誰もが一般データ保護規則(GDPR)(規則(EU)2016/679)を聞いています。これは2018年5月25日に施行されます。 罰金は多額であり、一致する必要があります。 公式文書のように、それはドライに書かれており、さまざまな方法で解釈することができます。 過去6か月にわたって、GDPRコンプライアンスについて多数の異なるWebシステムを分析しましたが、どこでも同じ問題に遭遇しました。 この点で、この記事の目的はGDPRとは何かを説明することではなく(これについてはすでに多く書かれています)、GDPRに準拠するためにあなたのシステムで何をする必要があるかを技術者に実際的なアドバイスを与えることです。
ルールに関するいくつかの興味深い点:
- 個人データを保存するヨーロッパのクライアントが少なくとも1人いる場合、自動的にGDPRに該当します
- 規制は、3つの主要な考えに基づいています:個人データの保護、データ保護における人々の権利と自由の保護、EU内での個人データの移動の制限(GDPR第1条)
- 英国はまだEU内にあるため、GDPRの対象となります。Brexitの後、GDPRはデータ保護法案に置き換えられます。データ保護法案は、本質的にGDPRに非常に似ています(https://ico.org.uk/for-organisations/data-protection -請求書/)
- 第三国への深刻なデータ転送制限。 欧州委員会は、個人データの転送をどの「第三」の国またはこれらの国のどの部門または組織に許可するかを決定します。 45 GDPR。 これは許可された国のリストです 。
- 誰もスーパーバイザーをそのようなシステムに入れないことは明らかです。つまり、システムとプロセスのセキュリティが「紙上」でいかにクールであるかを実証することしかできないということです。 プロセス、システム、および個人データのセキュリティが文書化されていない場合、会社はGDPRに準拠していません。 「管理者は、適切な技術的および組織的措置を実施して、この規則に従って処理が実行されることを保証し、実証できるものとする。」(GDPR第24条)
GDPRを実践する
サイトの公開ページ
- プライバシーポリシー-GDPRへの準拠を必要とするメインドキュメント
- システムが収集する個人情報および非個人情報を明確に記載する必要があります。
- 情報が収集される目的は何ですか
- ユーザーが持つ権利(GDPR第15〜18条)
- データ保持ポリシー
- 個人データが収集された目的のために必要以上にデータを保存することはできません(GDPR第5条)
- 他の国へのデータの転送(個人データの国際転送)アート。 45 GDPR
- データの保護方法
- 法的住所を含む連絡先情報。 データ保護担当者の連絡先(ある場合)
- 利用規約-太字のテキスト「ウェブサイトは16歳以上のユーザーのみ利用可能です」を追加する必要があります。システムが子供や子供のコンテンツを意図的に動作しない場合は、年齢チェック機能をシステムに追加する必要があります登録ページのチェックボックスの形で、ユーザーが16歳未満の場合は保護者の同意を得る。 8 GDPR
- コンプライアンスとセキュリティ-オプションですが、ユーザーはすでにGDPRで何を持っているかを尋ねているので、データ保護を整理する方法を詳細に説明するリソースを用意する方がよい
- 支払いポリシー、Cookieポリシー-支払い方法、およびシステムが使用するCookieに署名します
登録ページ
- フィールドの数は最小限で合理的でなければなりません(「データの最小化」)。 5 GDPR
- 粒状の同意アート。 7 GDPR
- 利用規約とプライバシーポリシーに同意する必須のチェックボックス
- ユーザーをメーリングリストに登録する場合は、チェックボックスを分離します
ユーザープロファイルページ
- ユーザーは、自分自身に関する任意のフィールドを変更できる必要があります。 16 GDPR
- アカウント削除ボタン(GDPR第17条)。 ユーザーは、自分自身と自分のすべての情報をシステムから削除できる必要があります。
- 処理モードの制限ボタン(GDPR第18条)。 ユーザーがこのモードを有効にした場合、個人情報はパブリックアクセスで使用できなくなり、他のユーザーやシステム管理者も使用できなくなります。 GDPRが位置付けているように、ユーザーにとっては、システムから完全に削除する代わりになります。
- 個人データアートのエクスポートボタン。 20 GDPR。 XML、JSON、CSVの形式でアップロードできます
- 粒状の同意アート。 7 GDPR
- 個人データを操作するためのシステムのアクション(たとえば、ニュースやマーケティング資料の購読)に同意を与える/撤回する機能
追加機能
- 不要になった個人データの自動削除または匿名化アート。 5 GDPR。 たとえば、処理される注文の情報。
- Artを統合する他のサービスの個人データの自動削除。 19 GDPR
組織のデータ保護対策
次のポリシーとドキュメントの開発
- 個人データ保護ポリシーアート。 24(2)GDPR
- 加工活動の目録アート。 30 GDPR
- セキュリティインシデント対応ポリシー:72時間以内に、スーパーバイザーにリークを通知する必要があります(GDPR 33条)、データが漏洩したことをデータ主体に通知する必要があります(ただし、特定の条件下ではこれを行うことはできません) )
- 監督当局アートへのデータ侵害通知フォーム。 33 GDPR
- データ主体へのデータ侵害通知フォームアート。 34 GDPR
- データ保持ポリシー第5条(1)(e)、13(1)、17、30
「持っている」ポリシー
- データ処理ポリシー
- バックアップポリシー
- システムアクセス制御ポリシー
- SLAおよびエスカレーション手順
- 暗号制御ポリシー
- 災害復旧とビジネス継続性
- コーディング標準とロールアウト手順
- 雇用政策とプロセス
- 大量のドキュメントを作成しないために、それらを1つのIGポリシー(情報ガバナンスポリシー)にまとめることができます。
技術データ保護対策
GDPRには、セキュリティが適用する明確な要件はありませんが、アーキテクチャは、設計およびデフォルトでデータ保護の原則に基づいて構築する必要があります(GDPR第25条)
- ファイアウォール、VPNアクセス
- 保存データの暗号化(ディスク全体、データベース暗号化)
- 転送中のデータの暗号化(HTTPS、IPSec、TLS、PPTP、SSH)
- アクセス制御(物理的および技術的)
- 侵入検知/防止、ヘルスモニタリング
- バックアップの暗号化
- 2要素認証、厳格な承認
- アンチウイルス
- その他、システムに応じて
弁護士が必要になる可能性のあるいくつかの特定のポイントは次のとおりです。
- 「特別なデータ」(GDPR第4条)の処理はデフォルトで無効になっています。 ここに記載されている場合(GDPR第9条)を除き、健康、性生活およびオリエンテーション、生体認証および遺伝データ、哲学的および宗教的信念に関する個人情報の収集は禁止されています(GDPR第9条)
- コントローラーまたはプロセッサーがEUゾーンに登録されていない場合、EUアートの公式で文書化された代表者を任命する必要があります。 27 GDPR
- データ管理者が協力するすべての下請業者は、場所に関係なく、GDPRにも準拠しなければならず、関連する変更も契約に加えなければなりません(GDPR第28条)
- 下請業者は、データ管理者の書面による同意なしに、別の下請業者のサービスを使用する権利を有しません(GDPR第28条)
- データ転送には重大な制限があるため、データをEU外に送信または保存する場合は、すべての転送条件に精通することをお勧めします(第5章GDRP)
- データ保護責任者。 「特別なカテゴリのデータ」が処理される場合、またはデータが政府機関によって処理される場合、この役割が必要です(GDRP第37条)
- イギリス。 情報委員(ICO)登録
- 通常のユーザーは、ここで特定の会社のデータ保護に関する質問や苦情を送信することもできます。その後、手続きが開始されます(https://ico.org.uk/for-the-public/raising-concerns/)
- 企業は、ハッキングや個人データの漏洩もここに報告する必要があります
- すべての組織が特定の条件(https://ico.org.uk/for-organisations/register/self-assessment/)に該当する場合にのみ、ICOで年会費を登録して支払う必要はありません。
参照資料
規制GDPRコンプライアンスチェックリスト契約変更のガイドライン企業がユーザーの同意なしにニュースレターを送信する場合のペナルティの実際の例デニス・コロシュコ、CISSP