最も一般的なGDPRエラー-それらは何ですか?

サービス

GDPRの規定が発効してから1年以上が経過しましたが、それらの適用には依然として多くの疑問があります。 GDPRに関する最も一般的な神話は、個人データを適切に保護するために起業家が満たさなければならない規定と要件の適用範囲に関するものです。最も一般的なGDPRの間違いは何ですか?

GDPRは欧州連合の法律にすぎません

GDPRの略語は、個人データの処理とそのようなデータの自由な移動に関する個人の保護、および指令95 /の廃止に関する欧州議会および理事会の規則(EU)2016/679を表します。 46 / EC(データ保護に関する一般規制)。これは欧州連合によって採択された法的行為ですが、世界中で非常に重要です(海外ではGDPRという略語で知られています)。 神話:GDPRの規定は、欧州連合によって導入された規定のみであり、ポーランドでの適用は関係ありません。
True:GDPRは、欧州連合の領土全体、およびポーランドにも適用されます。ポーランドにおける個人データの保護に関する規則は、個人データの保護に関する法律の規定によってさらに規制されています。ポーランドのGDPRの規定への準拠を管理するために任命された機関は、個人データ保護局の社長です。 GDPRは、欧州連合の領域に適用されます。各加盟国は、特定の州における個人データ保護の原則を規制および指定する独自の規制を採用する義務があります。ポーランドでは、この法律は個人データの保護に関する法律です。この文書はすべての起業家が読む必要があります。規定の遵守を管理するために任命された機関は、ポーランドのGDPRに関連する行政手続き(たとえば、個人データの処理の不規則性に関する自然人の苦情の調査)を実施する責任がある個人データ保護オフィスの社長です。 、認証、教育活動の実施、罰則の適用など)。

世論に反して、GDPRは、EU内の自然人のデータをある程度処理する場合、欧州連合外に拠点を置くエンティティにも適用されます。

GDPRは、セキュリティの1つの公式を意味するものではありません

GDPRの規定は、個人データを保護する必要性に関連する一般的な目的と運用の原則のみを示しています。それらは、すべてのエンティティに単一のデータ処理手順を課すわけではありません。 神話:GDPRは、すべての起業家が適応しなければならない複雑なデータ処理手順を意味します。
真実:各起業家は、自分の会社にどの保護メカニズムを導入するかを自分で決定します。保護方法の選択は、処理されるデータのタイプと範囲によって異なります。

GDPRの規定は、個人データを保護するための個々のツール(匿名化や仮名化など)に言及しており、特定のカテゴリのデータ(生体認証データなど)の処理にも制限を課していますが、保護方法の選択は任されていますデータプロセッサに。このため、各起業家は、特定のソリューションを適用する前に、保持されているデータ、その数と種類、および保護のニーズを評価できる監査を実施する必要があります。

GDPRは、顧客データ、つまり最も一般的なGDPRエラーだけでなく、

データ保護は、トレーダーがデータを取得する方法や、データを処理するトレーダーとの関係の性質に関係なく、自然人のデータに適用されます。 神話:GDPRは消費者データにのみ適用されます。
真実:GDPRの規定は、クライアント、従業員、その他の起業家を含むすべての自然人のデータを保護します。

規則で与えられた定義によれば、個人データは、識別された、または識別可能な自然人に関する情報として理解されるべきです。識別は直接的または間接的である可能性があります(たとえば、識別番号、位置データ、オンライン識別子、またはその他の特定の要因による)。特定の自然人が起業家との関係で行動する性質は重要ではありません-彼らはクライアント、従業員または請負業者である可能性があります。これらのカテゴリーの最後は疑問を投げかけるかもしれませんが、個人データを処理する起業家とのビジネス関係を維持することは、自然人から個人データを保護する権利を奪うものではないと想定する必要があります。例としては、起業家、つまり個人事業を営む自然人やパートナーシップのパートナーが含まれます。

GDPRは企業間でも機能します

多くの起業家は、個人データ保護の原則は、起業家と自然人(たとえば、従業員やクライアント)の間でのみ実装する必要があると誤って信じています。自然人の直接の参加なしに処理が行われたとしても、自然人のデータが処理されるすべての場合に個人データを保護する必要が生じるため、そのような行動は正しくありません。 神話:GDPRは、起業家と自然人の間の直接的な関係でのみ機能します。
真実:個人データの保護に関する規定は、自然人のデータが起業家間で転送される場合でも、自然人のデータが処理されるすべての場合に適用されます。

非常に多くの場合、自然人の個人データの処理は、データ主体の直接の関与なしに行われます。たとえば、起業家が外部エンティティ(たとえば、採用会社、会計事務所、マーケティング会社など)が提供するサービスを使用する場合です。 。起業家が自然人のデータを別の起業家に転送する場合、このデータはさらに処理されます。このような活動は、個人データの委託に関する契約を締結する必要性、および適切なレベルのセキュリティ(たとえば、適切なITセキュリティの使用)でデータを転送する必要性に関連するその他の必要な手順を完了する必要性を引き起こします。

紐を付けずに30日間の無料試用期間を開始してください!

すべての場合において、本人の同意は必要ありません。

一般的な意見によると、GDPRは、データが起業家によって処理されるすべての自然人から、および処理のそれぞれの場合に、個人データの処理について同意を得る必要があります。これは真実ではありません-規則の規定は、同意要件が適用されない多くの場合を規定しています。 神話:個人データの処理は、データ主体の同意に基づいてのみ行うことができます。
True:GDPRには、データ処理が合法であるために満たす必要のある条件のリストが含まれています。個人の同意はその1つですが、それだけではありません。契約を履行する必要性はまた、自然人の個人データの処理を正当化します。

アートの提供。 GDPRの16には、合法的な方法で個人データを処理するために満たす必要のある条件のリストが含まれています。このリストは排他的ですが、適切に処理するための条件の1つだけを満たすだけで十分です。自然人の同意に加えて、最も重要な条件は契約を履行する必要性です。規則によると、処理は合法です 「データ主体が当事者である契約の履行、または契約を締結する前にデータ主体の要求に応じて措置を講じるために必要」。

以上のことから、例えば、起業家が顧客と契約を締結した場合、売買契約を締結し、契約を履行するために顧客の個人データを取得する必要があります(たとえば、彼が購入した商品を購入者)、起業家はデータの処理に個別の同意を得る必要はありません。個人。起業家の申し出に関する情報を送信する場合も同様ですが、この情報を取得するイニシアチブが潜在的なクライアントからのものである場合です。ただし、起業家がこの情報を要求しなかった人にオファーを送信することからなるマーケティング活動を行う場合、彼は彼の個人データを処理するために彼の同意を得る必要があります。