GDPRの問題についてサポートしていただけますか？

ほとんどの規制と同様に、GDPRは何をすべきか、何をすべきでないかについての明確な規則のリストではありません。したがって、それに関する質問は、Q/Aサイトで処理するには広すぎる場合がよくあります。規制には多くの神​​話と誤った単純化があり、業界全体は規制によって課される制裁の恐れに基づいています。

この回答は、主題の実用的な概要を提供しようとします。私は弁護士ではありませんが、最初に情報収集wait-and-seeアプローチで導入され、現在は別の実用的で優先順位の高いものを使用して、この主題の導入以来ほぼこの問題に取り組んできましたそして反復的なアプローチ。

規制が裁判所によってどのように解釈されるかは（まだ）わかりません。多くの企業は、他の企業がどのような行動をとっているかをまだ見守っています。サーバーフォールトはITプロフェッショナル向けであるため、規制および他の法律との関係を解釈できる弁護士ではありません。できたとしても、Q/Aスタイルの質問は、答えに必要なすべての詳細情報を入手するには非常に長くなります。GDPRコンプライアンスは、個々のアクションの問題ではなく、社内の戦略全体の問題です。このような質問をする必要がある場合は、コンサルタントまたは弁護士を雇う必要があるかもしれません。しかし、多くは1つなしで生き残ります。

独自の戦略を（おそらく法的助言とともに）作成し、それに基づいて、GDPRに準拠するために実行するアクションを決定する必要があります。これらの変更を実際の情報システムに実装しようとすると、何かを達成する方法について技術的な問題が発生する場合があります。 それが質問がServer Faultの範囲に絞り込まれたときです

はじめに、規制の目的を知っておく必要があります。これは基本的に、収集から削除までの全期間を通じて個人データが慎重に処理されるようにするための法的枠組みです。 GDPR Article 5 は、個人データを処理するための原則を簡単に説明しています。

• 合法性、公平性、透明性
• 目的制限
• データの最小化
• 正確さ
• ストレージの制限
• 整合性と機密性。

GDPRはデータ主体を提供します。つまり、市民は個人データを制御し、これらの原則が尊重されていることを確認するためのツールを提供します。これらには、自分のデータにアクセスする権利、データを修正および移動する権利、およびデータを消去する権利、すなわち、忘れられる権利（他の法律でその保存が要求されていない場合）が含まれます。また、制裁の可能性もあり、会社はデータ保護担当者を指定する必要がある場合があります。

原則のほとんどはすでに国内法で実施されており（データ保護指令 95/46/ECにより）、EU内の企業の変更は非常に制限されています。 EU圏外の企業は、EU市民の個人データを処理する場合、もう少しやるべきことがあります。

変更される主なものの1つは説明責任です。これは、実際に手順を完全に文書化することによって最もよく達成されます。

• howおよびwhy個人データが収集されます
• 処理を合法にする理由（同意第6 条の1つの条件にすぎない）
• データの保存方法と処理方法
• データへのアクセス権を持つユーザーと、これを制御および監査する方法
• ストレージの理由が期限切れになったときに削除されるか（自動的に/標準的な方法）
• 関与するリスクの処理方法、つまりリスク分析。

私の意見では、これらのことについて慎重に検討し、問題を修正し、発見したリスクを軽減し、これらすべてを文書化した場合は、たとえ侵入を受けても、制裁措置から遠く離れているはずです。あなたの状況とある種の行動の間に、過失の可能性のある過大な行動が起こり、2000万ユーロ/売上高の4％の罰金が課せられます。