一般データ保護規則(GDPR):知っておくべきことすべて
公開: 2018-04-02新しい一般データ保護規則(GDPR)の主な目的は、さまざまな加盟国からの個人データの処理を強化および組み合わせ、1つの欧州連合(EU)規則の下でそれらを適応させることです。
現在、EUの28の加盟国にはそれぞれ独自のデータ保護規則があり、それらの法律を国際商取引に適用しているため、個人データ保護の権利を行使することは非常に困難です。
新しいGDPRには、規模やセクターに関係なく、すべての企業に影響を与えるさまざまなルールが付属しており、ビジネスのさまざまな分野に焦点を当てる準備が必要になることがよくあります。
個人データの処理と自由な流通に関する自然人の保護に関する新しい規則は、規則2016/679が欧州議会と理事会の両方によって可決されてから2年後の2018年5月25日に発効します。 この記事では、この新しい規制の要件を満たすためにできることとできないことを理解し、メールマーケティングツールであるベンチマークもこの新しい規制の要件を満たしていることを確認できるように支援します。
新しいGDPRは、現在施行されている各加盟国独自のデータ保護法を排除するものではありません。 代わりに、EUのすべての加盟国を同期するのに役立ちます。 一部の決定は引き続き各加盟国の国内レベルで行われますが、責任者は自国のデータ保護規則ではなく、GDPRを標準として参照する必要があることに注意してください。
あなたが現在あなたの国のデータ保護の要件を満たしているなら、あなたはすでに良い基盤を持っています。 ただし、新しい規制に準拠するには、いくつかの側面を修正および変更する必要があります。
Eメールマーケティング戦略で覚えておく必要のある3つの主要なポイントがあります。それらは、同意、アクセス、およびデータ収集です。
同意
第4条(11)によると、データ主体の「同意」とにより、データ主体定義に記載されているように、ユーザーの同意は明確かつ明示的でなければなりません。 これらの2つの単語は、疑いや曖昧さを排除します。
(32)同意は、電子的を含む書面による声明などによって、データ主体が彼または彼女に関連する個人データの処理に同意したことを自由に与えられ、具体的で、情報に基づいて明確に示すことを確立する明確な肯定的行為によって与えられるべきです。手段、または口頭の声明。 これには、インターネットWebサイトにアクセスするときにボックスにチェックマークを付ける、情報社会サービスの技術設定を選択する、またはこのコンテキストでデータ主体が提案された個人データの処理を受け入れることを明確に示す別のステートメントまたは行為が含まれる場合があります。 したがって、沈黙、事前にチェックされたボックス、または非アクティブは、同意を構成するものではありません。 同意は、同じ目的で実行されるすべての処理アクティビティをカバーする必要があります。 処理に複数の目的がある場合は、それらすべてに同意する必要があります。 電子的手段による要求に続いてデータ主体の同意が与えられる場合、要求は明確、簡潔であり、提供されるサービスの使用を不必要に妨害してはなりません。
例:
私は最近トレードショーに参加し、一日中かなりの数の名刺を集めました。これを使用してデータベースを作成し、ニュースレターを送信する目的でベンチマークアカウントにアップロードします。
新しい規則では、これは合法ですか?
いいえ。トレードショーであなたと個人の間で達成されたネットワーキングは、個人からの口頭での確認があっても、あなたに彼らの個人データを使用する権利を与えません。 GDPRでは、両当事者間にこの合意の証拠が存在することが求められています。
GDPRは、監査の場合に証拠を裏付けることができる、個人からの明確で明示的な同意が必要であると述べています。 個人が個人データの使用に同意しているという証拠が必要です。
おすすめ:
- データ収集の方法を確認し、存在する可能性のあるあいまいさを排除します。
- データベースと、個人から同意が得られたことを証明できるデータのみを分析します。
アクセス
個人データの取り扱いを担当する当事者は、各ユーザーに、自分の個人情報を変更するための簡単で直接的なアクセスを提供する必要があります。 責任者はまた、個人が自分のWebサイト、サインアップフォーム、または電子メールの確認を通じて、電子的手段を介して同意を与えていることを確認できるアウトレットを提供する必要があります。
責任者は、クライアントに回答を提供するために1か月の猶予があり、複雑な要求の場合は2か月に延長する可能性があり、個人の要求を完了するために必要な手順が実行されます。
Eメールマーケティングツールの場合、[サブスクリプションの管理]オプションを使用すると、個人は個人データにアクセスして、必要に応じてデータを変更したり、サブスクリプションを完全にキャンセルしたりできます。
この点で、「忘れられる権利」(第17条)という新しい権利があり、ユーザーは「忘れられる権利」を行使して、個人データをデータベースから永久に削除することができます。 サブポイント1に含まれる6つの理由のうち2つを選択しました。これにより、個人は権利を行使できるようになります。
a)個人データは、収集またはその他の方法で処理された目的に関連して不要になりました。
d)個人データが違法に処理された。
コンパイル:
GDPRは、個人データの収集を簡素化することを提唱しています。 マーケターとして、私たちがしているのが毎週のニュースレターを送ることだけであるとき、私たちは必要以上に詳細を尋ねる傾向があります。 そのため、これらの新しい規制では、現在の戦略のために最小限の個人データのみを収集および編集することを推奨しており、将来役立つと思われる追加データの収集は推奨していません。
今後のプロモーションをデータベースに通知することが目標である場合は、個人の名前と電子メールアドレスを編集するだけで、目標を達成できます。
Brexit
英国は正式に離脱し、2019年にはEUの一部ではなくなります。この離脱により、規制は適用されなくなります。 現在、英国または英国内の企業がデータ保護をどのように処理するかはわかりませんが、EUと同等の同様の規制に合格すると考えています。
新しいGDPR要件を満たしていない場合はどうなりますか?
一般データ保護規則は、制裁や罰金など、新しい規則に準拠するための一連のツールを確立します。 新しいGDPRに違反したために罰金が科せられる場合は、次のようないくつかの要因が考慮され、慎重に評価されます。
- 違反の重大性/期間;
- 影響を受けたデータ主体の数とそれらが被った損害のレベル。
- 侵害の意図的な性格;
- 被害を軽減するためにとられた行動。
- 監督当局との協力の程度。
規則が守られない場合、規則は罰金に2つの上限を設定します。 最初の上限は、最高1,000万ユーロ、または事業の場合は世界の年間売上高の最大2%の罰金を科します。 この最初のカテゴリーの罰金は、例えば、規制で要求されているように、管理者が影響評価を実施しない場合に適用されます。 罰金の上限は最大2,000万ユーロに達し、世界の年間売上高の4%に達します。 例としては、規則に基づくデータ主体の権利の侵害があります。 罰金は、個々のケースの状況に応じて調整されます。
メールマーケティング戦略を計画するときは、上記の要点(同意、アクセス、編集)を念頭に置く必要があります。
基準
ベンチマークでは、規制の要件に準拠するために、プライバシーポリシーの更新に努めています。 GDPRの場合、プライバシーシールドフレームワークと同様に、新しい規制に準拠していることを示す証明書は提供されていません。
ベンチマークでは、お客様の個人データが新しいGDPRに準拠して処理されていることをご安心ください。
EUは初めて、個人データの処理方法にリーダーシップと団結を示し、ヨーロッパの個人データを処理する場合は、どの国も例外なくこれらの規制に従うように強制します。
この記事をあなたの聴衆と共有し、あなたのコメントを残すことを忘れないでください。 読んでくれてありがとう!