news

GDPRについて、さらに調べてみました。②

GDPRについて、さらに調べてみました。②

こんばんは、システムの知恵袋の細谷です。

ついに施行という事で、弊社でも利用しているサービスのプライバシーポリシーの変更のお知らせなどが届いております。

 

翻訳の方も、翻訳者が翻訳したものも出てきて、私が翻訳していたものよりも(当たり前ですが)精度が高くわかりやすかったのでそちらで読み込んでいこうと思ってます。

 

それでまずは前回の記事についていくつか訂正を行います、主に「やらなくてはいけない事」の部分ですね

 

 

●個人データ取得時に必要な作業(※個人データ提供者に事前に渡さないといけない情報)

————————————————————–

1.個人データの管理者の詳細な連絡先

2.データ保護オフィサー(以下:DPO)の詳細な連絡先 (※DPOがいないなら、無視する)

3.想定している、取得した個人データの利用目的と法的根拠

4.データ提供者が受け取る利益 (※データ提供者が利益を受け取るサービスでないなら無視する)

5.誰に開示されるか、またはどのようなグループに開示されるか(※いるならという記載だが)

6.第三国または、国際組織に提供する場合には、個人データの保護措置と利用条件 (※外国に提供しないなら無視する)

————————————————————–

必須は1と3なので、「管理者の連絡先と、個人情報の利用目的」を提示したうえで、チェックを貰えばいいという事ですね。

また、1の管理者が使うのであればいいのですがそれ以外の人が関わるなら5も必須です。

 

データ保護オフィサー(data protection officer)と管理者は同じ人じゃないかと思われるかもしれませんが、きちんと規約上きちんと分けられている役職ですので注意(※詳細は後述)

 

 

●個人データを取得後に行う保護内容の提示(※個人データ提供者にもらった後はこう管理するよというルール)

————————————————————–

a.個人データの保管期間、またはその期間を決める基準

b.管理者に対して要請できる権利の内容

c.個人データ取り扱いの同意の撤回の権利濃霧

d.監督機関に不服を言う権利

e.個人データの提供が契約に必要な要件かどうかと、その義務並びに提供しない場合の結果

f.自動化された意思決定の存在とその意義

————————————————————–

1つ目はそのままなので「1年以内」とか「サービスを解約するかサービスが終了するまで」などですね。

2つ目は管理者に対して何をしてもらえるかという事で「データを見せて」「修正や削除がしたい」「データの管理に関するクレーム」「データポータビリティの有無」等ですね。

データポータビリティが分からないと思いますが、ざっくり言うと「他のサービスで利用するために、データを提供してもらう事」のようなので、「○○アカウントでログインする」などのサービスなどが該当しそうです。

3つ目は個人データを使うには「使っていいよ」という同意が必要ですが、それを「ごめんやっぱり使わないで」とお願いできる権利ですね。

4つ目はそのまま且つストレートに書かれていて、管理者を見ている第三者機関にもクレームを入れられる権利の事です。

5つ目はは例えばECサイトなら「配送するから住所必要だよ」というのと「教えてもらえないなら購入はできないよ」という感じでなぜ必要で、ないとどういうことになるのかですね。

6つ目は要するに自動の契約更新の事だと思います。自動更新ならその旨を書いて、なんでそれを行うのかという理由の記載が必要です。

 

 

他は概ね前回の説明で問題なさそうです。(※EUとかかわりない企業でもGDPRが適用される条件が「国際法に該当するサービスを提供している場合」等大分明文化している点がありますが)

また定義の方はGDPRとは関係なくとも、結構参考になりました。

 

データ主体→個人情報提供者

管理者→個人データをどう使うかを決める人または団体

取扱者→管理者の為に個人情報を使う人または団体

取得者→データの開示を受ける個人または団体、ただし調査を行う公共機関の場合は取得者に当たらない

第三者→管理者または取扱者の下でデータを使う許可をもらった人または団体

データ主体の「同意」→強制ではなく、なぜ提供するのかという説明を受けたうえで、個人情報提供者が宣言または操作によって、合意(agreement)すること

data protection officer(DPO)→データ保護の監督官ですね、セキュリティ責任者とは別で違反時の責任というよりは活動に辺り、保護の問題点の指摘や公的機関への報告などを行う人で、専門知識や多言語会話などの技術が必須とされる役割です。(前回の記事で外部機関としての権限を持つといった人ですね。そしてこの人の連絡先の明記は不要でした。。。)

 

もしDPOが指摘する問題を無視するのであれば、それに相当しあ理由を文書にして残す必要があると規定されていますし、この時のDPO業務遂行に利益相反が元で解雇や罰則を受けてはいけないとも挙げられています。

また、「利益相反」の相手となるのが部門の責任者だけでなくCEO、COO、CFOなどの役員が上げられていることから、かなり重要視されていることが分かります。

 

 

本日はここまでにしましょう。

上記は13条までで気になった部分の情報ですが、規約は98条まであります。

先は長いです。。。(遠い目

 

まあ、記載した通り連合以外の国でも適用されるケースには国際法(要するに、「現地の法律を守りましょう」となる場合)にというのが判明したので、日本のみで活動されている場合は一旦保留で大丈夫でしょう。

 

また、ブログについて言及されることが増えてまいりました。

私としては学習の一環で、過程の記載や備忘録程度で考えているので、とてもむず痒いです。

もう少し書いてほしいというお話ももらったのですが、何分「勉強した技術の紹介」という事で時間がかかるのが難点です

技術無視で良ければ簡単なので、週一で技術、不定期に雑談枠で試験運用しようかなと考えていたりします。

 

それでは、この辺で、皆様よき週末を