ザ・一般データ保護規則(Gdpr)欧州連合(Eu)および欧州経済領域(eea)内の個人のデータ保護とプライバシーのさまざまな側面をカバーし、組織が個人データをどのように処理、処理、保護すべきかをカバーするガイドラインを設定しています。 以下は、gdprガイドラインでカバーされている主な要素の概要です。

__email0__ 1.範囲と適用範囲

Gdprは以下に適用されます:

• すべての組織組織がどこにあるかにかかわらず、Euまたはeea内の個人の個人データを処理する企業、非営利団体、政府を含む。
• データコントローラ(処理の目的と手段を決定する者)データ処理者(コントローラーに代わってデータを処理する人)

これは、収集、記録、保管、変更、取得、相談、使用、開示、消去、および破壊を含むあらゆる種類の個人データ処理に適用されます。

__email0__ 2.主な定義

• 個人データ個人を直接的または間接的に識別できる情報(e.__email0__ g。、氏名、メールアドレス、IPアドレス、位置データなど__url0__ )に記載されていることをお知らせします。
• 機密性の高い個人データ人種的または民族的出身、政治的意見、宗教的信念、健康データ、生体認証データ、性的指向などの追加の保護を必要とする特別なカテゴリのデータ。
• データ主題: 個人データが属する個人。
• データコントローラ: 個人データの処理の目的と手段を決定する団体。
• データ処理者: コントローラに代わってデータを処理するエンティティ。

__email0__ 3.データ処理の原則

Gdprは以下に基づいています。7つの重要な原則データ処理の:

1. 合法性、公正性、透明性データは、合法的、公正、透明な方法で処理されなければなりません。 個人はデータの処理について知らされなければなりません。
2. 目的の制限個人データは、特定の、明示的、正当な目的のために収集され、それらの目的と互換性のない方法で使用されなければなりません。
3. データの最小化収集されたデータは、適切で、関連性があり、意図した目的に必要なものに限定されなければなりません。
4. 正確さ個人データは正確で最新のものでなければなりません。
5. ストレージ制限データは、収集された目的のために必要な時間を超えて保存してはなりません。
6. 誠実さと機密性データは安全に処理され、不正または違法なアクセス、紛失、または損傷から保護する必要があります。
7. 説明責任データ管理者は、上記の原則の遵守を確保する責任があり、コンプライアンスを実証できる必要があります。

4.処理のための法的根拠

個人データは、以下のような有効な法的根拠がある場合にのみ処理できます。

• 同意する個人が特定の目的のために明示的な同意を与えていること。
• 契約内容: 個人との契約の履行のために処理が必要です。
• 法的義務: 法令を遵守するために処理が必要です。
• 重要な関心処理は誰かの命を守るために必要です。
• パブリックタスク: 処理は、公共の利益のためにタスクを実行するために必要です。
• 正当な利益: 処理は、個人の権利によって覆されない限り、データ管理者の正当な利益のために必要です。

__email0__ 5.データ主体の権利

Gdprは、個人データに関するいくつかの権利を個人に付与しています。

1. 知らされる権利個人は、(プライバシーポリシーを介して)自分のデータがどのように収集、使用、共有されるかを知る権利を有します。
2. アクセス権個人は、自分の個人データへのアクセスとその処理方法を要求することができます。
3. 訂正する権利個人は、不正確または不完全なデータの修正を要求することができます。
4. 消去の権利(「忘れられる権利」)個人は、特定の状況下で個人データの削除を要求することができます(e.__email0__ g。(データが不要になった場合)
5. 処理を制限する権利個人は、特定の条件下でデータの処理を制限することを要求することができます。
6. データポータビリティへの権利個人は、自分のデータを別の組織に転送するか、または構造化され、一般的に使用され、機械読み取り可能な形式で自分自身に直接転送することを要求することができます。
7. 異議申し立てる権利個人は、ダイレクトマーケティングを含む特定の目的で個人データの処理に異議を唱えることができます。
8. 自動意思決定とプロファイリングに関する権利個人は、特定の条件が満たされない限り、プロファイリングを含む自動処理のみに基づく決定の対象にならない権利を有します。

__email0__ 6.データ保護影響評価(Dpia)

Dpiaは、データ処理活動が個人の権利と自由に高いリスクをもたらす可能性がある場合に実施する必要があります。 これは通常、機密データの大規模な処理、プロファイリング、または処理に適用されます。

__email0__ 7.データ侵害通知

組織は、関連するデータ保護機関(英国では、これは情報コミッショナーのオフィスまたはIcoです)に通知する必要があります。72 時間個人の権利および自由にリスクをもたらす個人データ侵害を認識すること。 違反が高いリスクをもたらす可能性がある場合は、影響を受ける個人にも通知する必要があります。

__email0__ 8.Eu/eea外へのデータ転送

Eu / eea以外の国への個人データの転送は、以下の場合にのみ許可されます。

• 受付国が提供する適切なレベルの保護欧州委員会が決定した通りです。
• 適切な保護措置、例えば標準契約条項(Scc)または拘束力のある企業規則(Bcr)設置中です。
• データ主体は明示的な同意を提供しています。

__email0__ 9.設計およびデフォルトによるデータ保護

組織は、個人データの処理を含むプロジェクトまたはプロセスの開始時からデータ保護対策を組み込む必要があります。 この原則は、デザインとデフォルトによるプライバシーつまり、プライバシーは、設計段階とデータ処理のライフサイクル全体で考慮する必要があります。

__email0__ 10.データ保護責任者(Dpo)

Dpoを任命する必要があります:

• 組織は公的機関です。
• 中核的な活動には、個人を大規模に定期的かつ体系的に監視することが含まれます。
• 組織は大量の機密性の高い個人データを処理します。

Dpoの責任は次のとおりです。

• Gdprの遵守状況を監視する。
• データ保護の義務に関する助言
• データ保護当局との連絡先として機能します。

__email0__ 11。罰金と罰則

Gdprを遵守しない組織は、巨額の罰金に直面する可能性があります。

• まで2,000万ユーロまたは同社の世界年間売上高の4%どちらが高いかというと、最も深刻な違反です。
• 違反が少ないと罰金が科せられる可能性があります1,000万ユーロまたは年間売上高の2%ここに記載のCookieを拒否したい場合で、ブラウザーの設定などから直接拒否できない場合は、 __email0__ までお問い合わせください。

12.説明責任と記録保持

組織は、以下を含むGdprコンプライアンスを実証するためのドキュメントを維持する必要があります。

• 処理活動の記録
• データ保護方針と手順
• 必要に応じてDpia
• データ主体の要求と回答の記録。

__email0__ 13.同意要件

個人データ処理の法的根拠として同意に依存する場合、以下のガイドラインに従う必要があります。

• 同意は自由に与えられ、具体的で、情報に基づき、明確でなければなりません。
• 同意は明確な措置によって与えられなければなりません(e.__email0__ g。__email0__ 、オプションイン)および事前にティックされたボックスを通してではありません。
• 組織は同意を得たことを証明できる必要があります。
• 個人はいつでも同意を取り消す権利を有しなければなりません。

Gdprは、データ保護に関する高い基準を設定し、個人が個人データをよりコントロールできるようにすることを目指しています。 これらのガイドラインを遵守することで、組織はコンプライアンスを確保し、罰則のリスクを回避することができます。