2018年5月25日にどこにいたか覚えていますか？番号？その日は、一般データ保護規則（GDPR）が施行された日でした。それは通常の営業日であり、多くの人が予想したように、空は落ちませんでした。実際、作業は通常どおり継続され、すべての企業がGDPR後の時代に突入しました。準備されたものもあれば、準備されていないものもあり、GDPRとは何か、またはどのように準拠するかについて、多くの人は今もなおほとんど気づいていません。

欧州連合（EU）に見込み客や顧客がいる場合は、GDPRに精通している必要があります。

GDPRに違反するリスクを冒したり、適応の計画を立てたりするかどうかを検討してください。今後のアプローチを決定する際に役立つように、次のことを検討してください。

1. GDPRは、セクターや業界に関係なく、大、中、小を問わず、すべての組織（個人事業主であっても）に適用されます。 EUでビジネスやマーケティングを行っている場合は、法律によりコンプライアンスを遵守する必要があります。
2. EUに顧客がいないが、顧客がいる会社の情報を処理する場合でも、GDPRが適用されます。
3. この規制は、企業を苦しめることを目的としたものではありません。実際、この法律は、市民と居住者が個人データをより細かく管理できるようにし、EU全体で単一の基準を使用して国際ビジネスの規制を簡素化することを目的としています。今のところ、これまでこの特定の方法で操作するように求められていなかった私たちの多くにとって、それは圧倒されていると感じています。

準拠するための手順

GDPRに準拠することは、困難な作業である必要はありません。ただし、中小企業の場合は、かなりの時間がかかる可能性があります。私のアドバイスは、準拠するための計画を作成し、時間をかけてそれに取り組むことです。含める必要があるものは次のとおりです。

1。どのようなデータを収集しますか？

GDPRに基づく個人データとは、名前、住所、メールアドレス、銀行またはクレジットカードの詳細、写真、さらにはIPアドレスを意味することを理解する必要があります。特定のユーザーを直接指すWebサイトへの訪問者に関する情報（健康情報、宗教的見解、組合員、さらには保険関連の目的での結婚状況など）を収集した場合、それは機密データと見なされます。機密データには、個人データとは異なる、より重要な管理が必要です。

2。そのデータを収集する正当な理由または同意がありますか？

GDPRは、個人データの収集または保持を妨げるものではありません。それはあなたがそうする正当な理由を持っているか、あなたがそれを集める前にあなたがユーザーから同意を得る必要があります。正当な理由は、契約関係を維持すること、または将来的に顧客に関連製品を提供または販売する能力を生み出すことである可能性があります。そのリンクを作成できない場合は、非常に具体的な目的でユーザーから同意を取得し、その同意を文書化することを検討してください。

3。セキュリティ対策またはポリシーは何ですか？

中小企業であっても、見込み客と顧客データについて考える必要があります。どのようにそれを保護しますか？データが侵害された場合、72時間以内に個人や当局に通知することができますか？

4。見込み客/顧客にデータへのアクセスをどのように提供しますか？

GDPRは、ユーザーが自分に関するデータを所有していることを具体的に示しています。 1か月以内にユーザーに情報へのアクセスを許可できるかどうかを考えてみてください。ユーザーは自分のデータにアクセスし、間違っている場合は修正し、保持する必要がなくなった場合は削除する権利があります。場合によっては、1か月の時計の延長を受ける資格があるかもしれません。延長は最長90日であり、特別で正当な状況に該当する必要があります。

5。 DPOが必要ですか？

DPOはデータ保護責任者です。ほとんどの中小企業はこれを必要としませんが、コアアクティビティで大規模な個人の定期的かつ体系的な監視が必要な場合は、GDPRで必要です。あなたのコアアクティビティは、特別なデータ、または犯罪の有罪判決に関する情報の処理で構成されています。非常に小規模な企業で、大量のデータを処理しない場合は、DPOを用意する必要はありません。

6。あなたの通知は何と言っていますか？

デジタル製品およびサービス（Webサイトを含む）のプライバシーポリシーと利用規約を振り返ってください。これらがすでに整っていることを願っています。そうでない場合は、これがそれらを整理する時です。 GDPRでは、通知を修正して、ユーザー情報がどのように収集、管理、使用されるかをわかりやすく説明する必要があります。

7。パートナーは何をしていますか？

GDPRに準拠するには、パートナーもGDPRに準拠していることを確認する必要があります。中小企業の場合、これは時間の投資になる可能性があります。クラウドベースのソフトウェアまたはサービスを使用している場合、それらはすでにGDPRに支持されており、供給組織のコンプライアンスを反映するように契約を修正している可能性があります。まず、これを確認するために連絡してください。パートナーがそうでない場合は、GDPRコンプライアンスのリクエストを含む新しい契約を作成することを検討してください。

8。データをどこに保存または処理しますか？

EUの企業とビジネスを行っている中小企業にとって、最大の問題は米国へのデータの転送に関するものです。残念ながら、EUは、米国が個々のユーザーのオンライン権利を保護するための適切なセキュリティ管理を行っているとは考えていません。幸いなことに、中小企業の場合、クラウドでサービスを使用する可能性が高く、その多くがGDPRに準拠しています。まだ行っていない場合は、ホスティングまたはストレージをEUベースのクラウドソリューションに移行するのが理にかなっているかもしれません。それ以外の場合は、EUユーザーデータが暗号化され、転送され、より高度なセキュリティで保存され、そのレベルのコンプライアンスが検証されていることを確認するための手順を実行する必要があります。

GDPRの大部分にスキップしてください！

GDPRは、中小企業にとっては確かに気が遠くなるような恐ろしいものに見える可能性があります（私も含まれます）。新しいデータ保護ルールが導入されると、ビジネスは年間収益の最大2％または1,000万ユーロ（約1,160万ドル）のいずれか高い方の罰金を科せられる可能性があります。個人情報漏えいの場合、収益の4％または2,000万ユーロ（2,300万ドル）になりますが、GDPRに適応することには競争上の優位性もあります！

GDPRは私たち全員にとって負担と見なすのは簡単ですが、GDPRはあなたの利益に利用でき、ビジネスに付加価値をもたらすものです。見込み客/顧客にGDPR準拠のビジネスを提供すると、信頼を築くことができます。そして実際には、適切な同意なしにデータを紛失、盗難、破損、誤用、または共有することを好む人は誰もいません。 GDPRに準拠していることを知っているということは、クライアントのデータを尊重して保護し、クライアントにより高い価値を示すことを意味します。これは高く評価され、今だけでなく、将来的にも報われるでしょう。