ほとんどの規制と同様に、GDPRは何をすべきか、何をすべきでないかに関するルールの明確なリストではありません。したがって、それに関する質問は、Q / Aサイトで処理するには広すぎることがよくあります。規制には多くの神話と誤った単純化があり、業界全体は規制によって課される制裁の恐怖に基づいています。
この答えは、主題の実用的な概要を提供しようとします。私は弁護士ではありませんが、このテーマが導入されてからほぼ最初に取り組んでいます。最初は情報収集の待ち合わせのアプローチで、現在は別の実用的な優先順位付けおよび反復アプローチです。
規制が裁判所によってどのように解釈されるかは(まだ)わかりません。多くの企業は、他の企業がどのような措置を講じているかをまだ見ていません。Server FaultはITプロフェッショナル向けであるため、私たちは規制および他の法律との関係を解釈できる弁護士ではありません。たとえできたとしても、Q / Aスタイルの質問は、回答に必要なすべての詳細情報を得るには非常に長くなります。GDPRコンプライアンスは、個々の行動の問題ではなく、社内の戦略全体です。そのような質問をする必要がある場合は、コンサルタントや弁護士を雇う必要があるかもしれません。しかし、多くの人はそれなしで生き残ります。
独自の戦略を作成し(場合によっては法律上の助言を得て)、それに基づいて、GDPRに準拠するために実行するアクションを決定する必要があります。これらの変更を実際の情報システムに実装しようとすると、何かを達成する方法に関する技術的な問題が発生する場合があります。 質問がサーバー障害の範囲に絞り込まれたときです!
開始するには、規制の目的を知る必要があります。これは基本的に、収集から削除まで、生涯を通じて個人データを慎重に処理するための法的枠組みです。GDPR 第5条では、個人データを処理するための原則を簡単に説明しています。
- 合法性、公正性、透明性
- 目的の制限
- データ最小化
- 正確さ
- ストレージ制限
- 整合性と機密性。
GDPRは、データ主体、つまり市民が自分の個人データを管理し、これらの原則が遵守されていることを確認するためのツールを提供します。それらには、自分のデータにアクセスする権利、修正および移動する権利、データを消去する権利、つまり忘れられる権利が含まれます(他の法律で保存が必要でない場合)。また、制裁の可能性も与えられ、あなたの会社はデータ保護担当者を指定する必要があるかもしれません。
ほとんどの原則はすでに国内法で施行されており(データ保護指令95/46 / ECにより)、EU内の企業の変更は非常に限られています。EU以外の企業は、EU市民の個人データを処理する場合、もう少しやることがあります。
変更される主なものの1つは説明責任です。これは、手順を徹底的に文書化することにより、実際に達成するのが最善です。
- 個人データが収集される方法と理由
- どのような処理合法(作るの同意がからわずか一つの条件であることアート。6)
- データの保存および処理方法
- データへのアクセス権を持つユーザーと、これを制御および監査する方法
- ストレージの理由が期限切れになったときに削除されるかどうか(自動的に/標準的な方法)
- 関連するリスク、つまりリスク分析の処理方法。
私の意見では、これらのことを注意深く考え、問題を修正し、発見したリスクを軽減し、これらすべてを文書化すれば、制裁から遠く離れるべきです-たとえ侵入に苦しんだとしても。あなたの状況と、売上高罰金の4%である2,000万ユーロの賠償責任を負わせるような行動との間には、過失行動の可能性があります。