データ保護責任者の指名
  • 第38条:データ保護責任者の役職
  • 第39条:データ保護責任者のタスク
セクション5: 行動規範と認証
  • 第40条:行動規範
  • 第41条:承認された行動規範の監視
  • 第42条:認証
  • 第43条:証明機関

第5章:国際機関の第三国への個人データの転送

  • 第44条:転送の一般原則
  • 第45条:妥当性の決定の根拠の転送
  • 第46条:適切な保護措置の対象となる転送
  • 第47条:拘束力のある企業ルール
  • 第48条:組合法で許可されていない転送または開示
  • 第49条:特定の状況に対する非難
  • 第50条:個人データ保護のための国際協力

第6章:独立した監督当局

セクション1: 独立したステータス
  • 第51条:監督当局 
  • 第52条:独立性
  • 第53条:監督当局のメンバーの一般条件
  • 第54条:監督当局の設立に関する規則
セクション2: 能力、タスク、および権限
  • 第55条:能力
  • 第56条:主任監督当局の能力
  • 第57条:タスク
  • 第58条:パワー
  • 第59条:活動報告

第7章:協力と一貫性

セクション1: 協力
  • 第60条:主任監督当局と他の関係する監督当局との協力
  • 第61条:相互扶助
  • 第62条:監督当局の共同運営
セクション2: 一貫性
  • 第63条:一貫性メカニズム
  • 第64条:取締役会の意見
  • 第65条:取締役会による紛争解決
  • 第66条:緊急時の手順
  • 第67条:情報交換
セクション3: 欧州データ保護委員会
  • 第68条:欧州データ保護委員会
  • 第69条:独立性
  • 第70条:取締役会の任務
  • 第71条:レポート
  • 第72条:手順
  • 第73条:議長
  • 第74条:議長の任務
  • 第75条:事務局
  • 第76条:守秘義務

第8章:救済、責任、および制裁

  • 第77条:監督当局に苦情を申し立てる権利
  • 第78条:監督当局に対する効果的な法的救済の権利
  • 第79条:コントローラーまたはプロセッサーに対する効果的な法的救済の権利
  • 第80条:データ主体の代理
  • 第81条:手続の停止
  • 第82条:補償と責任の権利
  • 第83条:行政罰金を科すための一般的な条件
  • 第84条:ペナルティ

第9章:特定のデータ処理状況に関連する規定

  • 第85条:表現と情報の処理と自由
  • 第86条:公式文書の処理とパブリックアクセス
  • 第87条:国民識別番号の処理
  • 第88条:雇用の状況での処理
  • 第89条:公益の目的、科学的または歴史的研究目的、または統計目的のアーカイブのための処理に関連する保護手段および非難
  • 第90条:秘密保持義務
  • 第91条:教会や宗教団体の既存のデータ保護規則

第10章:委任された行為および実行する行為

  • 第92条:委任の行使
  • 第93条:委員会の手続き

第11章:最終規定

  • 第94条:指令95/46/ECの廃止
  • 第95条:指令2002/58/ECとの関係
  • 第96条:以前に締結した契約との関
  • 第97条:委員会報告
  • 第98条:データ保護に関する他の組合の法的行為のレビュー
  • 第99条:エントリーイントロフォースとアプリケーション

第32条の主な規定

GDPRの第32条の主要な規定のいくつかは、次のことを要求しています。

a. 個人データの仮名化と暗号化
b. 処理システムおよびサービスの継続的な機密性、完全性、可用性、および回復力を確保する能力 c. 物理的または技術的なインシデントが発生した場合に、個人データの可用性とアクセスをタイムリーに復元する能力 d. 処理のセキュリティを確保するための技術的および組織的対策の有効性を定期的にテスト、評価、および評価するためのプロセス

第34条の主な規定

規則の第34条は、違反が発生した場合に対象者に通知する必要を回避するために組織が何をしなければならないかを詳述しています。
個人データ侵害が自然人の権利と自由に高いリスクをもたらす可能性がある場合、管理者は過度の遅延なしに個人データ侵害をデータ主体に連絡するものとします。
この記事の第1項で言及されているデータ主体への連絡は、個人データ侵害の性質を明確かつわかりやすい言葉で説明するものとします。
以下の条件のいずれかが満たされた場合、第1項で言及されているデータ主体への連絡は必要ありません。

a. 管理者は適切な技術的および組織的保護措置を実施しており、これらの措置は、個人データ侵害の影響を受けた個人データ、特に暗号化など、アクセスを許可されていない人が個人データを理解できないようにする措置に適用された場合
b. 管理者は、第1項で言及されているデータ主体の権利と自由に対する高いリスクがもはや実現しないようにするための事後措置を講じた場合
c. 過度な作業が含まれる場合。そのような場合、代わりに、データ主体が同様に効果的な方法で通知される公開コミュニケーションまたは同様の手段が存在するものとします。