GDPR対応のために、ちょっとメモを作りました。特に、29条作業委員会のガイドラインのドキュメント番号を付してみました。(本家のニュースルームですが、ちょっと見にくいのは、こちら)
テーマというのは、英国の情報コミッショナーの「GDPRの概要(Overview of the General Data Protection Regulation (GDPR))」をもとにまとめてみました。EU域内でも大変なことになっているので、いままで、あまり考えていなかった日本の会社さんも大変なことになっているのではないかと考えてしまうところです。
日本企業さんだと、この表に影響度と書いておいたのですが、2018年5月25日の効力発生日にむけて、それまでに対応しなければならない緊急性、従来の指令/国内法体制からみたときに新たな規制となる可能性の高い新規性、日本企業において特に配慮すべきもの要配慮性、の観点から、影響の高い点から、確認をすすめていくということになるかとおもいます。(以下の表で高とつけたのは、あくまでも私の感覚です。)
| テーマ | 具体例 | 影響度 | Art.29 WP |
| 原則 | 個人の権利/個人データの移転禁止が原則から削除(6原則に) | ||
| アカウンタビリティの原則が追加 | 高 | WP260 | |
| 考慮すべき重要なエリア | 適法な取扱 | ||
| 同意 | 高 | WP259 | |
| 児童の個人データ | |||
| 個人の権利 | 情報を提供されるべき権利 | ||
| アクセス権 | |||
| 訂正権 | |||
| 消去権 | 高 | ||
| 取扱制限権 | |||
| データポータビリティの権利 | 高 | WP242 | |
| 異議権 | |||
| 自動化された意思決定およびプロファイリングに関する権利 | WP251 | ||
| 説明責任およびガバナンス | 原則の意義 | ||
| 取扱の記録 | 高 | ||
| データ保護バイ・デザイン | 高 | ||
| データ保護インパクト評価 | 高 | WP248 | |
| データ保護責任者(オフィサー) | 高 | WP243 | |
| 行動規範と認証メカニズム | 高 | ||
| データ侵害通知 | 概念、監督機関への通知義務の発生、個人への通知の要否、通知方法、準備 | 高 | WP250 |
| データ移転 | 移転の概念 | 高 | |
| 十分性の概念 | 高 | WP254、256、257, | |
| 保護措置に基づく場合 | 高 | ||
| 国ごとの適用免除規定 | 実施法等との関係 | ||
| 処罰の額の大きさ | 世界の売り上げの4パーセント など | WP253 |
なお、その他の注目すべき29条委員会のドキュメントとして、LSA(wp244)があります。
