英国がEU離脱をしたにもかかわらず、全ての実用的な目的に対し、欧州一般データ保護規則(GDPR)が引き続き適用されています。GDPRは、世界で最も厳しいデータ保護法のひとつです。規制当局は、最大で2,000万ユーロまたは全世界の売上高の4%のいずれか高い方の制裁金を科すことができます。このような制裁金の頻度と金額は急激に増加しています。この1年間で、EUと英国を合わせて、罰則の総額は100%以上増加しました。2018年以降、800件以上の制裁金が科せられており、上位20件の制裁金は8億7700万ドル(アマゾン)から300万ドルまでとなっています。自社のデータ保護ポリシーを慎重に検討することが賢明です。
データ保護関連の文書を定期的に修正する必要がありますか?
はい、見直しは定期的に行う必要があります。通常年1回のチェックで十分ですが、文書に影響を与えるような、データの取り扱いやビジネスに関する変更があった場合は、その時点で追加の見直しを行う必要があります。また、判例法や当局の最新のガイダンス、EU離脱などの外的要因によって、文書の改訂が必要になることもあります。
必要に応じて文書を見直し、更新することで、法的義務を遵守しているかどうかを確認し、問題を回避する事に役立つでしょう。
データ保護監査とはとのようなものでしょうか?
この監査では、保有するデータを規定に則して詳細なレビューを行うとともに、データの処理方法、送信場所、受信場所を検討します。 監査の目的は、リスクのある分野を特定し、プロセスと手順が適切であることを確認し、潜在的な問題があれば問題になる前に対処することです。
多くの企業は、2018年にGDPRが施行される前に急いでGDPRのコンプライアンスに対処しましたが、これはGDPRが実際にどのように機能するかについて当局からのガイダンスがほとんどなかった時期です。したがって、今が客観的にデータコンプライアンスの状況を全体的に見直しを行うのに適した時期だと言えます。
社員教育が必要なのでしょうか?
はい、定期的なトレーニングはとても重要です。これは、従業員が何をすべきかを常に認識し、新入社員が必要な知識を得ることを確実にする事に役立ちます。また従業員は、データ侵害のリスクを最小限に抑え、データ保護法を確実に遵守するための重要な役割を果たします。例えば、データ主体の開示請求が即座に認識され、自社の手順や規則に従って迅速に対処されることを確実にすることなどが挙げられます。
データ侵害をICO(英国個人情報保護監督機関)に報告する必要がある場合(残念ながら、これはますます一般的になってきています)、データ侵害に関与した従業員や管理者がトレーニングを受けていたかどうか、受けていた場合はいつトレーニングを実施したかを問われます。トレーニングがかなり前に実施された、あるいは全く行われなかったと回答した場合、印象が悪くなります。
新しい英国標準契約条項(UK SCCs – UK Standard Contractual Clauses)はどのようになっていますか?
これらは、データの合法的な送信を許可する文書です。EU離脱後、英国はEUと英国の関係の変化を考慮して文言を変更する必要があります。英国からデータを移転する際に使用されるEU SCCsの代替えとして提案された、国際データ移転契約に関する公開協議が終了しました。この文書は今後、ICOによって最終的にまとめられた後、議会に提出されます。このプロセスが完了した後、新規の取り決めの場合は3ヶ月、既存の取り決めの場合は21ヶ月という別々の期限を設けて適用することが提案されています。これに関する最新情報を後日、ニュースレターでお知らせいたします。
新しい移転に関する取り決めが発表された時点で、直ちに必要となることを特定し、対応できるよう、今のうちに既存のデータ移転を見直 しておくことが賢明でしょう。
データ保護法に関する支援が必要な場合、またはGDPR監査に関する詳細情報が必要な場合は、3CSの担当者にご連絡ください。
