一般データ保護規則
GDPRへの対応は、当社とお客様との関係における大原則のひとつです。GDPRは、ユーザーデータの保護を強化するために作られました。GDPRに従うことは、消費者との交流を成功させるための鍵となります。この規制は2018年に採用されました。したがって、一部のユーザーはそれについてかなり知っています。私たちは、この問題をより詳しく理解し、GDPRのすべてのニュアンスを明らかにします。
ドキュメントのエッセンス
GDPRは、個人情報を提供するユーザーと、その情報を収集・処理する組織との関係を規制する文書です。
この規制は、2018年5月25日に施行されました。ユーザーの個人データの安全性を規定する従来の公式文書は、1995年から施行されている「EUデータ保護指令」でした。
GDPRは、会社が収集した個人データを管理する権利をユーザーに付与しています。個人または組織は、特別な要求をすることにより、必要な情報を得ることができます。
この規制の主要な関係者は、コントローラとプロセッサです。管理者は、ユーザーデータを収集する企業または組織です。処理者とは、管理者に代わってこの情報を処理する企業です。
本規定では、以下の情報が個人情報に該当します:
- 氏名、自宅および勤務先の住所
- 携帯電話と自宅の電話番号
- 身分証明書(パスポート、健康保険、運転免許証など)の番号
- 金融情報(銀行カード、電子金融口座)。
- 健康情報
- ユーザーの人種的・文化的アイデンティティ
- IP アドレス、クッキーなど
これらは、基本的な情報の種類のほんの一部です。これらの情報は、基本的な情報の一部であり、すべてのリストは規制の本文に記載されています。
すべての組織は、すべての要求を記録し、ユーザーデータが安全に保護されていることを確認する必要があります。この新しいルールは、すべての欧州企業だけでなく、欧州連合の市民にサービスを提供している他国の商業組織にも適用されます。
規制の主な原則
個人情報保護の方法は、20世紀の80年代から欧州共同体によって徐々に開発・改善されてきた7つの原則に基づいています。
- 透明性、公平性、適法性。データは合法的な方法で収集されなければならない。組織は、ユーザーの知らないところで個人情報を転送・処理することはできません。
- データ処理の目的。情報の収集および処理の目的は明確に示されなければならない。データを違法な目的で使用することはできません。
- データ量の最小化。企業は必要な量のデータのみを収集することができる。分析の対象と目的に関係のないユーザーの情報を使用することは禁じられています。
- 情報の正確さ。個人情報は可能な限り正確で真実でなければなりません。収集されたデータが誤っていることが判明した場合、本人はそれを修正する権利を有します。
- 保存の条件。情報は処理後に削除されるべきである。
- プライバシー。データを収集・処理する組織は、その機密性に責任を負う。
- 説明責任。管理者と処理者は、上記の手段を遵守していることを確認できるようにしておかなければならない。
ルールに違反した場合のペナルティー
メディアの報道によると、同規則の採択後、一部の企業は、GDPRの要求事項に準拠するためのリソースの監査をかなり無責任に行っていました。その結果、多くの企業が多額の制裁金の支払いを余儀なくされました。例えば、グーグルやブリティッシュ・エアウェイズなどの大企業は、新しい規範を遵守しなかったために多額の費用を請求されました。
罰金の額は、ユーザーの機密性に対する損害の規模によって異なります。例えば、ブリティッシュ・エアウェイズは、データ流出(50万人の顧客に関する情報)を経験しました。この会社は2億ユーロ以上の罰金を支払わなければなりませんでした。罰金の総額は、すべての会社の支店の年間売上高の2%までとなります。
したがって、財政的および法的な問題を回避するために、組織はGDPRの原則に従って顧客と協力する準備をしなければなりません。まず、監査を行い、企業がユーザーデータの保護と機密性を確保する準備ができているかどうかを評価する必要があります。
また、会社の初期監査に加えて、6〜12ヶ月ごとの定期的なチェックを行い、会社の弱点やミスを洗い出すことも欠かせません。
監査には、専門家が関与する方法と独立して行う方法があります。最初のケースでは、起業家はEU諸国で高い評価を得ている信頼できる監査法人に頼るべきです。
独立した監査を行うためには、定期的なチェックを行う特別な従業員を雇う必要があります。この方法は、かなり大きな財政的投資を意味します。しかし、これによりお客様との対話の安全性が保証されます。
監査のもう一つのタイプは、規制当局による組織の評価です。原則として、このようなチェックは不定期です。それらは選択的に実施されます。
私たちの義務
2WinPowerは、長年にわたってヨーロッパ諸国のお客様と仕事をしてきました。2018年に採用された新しいルールに、最大限の責任を持って従っています。当社は、クライアントの個人データを扱うための安全な環境を作るために、可能な限りの努力をしています。
2WinPowerでは、以下のような対策を行っています:
- 情報の収集は、利用規約に基づいたユーザーの個人的な同意に基づいてのみ行われます。
- 2WinPowerは、お客様とのコミュニケーションやサービスの提供のために個人情報を収集・処理します。ユーザーの機密情報を開示することはありません。
- お客様はご自身の個人データにアクセスすることができます。お客様はご自身の個人情報にアクセスすることができ、提供された個人情報をご自身で変更することができます。
- ユーザーの支払いデータは、暗号化技術により確実に保護されています。
2WinPowerの主な義務は、ユーザーのプライバシーを保護することです。最新のセキュリティシステムの使用により、ユーザーの個人情報の安全性を確保しています。
また、外部からの要求や個人データを不正に取得しようとする試みに関するレポートを収集し、分析します。その結果に基づいて、2WinPower社のセキュリティメカニズムを修正する決定を下します(セキュリティレベルの向上、新しいツールの使用、効果のない方法の廃止など)。
プログラマーのチームは、情報漏洩を防ぐためにセキュリティシステムの信頼性を常にテストしています。さらに、経験豊富な弁護士と協力して、GDPRに準拠した運用を行い、顧客の利益を保護しています。
当社は、欧州連合(EU)加盟国の監督機関に門戸を開いており、外部からの要請や当社の保護メカニズムに関する情報を提供する用意があります。
2WinPower社は、当社のユーザーの個人情報を処理する他の組織に、プライバシーを維持することの重要性と、国際基準を逸脱した場合に起こりうる罰則について通知します。
私たちの組織は、個人情報を扱う際の明確なアルゴリズムをケースごとに確立しています。このアクションのリストは、契約書に明記されています。私たちは、このアルゴリズムからの逸脱、追加ツールの使用、および矛盾した行動の実行に対する全責任を理解しています。
お客様の責任について
GDPRによると、2WinPowerのクライアントは管理者です。情報処理の目的と方法は、管理者が決定します。上記のGDPR規則に基づき、管理者は個人情報の完全なプライバシーと保護を保証する処理者にデータを転送しなければなりません。
処理者と同様に、管理者も提示された情報の機密性、真実性、適法性に責任を負います。第三者の同意を得ずに、第三者のデータを転送することは禁じられています。管理者が提供する情報は、信頼できるものでなければならず、特定の国の法律に違反してはなりません。
ユーザーにとってのメリット
GDPRの規定に基づき、EU市民は自分の個人情報の収集に同意または拒否する権利を有します。また、様々な組織によって収集された個人情報を削除・変更する権利もあります。EUデータ保護指令(1995年)と比較して、新規則はユーザーに自由度を与えています。
人は以下の権利を得ました:
- 情報の収集および処理の目的を知ること。
- 個人情報にアクセスし、管理する機会を持てること。
- 情報の収集および処理を拒否する。
- データの収集および処理に異議を唱えることができる。
- あるリソースから他のサービスに情報を転送する機会を得ること。
DEMO 
