Loading…
規則(EU)2016/679 — 一般データ保護規則 — は、2018年5月25日以降、EU全27加盟国およびEEA(アイスランド、リヒテンシュタイン、ノルウェー)で適用されています。管理者または処理者の所在地にかかわらず、EU内の個人の個人データの処理を規律します。
執行は各加盟国の監督機関(例:CNIL、BfDI、Garante、AEPD、アイルランドDPC)が担い、ワンストップショップ機構を通じて欧州データ保護会議(EDPB)が調整します。
第5条(1)(a) — 処理には適法な根拠が必要であり、データ主体に対して透明でなければなりません。
第5条(1)(b) — 特定され、明示的かつ正当な目的のためにのみ収集されます。
第5条(1)(c) — 適切かつ関連性があり、必要な範囲に限定されます。
第5条(1)(d) — 正確であり、必要に応じて最新の状態に保たれます。
第5条(1)(e) — 目的のために必要な期間を超えて保管されません。
第5条(1)(f) — 暗号化やアクセス制御を含む適切なセキュリティ。
自由に与えられ、特定的、十分な説明に基づき、明確であること — そして与えるのと同じくらい簡単に撤回できること。
データ主体との契約の履行に必要であること。
EUまたは加盟国の法律における法的義務の遵守に必要であること。
データ主体または他の自然人の生命を保護するために必要であること。
公共の利益における任務の遂行、または公権力の行使。
管理者または第三者が追求するもので、データ主体の権利との均衡が図られます。
EU内の人々に商品やサービスを提供する場合(第3条の域外適用範囲) — Art. 27 EU代理人を任命する必要があります。
プロファイリング、リターゲティング、プログラマティック — CNIL、AEPD、Garanteの主要な執行対象です。
第9条の特別カテゴリーデータには、強化された保護措置と明示的な同意要件が課されます。
GDPR第22条に加え、新たなEU AI Act — 高リスクシステムにはDPIA、FRIA、適合性評価が必要です。
EU域外の管理者および処理者のために任命されるEU域内代理人として、監督機関およびデータ主体との単一の窓口を担います。
認定データ保護責任者(第37条)が、コンプライアンス、研修、監督機関との協力について助言します。
第30条の処理活動の記録 — 維持・最新化され、規制当局の要請に対して数時間以内に提出されます。
高リスク処理および新製品の発売に向けた、データ保護影響評価(第35条)および正当な利益評価。
トリアージ、分類、監督機関への通知(第33条)、データ主体への連絡(第34条)をエンドツーエンドで対応します。
標準契約条項、拘束的企業準則、十分性評価、Schrems II移転影響評価。
当社は全27のEU加盟国にわたってお客様のArticle 27代理人として活動します — 単一の窓口、多言語サポート、監督機関への完全な対応。