中小企業向けの GDPR: すべての組織が従うべき 10 の簡単なステップ

GDPR 準拠チェックリスト: 知っておくべきこと

1. あなたの組織が公的機関や団体である場合、機密データを大規模に扱っている場合、またはデータ処理が「定期的かつ体系的な監視」を伴う業務の中核である場合は、 データ保護責任者 (DPO) を雇用する必要があります。 。 DPO は独立している必要があり、上級管理職に直接報告する必要があります。ヒント: 法律専門家と IT 部門の情報セキュリティ専門家が協力できる情報保護部門 (IPU) を作成します。
2. DPO による「 情報資産監査 」の実施を支援します。言い換えれば、データをマッピングして、どの部門がどのデータにどのような目的でアクセスしているのかを判断します。 IPU とすべての内部機能、特に IT およびマーケティングとの間の良好なコミュニケーションを確保します。 DPO を単なるコンプライアンス責任者としてではなく、組織の機能を可能にする人物として捉えるようにしてください。 DPO は、顧客に関連する新しいアプリケーションやサービスを開発する際に、「 プライバシー バイ デザイン 」の原則を採用するのに役立ちます。
3. データ資産の監査が完了すると、DPO は、それぞれのケースで処理するための適切な「 法的根拠 」を見つけ、それに応じて手順を適応させるのを支援します。データ処理のリスクが高いと考えられるたびに、「 データ保護影響評価 」を実行します。
4. 誰かのデータを処理する許可を求める方法には注意してください。 IPU にあなたの「 通知と同意 」フォームを改訂させましょう。どのようなデータを収集しているのか、その情報をどのように使用しているのかを顧客に簡単に説明します。データの収集と保存をオプトインし、情報の正確性をチェックする簡単な方法を人々に提供します。そして、アクセス、修正、消去、処理の制限、および異議を申し立てる権利などの権利を行使することを忘れないでください。 「 データポータビリティ 」の権利に基づいて、人々がデジタル形式で自分のデータにアクセスできる方法を見つけてください。
5. IPU に社内外の情報管理とセキュリティ手順を改訂してもらいましょう。クラウド サービスを提供する IT プロバイダーが GDPR に準拠していること、およびデータ サプライ チェーン全体にわたって高い情報セキュリティ基準が採用されていることを確認する必要があります。
6. データ転送と共有に関する契約を改訂します。必要に応じて「 拘束力のある企業ルール 」を使用します。さまざまな EU 諸国で事業を展開している場合は、主任データ保護当局が誰であるかを必ず確認してください。これについては、独立したデータ保護諮問委員会である 第 29 条作業部会 に支援を求めることができます。
7. データを適切に処理できるように従業員をトレーニングします。カスタマー サポート サービスから人事スタッフ、戦略的インテリジェンス部門に至るまで、すべての従業員は、GDPR に含まれる情報セキュリティとデータ主体の権利に関する基本的な教訓を理解する必要があります。
8. すべての決定を記録し、いつでも説明し、完全に遵守している証拠を提供できるようにしてください。組織がデータ侵害を受けた翌日に備えてください。データ保護当局とメディアへの通知が求められるまでに 72 時間の 猶予があります。 GDPR はリスクを管理し、説明責任の文化を促進することを目的としているということを忘れないでください。正しく実装されていれば、あなたの評判と貴重な情報を保護するのに役立ちます。
9. GDPR はプライバシーかイノベーションかの選択ではなく、 プライバシーとイノベーションに関するものであること を忘れないでください。将来の使用のためにデータを保存するのをやめ、どのデータを保持する必要があるかをより深く理解する機会として捉えてください。 GDPR は、不適切なプライバシー慣行によって引き起こされるデータ スキャンダルの被害者になるリスクを軽減する機会です。
10. 業界内の対話を促進して、ベストプラクティスを特定し、新しい基準を設定します。データ保護当局にアドバイスを求め、IPU が他の人から学び、その成果や懸念事項を共有できるようにしましょう。 GDPR は、 行動規範と認証プログラム の作成を促進します。 GDPR は業界標準の向上を目的としています。あなたは決して一人ではありません。