2018年の施行以来、GDPRデータ保護は急速に発展し、常に最新情報を把握することは多くの会社にとって困難であります。また、クライアントはEU離脱がデータ保護コンプライアンスに及ぼす影響に対する懸念を強めており、英国GDPRにおける 義務を知ることについて関心を高めています。
2018年にデータ保護法に遵守していることを既に確認している場合でも、今何かしなければならないことはありますか?
はい、データ保護コンプライアンスを定期的に確認することは非常に重要です。データ処理は時間と共に変化するだけで なく、GDPR施行後の判例や英国の規制当局である英国個人データ保護監督機関(ICO)のガイドラインも考慮する必要があり ます。また、EU離脱により、貴社のポリシーや手続きを確認し、必要な変更を行う必要があるかもしれません。
英国個人データ保護監督機関(ICO)は、会社が定期的にデータ処理について見直し、必要に応じてプライバシー情報やその他の文書を更新することを推奨しています。
英国GDPRに準拠しなかった場合、どのようなリスクがありますか?
潜在的な制裁金は高額となる可能性があり、最大で1750万ポンドまたは全世界の年間売上高の4%のいずれか高額な方が 科せられます。監督当局は昨今、多額の制裁金を科すことを躊躇しない姿勢を示しており、GDPRが施行されて以来、記録的な制裁金が科されています。データに対するこれまでの最大の制裁金は、データ保護法に対する様々な対応を怠ったとしてフランスの規制当局がグーグルに科した5000万ユーロ(または4320万ポンド)です。
法律違反に対するレピュテーションリスクも考慮する必要があります。多くの会社にとってデータは非常に重要なものであり、会社が適切にデータを取り扱っていないことに対する懸念が生じた場合には顧客はデータを提供したがらなくなる可能性があります。また、サイバー攻撃により、不適切なポリシーや手続きが露呈することもあります。
データ保護コンプライアンスを見直す最善の方法は何ですか?
監査は、誤りや注意すべき点を特定する上で効果的な手段です。多くの会社は、(大概の場合は多大な時間的プレッシャーから)GDPR施行前からポリシーや手続きを導入していますが、それ以降はコンプライアンスの見直しをおこなっていない ため、コンプライアンスにギャップがあったり、気が付いていない問題があったりするかもしれません。そのような 問題は、データ侵害、データ主体のアクセス要求や英国個人データ保護監督機関(ICO)の調査があった場合に初めて明るみに出る可能性がありますが、その時点では問題を解決するには遅すぎるかもしれません。
従業員トレーニングは重要ですか?
スタッフトレーニングは、データ侵害のリスクを軽減するためでなく、重要なステップでもあります。従業員は、会社がデータ保護法を遵守するための重要な役割を担っているため、自分の義務と会社に対する責任を再認識してもらう必要が あります。例えば、データ主体のアクセス要求に関する優れた方針があっても、従業員がそのような要求を受け取った際に何をしなければならないかを正確に理解できていないのであれば、方針の効果は薄れてしまうでしょう。
海外会社も英国GDPRを遵守する必要がありますか?
英国GDPRは域外適用されます。一般的には、(英国支店など)英国に事業所を持つ会社や、(a)英国内の個人「に対して」 商品やサービスを提供したり、(b)当該個人の行動を「監視」したりする会社に適用されます。英国GDPRが適用されるか 不明な場合には、貴社の状況に応じたアドバイスを受けることが重要です。
3CSは、年間コンプライアンスサービスをご提供しています。これには、問題が生じる前にコンプライアンスのギャップを 特定する監査、必要に応じた文書の修正、従業員向けトレーニング、 データ侵害や調査など緊急の問題に対するアドバイスが含まれています。
データ保護法に関するご相談や、年間GDPRコンプライアンスサービスの 詳細情報については、3CSのコンサルタントまたはコーポレート・商法部門にご連絡ください。
