GDPRとは?
「EU一般データ保護規則」(GDPR:General Data Protection Regulation)とは、個人データの保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令のことです。個人情報の扱いについて規制を行っており、GDPR以前のEUデータ保護指令からさらに厳格化されており、違反をすると多額の制裁金を課せられるためEU居住者の個人データを取り扱う場合、EUで活動する企業だけではなく、企業規模に関わらず、多くの日本企業にとっても対応が求められています。
具体的に重要な規制は以下のような事項です。
・本人が自身の個人データの削除を個人データの管理者に要求できる
・自身の個人データを簡単に取得でき、別のサービスに再利用できる(データポータビリティ)
・個人データの侵害を迅速に知ることができる
・個人データの管理者は個人データ侵害に気付いた時から72時間以内に、規制当局へ当該個人データ侵害を通知することが求められ、また、将来的には本人への報告も求められる。
・サービスやシステムはデータ保護の観点で設計され、データ保護されることを基本概念とする
・法令違反時の罰則強化
・監視、暗号化、匿名化などのセキュリティ要件の明確化
対象にする日系企業について
日系企業はドイツに支店や子会社を持つ時点でGDPRが対象になります。基本的にEU域内から第三国に個人情報を移転することは禁じられていると多くのお客様は把握されておりますが、ドイツ国内でも同じく、個人情報データを処理並びに移転すること自体が禁じられています。処理や移転する場合、GDPRそしてドイツのデータ保護法によって「法的根拠」が必要です。その法的根拠は様々な形 (契約書・承諾書等) で対処することが可能です。法的根拠があれば、元々禁じられていた処理移転は可能になるため、GDPRに対応するための「法的根拠の準備」が必要不可欠な時代となりました。
また、個人情報の処理、それに伴い移転が許された場合でも、さらに第三国のデータ保護安全レベルはまだ不十分であり、処理・移転は合法でもデータの安全を保証する措置が必要です。その措置とはEUが提供しているSCC 「Standard Contractual Clauses」 となります。
第一の段階は個人情報データ処理の「法的根拠」第二の段階は移転自体がセキュア・安全という保証が必要です。
極端に言えば、日本の会社の「逃げ場」がなくなりました。
当社はドイツの専門弁護士と協力し、お客様の企業に合わせたGDPRアドバイス、契約書、承諾書等々のサポートできます。