GDPR是什么?解析与《日本个人信息保护法》的比较以及日本企业应注意的要点
GDPR是什么?解析与《日本个人信息保护法》的比较以及日本企业应注意的要点
在向欧盟(EU)地区拓展业务时,必须全面了解《欧盟通用数据保护条例》(GDPR)。即使是没有在欧盟地区设立基地的日本企业,也可能适用GDPR。掌握GDPR和《日本个人信息保护法》的基础知识,进行恰当的数据管理至关重要。
本文将介绍GDPR,并与《日本个人信息保护法》进行比较,阐述日本企业需要注意的要点。如果您是负责法务的专业人士,正在考虑是否需要修改与数据保护相关的规定,或者想要了解在向EU拓展业务时应遵循的法律,请务必参考本文。
GDPR(欧盟通用数据保护条例)是什么
所谓“GDPR(General Data Protection Regulation)”,在日本被称为“一般数据保护条例”,是欧洲联盟(EU)制定的关于个人数据处理(个人信息保护)的规则。
该规则为欧盟境内的个人数据处理设定了严格的标准,旨在加强个人隐私保护。
从个人信息保护的角度出发,为企业和组织提供了如何处理数据的指导,同时也为个人提供了如何保护自己信息的标准。
参考资料:个人信息保护委员会|「一般数据保护条例(GDPR)日文版草案[ja]」
GDPR的基本原则如下:
- 合法性、公正性和透明性
- 目的限定
- 数据最小化
- 准确性
- 存档保存的限制
- 完整性和机密性
接下来,我们将对每一个基本原则进行详细说明。
合法性、公正性、透明性
作为GDPR的基本原则,首先要提到的是合法性、公正性和透明性。
当企业收集和处理个人数据时,必须基于合法的正当理由,并且需要以易于理解的方式向当事人明确传达这些处理活动是如何进行的。
此外,企业必须明确提供有关隐私的信息,确保当事人理解其数据将如何被处理,并能够控制,因此保持透明性是非常重要的。
使用目的的限制
使用目的的限制意味着数据的收集和处理应当仅限于特定的、明确的目的。
获取个人数据的企业必须向当事人准确且具体地说明其目的,并获得明确的同意。此外,企业在收集数据后,必须限制使用数据于获得数据主体同意的目的之外,并严格管理这些数据。
个人数据最小化原则
收集个人数据应当限定在实现特定目的所必需的范围内(即最小化)。我们只会在符合所要求目的的范围内收集个人数据,并避免收集不必要的个人信息。
这样做可以将保留的个人数据量控制在最小限度,并保护个人隐私。
准确性
作为GDPR(通用数据保护条例)的基本原则之一,个人数据必须是准确的。不准确的个人数据应当被修正,并且应当采取措施保持信息的最新和准确。
这样做可以保护个人的权利和利益,并确保基于准确信息处理个人数据。
记录保存的限制
GDPR(通用数据保护条例)的基本原则中包含了记录保存的限制这一概念。一旦目的达成,不再需要的个人数据应当被迅速删除。
通过不保留不再需要的个人数据,我们能够实现个人数据的适当管理和隐私保护。
完整性与保密性
个人数据必须是完整且保密的。应当采取适当措施,保护个人数据不受篡改和损失,防止未经授权的访问。
这样可以提高个人数据的可靠性。
不仅仅是欧盟境内的企业?GDPR的适用范围
GDPR的适用并不限于欧盟境内的企业。日本企业也可能成为适用对象。以下将解释成为GDPR适用企业的四种情况。
GDPR适用的企业对象 | 概述 |
|---|---|
在欧盟境内有基地的企业 | “管理者” 确定数据处理目的和手段,并拥有数据所有权的组织称为管理者。例如,拥有欧盟内总部或分支机构的企业适用。管理者负有确保数据合法且透明处理的责任。 |
接受欧盟企业委托进行个人数据处理的企业 | “处理者” 欧盟境内的企业将数据处理委托给其他企业时,受委托的企业作为“处理者”成为GDPR的适用对象。处理者同样负有确保数据安全性和合法处理的责任。 |
向欧盟境内个人提供商品或服务的企业 | 提供在线商店或网络服务的企业适用。提供的商品或服务相关的数据处理需要遵守GDPR的标准。 |
监视欧盟境内个人的企业 | 监视指的是长期追踪特定个人的行为或状态。例如,进行监控摄像或在线行为跟踪的企业适用,需要合法处理相关数据。 |
GDPR适用的企业需要确保数据的合法和透明处理、安全性的保障,以及遵守GDPR的标准。
本文原文来自monolith.law