2021年のGDPRの状態:主要な更新とその意味

公開: 2022-03-10
簡単なまとめ↬デジタルプラクティショナーとして、GDPRは私たちの職業的および個人的な生活のあらゆる側面に影響を与えてきました。 Instagramに夢中になっている、WhatsAppで家族にメッセージを送っている、EtsyやGoogleの情報から製品を購入しているなど、2018年に導入されたルールから逃れることはできません。

製品とサービスはウィスコンシンのウェブデザイン会社であるかマルタのマーケティング担当者であるかに関係なく、GDPRを念頭に置いて設計されているため、EUの指令は事実上すべてのデジタル専門家に影響を与えています。 GDPRの広範囲にわたる影響は、データの処理方法、製品の構築方法、組織内および組織間でのデータの安全な転送方法に影響を与えるだけではありません。 これは、ヨーロッパとアメリカの間のような国際的なデータ転送契約を定義しています。

世界で最も優秀なデジタル未来主義者の一人であるケビン・ケリーは、「テクノロジーは自然と同じくらい大きな力である」と主張しています。 彼が意味するのは、ユーザーデータと情報技術が、言語の発明以来、人類の歴史の中で最も深遠な時代の1つを引き起こしているということです。 政府とハイテク多国籍企業がインターネットを制御するために取り組んでいるときに何が起こっているかを見てください。

先週だけでも、オーストラリア政府がプラットフォームの所有者にプラットフォームで共有されているコンテンツの支払いをパブリッシャーに強制するようになったため、Facebookはオーストラリア政府からの大騒ぎでオーストラリアのユーザーへのニュースをブロックすることを決定しました。

そしてそれは、政府と技術が出会う交差点での以前の論争(米国議会議事堂の暴動の組織、ケンブリッジアナリティカスキャンダル)に追加されます。

この記事では、2018年以降GDPRがどのように進化してきたかを見ていきます。EUからのいくつかの更新、いくつかの重要な進展、およびGDPRが進化する可能性のある場所について説明します。 デザイナーや開発者として、それが私たちにとって何を意味するのかを探ります。 そして、それがEU内外の企業にとって何を意味するのかを見ていきます。

次の記事では、Cookieの同意と、マーケターがGoogle AnalyticsのCookieデータに大きく依存しているが、規制に準拠する必要があるというパラドックスに焦点を当てます。 次に、サードパーティのCookieからの移行が見られるようになり、ファーストパーティの広告追跡について詳しく見ていきます。

  • パート1:GDPR、主要な更新とその意味
  • パート2:デザイナーと開発者のためのCookieの同意

GDPRの簡単な要約

まず、GDPRとは何かを思い出してみましょう。 GDPRは、2018年5月25日にEU内で法律になりました。これは、7つの主要な原則に基づいています。

  1. 合法性、公平性、透明性
    データを処理する必要があるのは、データを処理している内容、方法、理由を人々が理解できるようにするためです。
  2. 目的の制限
    データは、明確で、特定された、正当な目的でのみ収集する必要があります。 その後、元の目的と互換性のない方法で処理することはできません。
  3. データの最小化
    必要なデータのみを収集する必要があります。
  4. 正確さ
    データは正確で最新の状態に保たれている必要があります。 不正確なデータは消去または修正する必要があります。
  5. ストレージの制限
    データを個人にリンクできる場合は、指定した目的を実行する必要がある場合に限り、データを保持できます。 (科学的、統計的、または歴史的研究に使用するための警告。)
  6. 完全性と機密性(つまりセキュリティ)
    保持している個人データが安全に処理されるようにする必要があります。 許可されていない、または違法な処理から、また偶発的な紛失、破壊、または損傷から保護する必要があります。
  7. 説明責任
    これで、保持するデータに責任があり、GDPRへの準拠を実証できるはずです。
GDPRの7つの原則を示す図:合法性、整合性、ストレージと目的の制限、データの最小化と正確性、説明責任-透明性、プライバシー、管理を重ね合わせたもの
GDPRの原則は、透明性、プライバシー、ユーザー管理に基づいています。 (画像クレジット:Cyber​​-Duck)(大プレビュー)

いくつかの定義

  • CJEU
    欧州連合司法裁判所。 この裁判所の判決は、GDPRなどのEU法を明確にしています。
  • DPA
    国家データ保護当局。 EU各国には1つあります。 GDPRが施行され、これらの機関によって国レベルで罰金が科せられます。 英国に相当するのは情報コミッショナーオフィス(ICO)です。 米国では、GDPRスタイルのデータプライバシーは主に各州によって法制化されています。
  • 欧州委員会
    欧州連合の行政機関(基本的にはEUの公務員)。 欧州委員会は、GDPRを含む法案を起草します。
  • GDPR
    2018年の一般データ保護規則。

EUからの主要な更新

GDPRは、2018年5月以降、停滞していません。これは、発効以来何が起こったのかを簡単に説明したものです。

EUとその加盟国はどのようにGDPRを実装しましたか?

欧州委員会は、GDPRがEU全体でほぼ完全に実施されていると報告していますが、一部の国(スロベニアの名前を確認)は足を引っ張っています。 ただし、実装の深さはさまざまです。 EUはまた、加盟国は、その意見では、新しい力を公正に使用していると述べています。

ただし、一部の相違と断片化が忍び寄っているという懸念も表明されています。GDPRは、加盟国が連携している場合にのみ、EUの単一市場全体で効果的に機能します。 法律が異なる場合、それは水を濁らせます。

EUはGDPRをどのように発展させたいですか?

EUは、個人がGDPRに基づく権利を行使しやすくすることを望んでいることを私たちは知っています。 これは、国境を越えたコラボレーションと集団訴訟を意味します。 銀行や通信を超えた消費者向けのデータの移植性を見たいと考えています。

また、中小企業( SME )がGDPRに準拠しやすくすることも望んでいます。 これは、EUが規則を曲げることに熱心ではないため、追加のサポートや、より標準的な契約条項(SMEが契約にコピー/貼り付けることができる基本的にテンプレート化された合法)などのツールの形で提供される可能性があります。

大きな開発#1:「ジョイントコントローラー」の予想外に広い定義

そうです、GDPRが法制化されてからの最初の大きな変化です。 Facebookが関与する2つのテストケースでは、欧州連合司法裁判所は、予想よりもはるかに広い「共同管理者」の解釈を定義しました。

共同管理者の状況は、2人以上の管理者の両方がGDPRの条件を満たす責任がある場合に発生します。 (これは、ジョイントコントローラーに関するICOからの優れた説明者です。)基本的に:

  • 顧客データを処理するときは、GDPRに準拠するように、各ステップを管理する他の共同管理者と決定します。
  • ただし、プロセス全体が準拠していることを確認するのは、すべての人の責任です。 あなた方一人一人は、苦情を処理する国のデータ保護当局に対して完全に責任があります。
  • 個人は、すべての共同管理者に対して苦情を申し立てることができます。
  • 引き起こされたすべての損害については、すべての責任があります—損害を引き起こしたイベントとの関係がないことを証明できない限り、
  • 個人は、任意のジョイントコントローラーに補償を求めることができます。 あなたはあなたの仲間のコントローラーからその補償の一部を取り戻すことができるかもしれません。

最初のFacebookのケースでは、CJEUは、Facebookのファンページを運営している会社がFacebookと一緒に共同管理者として数えられることを確認しました。 2つ目は、CJEUは、Facebookの「いいね」ボタンをWebサイトに埋め込んだ企業が、ソーシャルネットワークとの共同管理者ステータスを保持していることも確認しました。

これらのケースは、プライバシーコミュニティを通じて衝撃波を送りました。これは、基本的に、ソーシャルパブリッシャー、Webサイト運営者、ファンページモデレーターがFacebookなどのプラットフォームとともにユーザーデータに責任を持つようにするためです。

しかし、CJEUはまた、責任の共有は同等の責任を意味するものではないことを明確にしました。 どちらの場合も、責任は主にFacebookにあり、Facebookだけがデータにアクセスでき、Facebookだけがデータを削除できました。 したがって、この決定の影響は最初に思われるほど深刻ではないかもしれませんが、それでも非常に重要です。

そしてそれが、ドイツの2020年のEU議長国のウェブサイトなどの一部のサイトが、特にオプトインするまで、埋め込まれたソーシャルコンテンツをデフォルトでブロックする理由かもしれません。

サードパーティの追跡がオンになるまでブロックされたソーシャルフィードコンテンツを示すeu2020.deのスクリーングラブ
一部のサイトでは、埋め込まれたソーシャルフィードがデフォルトでサイトに表示されないようにブロックし始めており、ユーザーはトラッキングをオプトインすることができます。 (大プレビュー)

大きな開発#2:バイバイプライバシーシールド、こんにちはCPRA

2番目の大きな変更は、より予測可能でした。米国企業が欧州の顧客データを処理しやすくするメカニズムであるプライバシーシールドは、裁判所によって取り下げられました。

これが理由です。

EUは、市民の個人データを保護したいと考えています。 しかし、それはまた、国際貿易に加えて、安全保障のような分野での国境を越えた協力を奨励したいと考えています。

EUは、それ自体を(当然のことながら)データ保護のパイオニアと見なしています。 そのため、その政治的筋力を利用して、ブロックと取引したい国がデータプライバシー基準に一致するように奨励しています。

「「

米国に入る。 データプライバシーに関するヨーロッパとアメリカの哲学は正反対です。 (本質的に、ヨーロッパの見解は、明示的な許可がない限り、個人データはプライベートであるというものです。アメリカの見解は、データをプライベートに保つことを明示的に要求しない限り、データはパブリックであるというものです。)しかし、世界の2つの最大の消費者市場として、トレード。 そこで、EUと米国はプライバシーシールドを開発しました。

プライバシーシールドは、米国企業がより高いプライバシー基準にサインアップしている限り、EU市民のデータを処理できるように設計されています。

しかし、米国の法律の下では、米国政府は依然としてそのデータを監視することができました。 これは、オーストリアのプライバシー擁護者であるMaxSchremsが提起した訴訟で異議を唱えられました。 CJEUは彼を支持しました:プライバシーシールドは取り壊され、プライバシーシールドを使用した5,300人のアメリカの中小企業はEUの規定された標準契約条項を採用する以外に選択肢がありませんでした。

明らかに、Privacy Shieldを交換することは、すべての人の利益になります—そしてそうなるでしょう。 しかし、専門家は、プライバシーに対するヨーロッパとアメリカのアプローチは本質的に互換性がないため、その代替品はやがて再び取り消される可能性が高いと述べています。

一方、カリフォルニアでは、2018年のGDPRに触発されたカリフォルニア消費者プライバシー法(CCPA)が、カリフォルニアプライバシー権利法(CPRA)が可決された2020年11月に強化されました。

カリフォルニア州消費者プライバシー法(CCPA)

2020年1月に発効したCCPAは、カリフォルニア市民に、販売されているデータをオプトアウトする権利を与えています。 また、収集されたデータの開示を要求したり、そのデータの削除を要求したりすることもできます。 GDPRとは異なり、CCPAは営利企業にのみ適用されます。

  • 年間50,000人以上のカリフォルニア居住者のデータを処理する人、または
  • 年間2500万ドル以上の総収入を生み出す人、または
  • カリフォルニア州の住民の個人データを販売することで年間収益の半分以上を稼ぐ人

カリフォルニア州プライバシー権法(CPRA)

2023年1月に発効するCPRAは、CCPAを超えています。 その重要なポイントは次のとおりです。

  • これにより、年間10万人のカリフォルニア州住民のデータを処理する企業の水準が引き上げられます。
  • 人種、宗教、性的指向、健康データ、政府IDなど、カリフォルニア州民の機密データをさらに保護します。
  • 未成年者のデータ違反に対する罰金は3倍になります
  • それはカリフォルニア州民に彼らのデータが修正されることを要求する権利を与えます
  • それは企業にCPRA調査を支援することを義務付けています
  • そしてそれはCPRAを実施するためにカリフォルニアプライバシー保護機関を設立します
CPRAを要約したグラフィック
カリフォルニア州は、2023年に予定されているCPRAとのプライバシー法を強化しています。(大規模なプレビュー)

他の州ではプライバシー法へのさらなる推進が行われており、これらが合わさって、新バイデン政権下での連邦プライバシー対策の必要性が高まる可能性があります。

大きな開発#3:Cookieの同意

2020年5月、EUはGDPRガイダンスを更新して、Cookieの同意に関する2つの重要なポイントを含むいくつかのポイントを明確にしました。

  • Cookieを拒否すると、コンテンツへのアクセスがブロックされるため、Cookieの壁はユーザーに真の選択肢を提供しません。 クッキーウォールを使用してはならないことを確認します。
  • Webコンテンツをスクロールまたはスワイプしても、黙示の同意とは一致しません。 EUは、同意は明示的でなければならないことを繰り返します。

これについては、来週の2番目の記事で詳しく説明します。

デフォルトで広告追跡がオンになっているCyber​​-DuckCookie通知
EUは、Cookieの同意に関するガイダンスを更新しました。 (大プレビュー)

大きな開発#4:グーグルとアップルはサードパーティの追跡からシフトし始めます

大手デジタルプレーヤーがGDPRに対応する方法、およびプライバシー法を有利に活用する方法を理解しているため、一部のプレーヤーはすでに攻撃を受けています。

グーグルとアップルの両方が、アドテック企業と出版社からの苦情を受けて、独占禁止法訴訟に直面しています。

どちらの場合も、申立人は、大手ハイテク企業が支配的な市場での地位を利用していると述べています。

繰り返しになりますが、次回はこれについて詳しく説明します。

ジャンプした後もっと! 以下を読み続けてください↓

大きな開発#5:このようにやってくる大きなGDPRの罰金

もちろん、多くの組織は、規制当局が適用できる罰金を恐れていたため、GDPRに準拠するために急いでいました。 これらの罰金は次のように発生し始めました。

フランスのデータ規制当局は、「透明性の欠如、不十分な情報、広告のパーソナライズに関する有効な同意の欠如」について、Googleに5,000万ユーロの罰金を科し、ユーザーはGoogleがデータを収集する方法と理由について「十分な情報を得ていなかった」と述べています。

英国に相当するICOは、米国のホテルコングロマリットであるMarriott International Inc.に、3億3900万人のゲストレコードを安全に保管できなかったとして1840万ポンドの罰金を科しました。 マリオットが2016年に買収したスターウッドホテルアンドリゾートワールドワイドインクに対する2014年のサイバー攻撃は、2018年まで発見されませんでした。

英国のICOはまた、ブリティッシュ・エアウェイズに、40万人の顧客の個人データとクレジットカードデータの2018年のデータ侵害に対して記録的な2,000万ポンドの罰金を科しました。

それから私の個人的なお気に入りがあります。H&Mによる従業員の信頼の衝撃的な違反で、3500万ユーロのペナルティが発生しました。

それが今日私たちが立っているところです。

これはあなたにとって何を意味しますか?

設計者および開発者として、GDPRは、私たちが設計および構築する製品、およびデータの設計方法に大きな影響を与えます。

デザイナーとして私たちが知っておくべきことは次のとおりです

  • GDPRは、ユーザーがデータを共有するポイント、収集されるデータ、およびデータの処理方法を設計するため、非常に重要です。
  • プライバシーバイデザインのベストプラクティスに従ってください。 車輪の再発明を試みないでください。準拠したCookieバナーを作成した場合は、実績のあるデザインパターンを使用してください。
  • コンプライアンスチームおよび開発チームと協力して、設計がGDPRに適合し、実装できることを確認します。 必要なデータのみを要求してください。
  • 最後に、どのデータを共有しても問題がないか、どのように使用してほしいかをユーザーに尋ねます。 彼らがそれを気味が悪いと感じたら、あなたのアプローチを再検討してください。

開発者として知っておくべきことは次のとおりです

  • データ処理、共有、統合を有効にするため、GDPRは重要です。
  • GDPRの原則として、アクセスが必要なアプローチを採用します。 アクセスなしですべてを実装することから始め、次に必要なときにだけチームにデータへのアクセスを許可します(たとえば、開発者にGoogle Analyticsコンソールへのアクセスを許可します)。 進行中に監査と文書化を行います。
  • プライバシーバイデザインとセキュリティバイデザインの原則に従ってください。 インフラストラクチャを実装するための堅牢で安全なテンプレートが重要です。
  • 決定された内容を実装できるように、Cookieの同意や会話の追跡などの技術的な側面に事前に関与していることを確認してください。
  • プロセスマッピングは、データがビジネスのさまざまな部分と共有されている場所を示します。
  • 自動化は、人的エラーを削減する安全なデータ処理を提供します。 また、間違った人がデータにアクセスするのを防ぐのにも役立ちます。
  • GDPRチェックリストともちろん実行本は、プロセスの管理に役立ちます。 繰り返しになりますが、監査と文書化を行ってください。

では、GDPRが近い将来どのように進化するかを見てみましょう。 3つの分野に焦点を当てます。

GDPRが急速に進化している3つの分野

1.EUがGDPRをどのように実施しているか

まず、GDPRが立法府にどのように組み込まれるかを見てみましょう。

EUは、国境を越えた訴訟や国際協力を容易にするため、加盟国の連携を維持したいと考えています。 したがって、各国がGDPRから逸脱したり、GDPRを超えたりしてはならないことが強化されました。 私が言ったように、いくつかの加盟国は規制にリップサービスを支払っています。 GDPRの基準を超えたいと考える人もいます。

それらの調整の見返りとして、EUはコンプライアンスを実施し、集団訴訟とより安価な国境を越えた訴訟を可能にするよう努め、EU外でのプライバシーと一貫した基準を促進します。 SME向けの追加のサポートとツールに加えて、設計によるセキュリティとデータ保護の認定も見られる場合があります。

最後に、これはシリコンバレーで眉をひそめる可能性があります。EUは、コンプライアンスを促進するためにデータ処理の禁止を検討する可能性があることを示唆しています。 5,000万ユーロの罰金は、Googleや友人にとって世界の終わりではありません。 しかし、いたずらなステップでタイムアウトすること、そしてその結果として生じる悪いPRは、非常に異なるものです。

2.GDPRがイノベーションとどのように連携するか

GDPRは、テクノロジーに中立であり、イノベーションを妨げるのではなく、サポートするように設計されています。 これは確かに過去12か月にわたってテストされており、EUは、その法律が機能している証拠としてCOVID-19アプリの急速な展開を指摘しています。

機密性の高いカテゴリのデータ(健康および科学研究)の行動規範が期待できます。 これらは歓迎されます。

しかし、彼らはイノベーターを注意深く見守っています。 EUは、ビデオ、IoTデバイス、およびブロックチェーンにおけるデータプライバシーについて懸念を表明しています。 彼らは特に顔(そしておそらく音声)の認識とAIの発達に関心を持っています。

特に、委員会は、「多国籍テクノロジー企業」、「大規模なデジタルプラットフォーム」、「オンライン広告とマイクロターゲティング」と呼ばれるものについて深く懸念しています。 はい、もう一度、あなた、Facebook、Amazon、Google、そして友達を見ています。

3.EUがEUを超えてGDPR基準をどのように推進しているか

私たちのデジタル経済はグローバルであるため、GDPRの影響は、コンプライアンスの観点からだけでなく、EUの国境を越えて波及します。 EUは、世界中のデータ保護法の基準を設定しています。 カリフォルニアのCCPAを超えて、ブラジルのLGPDに加えて、カナダ、オーストラリア、インド、およびアメリカの州のクラッチの開発を参照してください。

もちろん、他の国や貿易圏がその基準に一致するかどうかは、EUの利益になります。 したがって、いくつかの方法でGDPRを推進しています

  • 日本とまもなく韓国との「相互の妥当性の決定」を通じて
  • ニュージーランド、オーストラリア、英国などとの二国間貿易協定に組み込まれています
  • OECD、ASEAN、G7、G20などのフォーラムを通じて
  • EUおよび国際的な規制当局のためのデータ保護アカデミーを通じて

信頼できるデータフローを通じてイノベーションを促進し、法執行機関と民間事業者の間の国際協力を可能にすることは特に熱心です。

EUはデータ保護で世界をリードしています。 それが行くところには、他の人が続きます。 したがって、EUの対象者向けに設計/開発していない場合でも、何が起こっているのかを知っておく必要があります。

「「

これはすべて、EUの企業にとって何を意味しますか?

EUで事業を行う企業は、GDPRに準拠する必要があります。そうしないと、罰金が科せられます。 これまで見てきたように、これらの罰金はかなり高額になる可能性があります。 したがって、GDPRの7つの原則と、各国のデータ保護当局からの具体的なガイダンスを順守していることを証明できる必要があります。

ただし、それは思ったほど簡単ではなく、場合によってはリスクを評価することを選択できます。 次回はその一例を紹介します。

これは、EU外に拠点を置く企業にとって何を意味しますか?

EU域外に拠点を置く企業にとっての影響は、EUからの個人データを処理する場合、EU諸国の場合とまったく同じです。 これは、GDPRがEUに拠点を置く人々の個人データに適用されるためです。 EUの顧客に販売するなど、処理する場合は、ルールを遵守する必要があります。 そうしないと、FacebookやGoogleのように罰金が科せられるリスクがあります。

これがどのように実施されるかです。多くの多国籍企業がそうであるように、EUにプレゼンスがあり、GDPRの罰金を支払わない場合、EUの資産が差し押さえられる可能性があります。 プレゼンスがない場合は、GDPRに基づいてEUの代表者を任命する義務があります。 罰金はその代理人を通じて徴収されます。 または、複雑で費用のかかる国際訴訟に直面する可能性があります。

そして、これが誰にとっても複雑になるところです:

顧客ベースにEUの人々と、カリフォルニア州などのプライバシー法を持つ他の場所の市民が含まれる場合は、カリフォルニア州消費者プライバシー法(CCPA)とGDPRの両方に準拠する必要があります。 これらの法律のバッチは一般的に一致していますが、一致していません。

クッキーを例にとってみましょう。 GDPRでは、ユーザーのデバイスにCookieを配置する前に、ユーザーから積極的な同意を得る必要があります。サイトが機能するために厳密に必要なCookieを禁止します。

ただし、CCPAの下では、収集しているデータを開示し、顧客がデータの販売許可を拒否できるようにする必要があります。 しかし、彼らはあなたがそれを集めることができることに積極的に同意する必要はありません。

そのため、EUはグローバルコンプライアンスを簡素化するための国際標準を推進しています。

:米国にいて、プライバシーシールドへの置き換えを熱心に待っている場合は、代わりにMicrosoftの本から葉を取りたいと思うかもしれません。彼らや他の人々は、有効にするために二国間メカニズムに依存するのではなく、GDPRに準拠すると述べています。情報処理。

Webデザイナーと開発者はGDPRからどのような教訓を学ぶことができますか?

プライバシー規制は今後も続くものであり、すべての優先事項とワークフローに影響を及ぼします。 顧客データを扱うときに覚えておくべき6つの教訓は次のとおりです。

  1. GDPRに準拠するために全力疾走する必要がありました。 今はマラソンです。
    GDPRは、規制を目指すテクノロジーとともに進化し続けることを私たちは知っています。 それは私たちへの要求が同じままではないことを意味します。 それだけでなく、GDPRは、世界中で同様の(ただし同一ではない)法律に影響を与えています。 これらの法的要件は、進化し続けるように設定されています。
  2. コンプライアンスは競争上の優位性を構築します。
    最初の主要なGDPRの罰金は目を見張るものがありますが、実際には、多くの人が最も損害を与えると言うのは否定的な評判です。 大規模なデータ漏洩の恩恵を受けるのは誰ですか? 同社の競合他社。 一方、設計と開発のプロセスを強化するときにGDPRコンプライアンスを組み込むと、規制の進展に合わせてより適切に適応できるようになります。
  3. GDPRコンプライアンスとより良いCOVID-19の結果は、ユーザー中心設計によってリンクされています。
    デジタルトランスフォーメーションを開始した企業は、COVID-19の危機によりよく適応できたことがわかっています。 ユーザー中心設計はGDPRもサポートしています。 これには、顧客データは貴重であり、保護する必要があるという考えに沿った製品を構築するために必要なプロセスと顧客重視があります。 これにより、将来の法律に沿って製品を進化させることが容易になります。
  4. デジタル製品にコンプライアンスを組み込むことができます。
    設計によるプライバシーはここにとどまります。 すでにサービスデザインを使用している場合は、サービスブループリントにデータレイヤーとして顧客情報を含めることができます。 そうでない場合は、今が開始する絶好の機会です。 データが収集、処理、保存される場所をマッピングすると、潜在的な侵害が発生する可能性のある弱点が浮き彫りになります。 自動化されたコンプライアンスツールは、企業の負担を軽減するのに役立つだけでなく、データ処理をより安全にする可能性があります。
  5. GDPRはイノベーションをサポートします—正しく実行すれば。
    GDPRは、データフローを制限し、特に企業がデータを使ってイノベーションを行うことを思いとどまらせることで、イノベーションを窒息させていると警告する人もいます。 また、安全でデータが保護される方法で、ブロックチェーン、IoT、AIを革新する機会を指摘する人もいます。 真実? はい、もちろん、革新してGDPRに準拠することができます。 しかし、AIの倫理は非常に重要です。つまり、顧客とそのデータを尊重する必要があります。
  6. サードパーティのパートナーから目を離さないでください。
    これは、上記の共同コントローラーの決定に戻ります。 現在、企業は顧客データの責任を処理する第三者と共有しており、その処理を文書化する必要があります。 今後、サードパーティによるチェック、監視、および契約上の義務が企業の優先事項になることが期待できます。

GDPRがどのように発展するかは次のとおりです

ふぅ。 それは多くのことを取り入れることです。しかし、将来を見据えて、ここで私たちは変化が見られると確信しています。

  1. GDPRは進化を続け、テストケースから明確になり、eプライバシー規制を含むさらなる法律が制定される可能性があります。
  2. EUは、データプライバシー法の国際的な採用を引き続き促進します。 多くの国がデータ保護を採用しており、多くの場合、貿易とセキュリティの合意に組み込まれています。
  3. 運が良ければ、特に米国が連邦レベルでデータプライバシーを実装している場合、データプライバシー法の国際的な収斂が見られるようになるかもしれません。
  4. しかし、プライバシーに対する反対のアプローチのために、EUと米国の間でさらに多くの衝突が見られます。
  5. 「データは新しいオイル」であるため、ユーザーがCookieを介してデータを提供することにより、無料の製品やサービスを受け取る状況が増える可能性があります。
  6. 企業は、コンプライアンスを維持するために、サードパーティのCookieからサーバー側の追跡と自動化に移行します。
  7. 企業は、プライバシーバイデザイン(PdB)とサービス設計ツールおよびプロセスを採用して、プライバシー法の複数のセットへの準拠を維持できるようにします。
  8. そして最後に—そしてこれは間違いなく—私たちはますます大きなプライバシー訴訟を目にするでしょう。 誰が勝者として浮上しますか—ビッグテックまたはプライバシーの擁護者? 私にはわかりませんが、確かなことが1つあります。それは、プライバシー弁護士が大金を稼ぐことです。

信頼に関する最後の言葉

欧州委員会のコミュニケーションと業界の専門家からの解説の両方を支えるテーマは信頼です。 私たちのようなデジタルエージェンシーは、データセキュリティとGDPRコンプライアンスの証拠を提供する必要があります。データ保護のためのスタッフトレーニングポリシーに至るまでです。 それは新しいことです。 EUの優先事項は、EU内外の両方で、安全で安全なデータフローとイノベーションをサポートすることです。 標準への準拠は、このためのソリューションです。 そして、私たちはデザイナーおよび開発者として、果たすべき重要な役割を担っています。

  • パート1:GDPR、主要な更新とその意味
  • パート2:デザイナーと開発者のためのCookieの同意

参考文献

  • EUのサイトであるデータ保護
  • クッキーに関する英国ICOのガイダンス
  • GDPR施行トラッカー、GDPRに基づいて適用された罰金を記録します
  • サイバーダックによるGDPRチェックリスト(開始するのに最適な場所)
  • ICLGによる米国のデータ保護法の概要
  • GDPRとCCPAの比較ガイド、DataGuidanceとプライバシーフォーラムの未来
  • CCPAとCPRA、IAPPから
  • Security By Design(Amazon)
  • プライバシーバイデザインフレームワーク、Heather Burns、SmashingMagazineでユーザーを保護する方法