2018年5月25日にどこにいたか覚えていますか?番号?その日は、一般データ保護規則(GDPR)が施行された日でした。それは通常の営業日であり、多くの人が予想したように、空は落ちませんでした。実際、作業は通常どおり継続され、すべての企業がGDPR後の時代に突入しました。準備されたものもあれば、準備されていないものもあり、GDPRとは何か、またはどのように準拠するかについて、多くの人は今もなおほとんど気づいていません。
GDPRに違反するリスクを冒したり、適応の計画を立てたりするかどうかを検討してください。今後のアプローチを決定する際に役立つように、次のことを検討してください。
GDPRに準拠することは、困難な作業である必要はありません。ただし、中小企業の場合は、かなりの時間がかかる可能性があります。私のアドバイスは、準拠するための計画を作成し、時間をかけてそれに取り組むことです。含める必要があるものは次のとおりです。
GDPRに基づく個人データとは、名前、住所、メールアドレス、銀行またはクレジットカードの詳細、写真、さらにはIPアドレスを意味することを理解する必要があります。特定のユーザーを直接指すWebサイトへの訪問者に関する情報(健康情報、宗教的見解、組合員、さらには保険関連の目的での結婚状況など)を収集した場合、それは機密データと見なされます。機密データには、個人データとは異なる、より重要な管理が必要です。
GDPRは、個人データの収集または保持を妨げるものではありません。それはあなたがそうする正当な理由を持っているか、あなたがそれを集める前にあなたがユーザーから同意を得る必要があります。正当な理由は、契約関係を維持すること、または将来的に顧客に関連製品を提供または販売する能力を生み出すことである可能性があります。そのリンクを作成できない場合は、非常に具体的な目的でユーザーから同意を取得し、その同意を文書化することを検討してください。
中小企業であっても、見込み客と顧客データについて考える必要があります。どのようにそれを保護しますか?データが侵害された場合、72時間以内に個人や当局に通知することができますか?
GDPRは、ユーザーが自分に関するデータを所有していることを具体的に示しています。 1か月以内にユーザーに情報へのアクセスを許可できるかどうかを考えてみてください。ユーザーは自分のデータにアクセスし、間違っている場合は修正し、保持する必要がなくなった場合は削除する権利があります。場合によっては、1か月の時計の延長を受ける資格があるかもしれません。延長は最長90日であり、特別で正当な状況に該当する必要があります。
DPOはデータ保護責任者です。ほとんどの中小企業はこれを必要としませんが、コアアクティビティで大規模な個人の定期的かつ体系的な監視が必要な場合は、GDPRで必要です。あなたのコアアクティビティは、特別なデータ、または犯罪の有罪判決に関する情報の処理で構成されています。非常に小規模な企業で、大量のデータを処理しない場合は、DPOを用意する必要はありません。
デジタル製品およびサービス(Webサイトを含む)のプライバシーポリシーと利用規約を振り返ってください。これらがすでに整っていることを願っています。そうでない場合は、これがそれらを整理する時です。 GDPRでは、通知を修正して、ユーザー情報がどのように収集、管理、使用されるかをわかりやすく説明する必要があります。
GDPRに準拠するには、パートナーもGDPRに準拠していることを確認する必要があります。中小企業の場合、これは時間の投資になる可能性があります。クラウドベースのソフトウェアまたはサービスを使用している場合、それらはすでにGDPRに支持されており、供給組織のコンプライアンスを反映するように契約を修正している可能性があります。まず、これを確認するために連絡してください。パートナーがそうでない場合は、GDPRコンプライアンスのリクエストを含む新しい契約を作成することを検討してください。
EUの企業とビジネスを行っている中小企業にとって、最大の問題は米国へのデータの転送に関するものです。残念ながら、EUは、米国が個々のユーザーのオンライン権利を保護するための適切なセキュリティ管理を行っているとは考えていません。幸いなことに、中小企業の場合、クラウドでサービスを使用する可能性が高く、その多くがGDPRに準拠しています。まだ行っていない場合は、ホスティングまたはストレージをEUベースのクラウドソリューションに移行するのが理にかなっているかもしれません。それ以外の場合は、EUユーザーデータが暗号化され、転送され、より高度なセキュリティで保存され、そのレベルのコンプライアンスが検証されていることを確認するための手順を実行する必要があります。
GDPRは、中小企業にとっては確かに気が遠くなるような恐ろしいものに見える可能性があります(私も含まれます)。新しいデータ保護ルールが導入されると、ビジネスは年間収益の最大2%または1,000万ユーロ(約1,160万ドル)のいずれか高い方の罰金を科せられる可能性があります。個人情報漏えいの場合、収益の4%または2,000万ユーロ(2,300万ドル)になりますが、GDPRに適応することには競争上の優位性もあります!
GDPRは私たち全員にとって負担と見なすのは簡単ですが、GDPRはあなたの利益に利用でき、ビジネスに付加価値をもたらすものです。見込み客/顧客にGDPR準拠のビジネスを提供すると、信頼を築くことができます。そして実際には、適切な同意なしにデータを紛失、盗難、破損、誤用、または共有することを好む人は誰もいません。 GDPRに準拠していることを知っているということは、クライアントのデータを尊重して保護し、クライアントにより高い価値を示すことを意味します。これは高く評価され、今だけでなく、将来的にも報われるでしょう。