GDPR (一般カジノ日本保護規則、一般カジノ日本保護規則) は、2018 年 5 月 25 日に正式に発効しました。この法案の正式な施行は、1995 年に欧州連合によって開始された欧州連合のカジノ日本保護指令 (カジノ日本保護指令) に代わるものであり、個人のプライバシーの点で大きな前進をもたらしました。 EU 国民の個人カジノ日本を保護し、企業のカジノ日本処理に厳格な要件を課すように設計されています。 GDPR の完全施行は、EU の個人情報の保護と監督が前例のないレベルに達したことを意味します。 GDPRは史上最も厳格なカジノ日本保護法案と言えます。統計によると、GDPR の施行以来、100 万ユーロを超える罰金が課せられた施行事件が 70 件ありました [1]。これら 70 件の罰金総額は 2,077,668,635 ユーロです。
この記事は、GDPR 施行以来、100 万ユーロを超える罰金が課せられた 70 件の法執行事件を調査および分析し、GDPR 法執行事件に現れる法執行の根拠と関連法規定を要約し、関連する事例に基づいてカジノ日本処理における一般的な問題を分析し、企業カジノ日本のコンプライアンスに関する提案を行います。
1 GDPR 施行事例の施行根拠と施行強度の国別差の 2 つの側面から分析
図 1、図 2、および図 3 から、GDPR の施行以来、罰金が 100 万ユーロを超える法執行事件 70 件の罰則ベースを分析したところ、カジノ日本処理の基本原則の違反、カジノ日本処理の法的根拠の欠如、通知義務の完全な不履行、情報セキュリティを確保するための技術的および組織的対策の欠如、およびカジノ日本主体の権利の不履行は、規制当局による処罰の最も厳しい分野である[2]、規制当局が引用する高頻度施行条項は、主に GDPR 第 5 条、第 6 条、第 32 条、第 13 条、第 12 条、第 14 条、第 25 条、第 21 条、第 9 条、第 24 条、第 35 条、第 15 条、第 17 条、第 28 条; GDPR の構造設定に従い、事例と組み合わせると、前述の規定は対応する処罰根拠に帰属します [3]:
規制当局の執行の焦点には、GDPR 第 5 条のカジノ日本処理の基本原則と第 6 条のカジノ日本処理の法的根拠が含まれます。その中で、カジノ日本処理の基本原則に違反する執行の取り組みが最も重要です。筆者が集計した70件のうち、カジノ日本処理の基本原則に違反した事件の罰金は12億3,599万1,601ユーロと高額で、件数は15件であった。また、カジノ日本処理の法的根拠を欠いた事件の罰金は4億7,292万2,034ユーロで23%、件数は30件であった。完全な通知義務が履行されなかった事件は 2 億 3,410 万ユーロで、11% を占め、件数は 5 件でした。情報セキュリティ技術と組織的対策が欠如し、カジノ日本主体の権利を満たしていない事件は 6% を占め、件数は 20 件でした。それぞれの罰則事件には処罰の根拠が 1 つしかありませんが、通常は複数の GDPR 条項が引用されます。したがって、これら 70 件の施行事例における特定の GDPR 条項の引用頻度を分析する必要があります。第5条(個人カジノ日本の処理に関する原則)、第6条(処理の合法性)、第32条(処理の安全性)、第13条(カジノ日本主体から個人カジノ日本が収集される場合に提供される情報)、第12条(カジノ日本主体の権利行使のための透明性のある情報、通信および様式)、第14条(個人カジノ日本が収集されていない場合に提供される情報)を含む、上位8つの規定が70%近くを占めていることがわかります。カジノ日本主体から取得したもの)、第 25 条(設計およびデフォルトによるカジノ日本保護)、第 21 条(異議を唱える権利)。 (詳細は図4[4]を参照してください)
罰金が最も高いヨーロッパの上位 5 か国は、ルクセンブルク (7 億 4,800 万ユーロ)、アイルランド (6 億 4,700 万ユーロ)、フランス (2 億 8,650 万ユーロ)、イタリア (1 億 2,760 万ユーロ)、ドイツ (6,029 万 8,700 ユーロ) です。ルクセンブルクの罰金 7 億 4,800 万ユーロはすべてアマゾンからのもので、そのうちアマゾン ヨーロッパ コア Sàrl に対する罰金はアマゾンからのものです。 2021年7月16日の罰金は7億4,600万ユーロに達し、これまでの歴史上最高額の罰金となった。この事件は現在も控訴中である;アイルランドの罰金は6億4,700万ユーロで、このうち2022年9月5日にMeta Platforms, Inc(Facebookの親会社)に対する罰金は4億500万ユーロに達し、これまでで2番目に高額な罰金となり、2021年9月21日にWhatsApp Ireland Ltd(Facebookの子会社)に対する罰金は最高2億2,500万ユーロとなり、これまでで3番目に高額な罰金となった。フランスには2億8,650万ユーロの罰金が科せられ、そのうちGoogleには2億ユーロの罰金が科せられた。イタリアには1億2,760万ユーロの罰金が科せられ、そのうちTIM(電気通信事業者)は2,780万ユーロの罰金を科せられた。ドイツはH&Mヘネス&マウリッツオンラインショップABを含む6029万8700ユーロの罰金を科せられた。 & Co KG の罰金は 3,525 万 8,700 ユーロに達した。これらの 70 件の事件が属する業界から判断すると、GDPR によって厳しく罰せられる業界は主に、Amazon、Facebook、Google などのテクノロジー巨人のインターネット業界と、電気通信、航空、ホテル、銀行、郵便サービス、発券、小売、自動車などの大量の個人情報カジノ日本を保有するその他の業界に集中しています。
2法執行訴訟と組み合わせて、GDPR 罰則訴訟で頻繁に引用される罰金の根拠と関連規定を導入します
(1) カジノ日本処理の基本原則(アート5個人カジノ日本の処理に関するGDPR原則)
これまでのところ、GDPR 施行事件では、最も罰金が高い Amazon Europe Core Sàrl と 2 番目に重い罰則がある Meta Platforms, Inc が、どちらもこの原則に違反したとして罰せられています。
1カジノ日本処理の基本原則
合法性、公平性と透明性、目的の制限、カジノ日本の最小化、正確性、保管の制限、完全性と機密性、説明責任の原則が含まれます。
企業がカジノ日本を処理する法的根拠は、主にカジノ日本主体の「同意」によって決まります。同意は自発的なものである必要があり、カジノ日本主体はいつでも自由に同意を撤回する権利を有します。同意の要求は、理解しやすくアクセス可能な形式で行う必要があり、明確で具体的な要件を満たす必要があります。 GDPR では次のように説明されています。カジノ日本主体の同意が、他の事項にも関係する書面による宣言の文脈で与えられる場合、同意の要求は、他の事項と明確に区別できる方法で、わかりやすく簡単にアクセスできる形式で、明確で平易な言葉を使用して提示されるものとします。 GDPR には、カジノ日本主体の同意に加えて、契約履行の必要性 (カジノ日本主体が契約の当事者である場合) や公共の利益の必要性など、カジノ日本処理に関する他の法的根拠も列挙されています。公平性と透明性の原則では、個人カジノ日本の収集、使用、処理、処理の範囲、処理の目的、カジノ日本管理者の身元などをカジノ日本主体が知っておく必要があります。
目的限定の原則では、個人カジノ日本を収集する目的は具体的、明確、合法である必要があり、カジノ日本処理はその目的に反するものであってはなりません、GDPR は、「個人カジノ日本が処理される具体的な目的は、明示的かつ合法的であり、個人カジノ日本の収集時に決定されるべきである」と説明しています。カジノ日本最小化の原則では、企業による個人カジノ日本の処理が目的と一致している必要があり、収集および処理される個人情報が処理の目的に十分かつ関連性があり、適切であることが求められます。ストレージ制限の原則は、カジノ日本最小化の原則の正しい意味です。保管制限の原則により、個人カジノ日本は処理目的を超えて保管することができないことが求められています。企業はカジノ日本削除期間を設けるか、定期的にカジノ日本を確認する必要があります。
カジノ日本精度の原則企業は、処理するカジノ日本を適時に更新し、誤ったカジノ日本が適時に消去または修正されるようにあらゆる合理的な措置を講じる必要があります。完全性と機密性の原則必要なカジノ日本処理は、個人カジノ日本の適切なセキュリティを確保する方法で実行されるものとします。これには、無許可または違法な処理や偶発的な紛失、破壊、破壊からカジノ日本を保護するための適切な技術的および組織的措置を講じることが含まれます。責任の原則企業は GDPR の規定を履行する責任を負い、前述の規定を履行していることを証明できるという原則を指します。
2最も高額な GDPR 罰金: Amazon Europe Core Sàrl場合
現在入手可能な情報から判断すると、Amazon 事件は、2018 年 5 月にフランスのプライバシー保護団体である La Quadrature du Net を通じて 10,000 人の個人が Amazon に対して苦情を申し立てたことに端を発しています。規制当局は、Amazon が顧客の個人情報をどのように扱っているかについて調査を開始しました。Amazon の広告ターゲティング システムは顧客の同意を取得しておらず、権利侵害に該当しますしたがって、7 億 4,600 万ユーロの罰金が科せられました。 GDPR に準拠するためには、明確で平易な言葉を使用し、カジノ日本がどのように、なぜ、誰によって使用されるのかを説明するなど、準拠する同意のための特定の要件を満たす必要があります。罰金訴訟の詳細はアマゾンによって控訴手続き中であるため、現地の法律に従って、この訴訟は控訴期間が終了するまで機密扱いとなります。アマゾンは、カジノ日本侵害はなく、顧客情報を第三者に開示していないことを理由に、この罰金決定に強く反対した。一部の評論家は、アマゾンが提案した理由はあまり効果的ではないと考えている。 「GDPRは、カジノ日本セキュリティだけでなく、企業が個人カジノ日本をどのように使用するか、企業が透明性があるかどうか、処理が合法であるかどうかなど、カジノ日本プライバシーの側面にも焦点を当てています。したがって、カジノ日本侵害が発生したかどうかは、この場合重要ではない可能性があります。」
カジノ日本処理の基本原則に関する GDPR の規定によれば、Amazon がこの原則に違反していないことを証明することは非常に困難です。この事件を受けて、アマゾンはカジノ日本を漏洩したり第三者に開示したりしていないと述べただけで、顧客の同意を得たかどうかについては直接回答しなかった, 上記で紹介したカジノ日本処理の基本原則によれば、カジノ日本の収集と処理にはカジノ日本主体の同意が必要であり、個人カジノ日本の収集、使用、処理および処理の範囲、処理の目的、カジノ日本管理者の身元などが透明でなければなりません。カジノ日本漏洩等の有無は本原則に違反していないと判断する根拠ではありません。
3アイルランドの現在の最高罰金: メタ事件
今年9月5日、アイルランドはメタプラットフォームズ社(フェイスブックの親会社)に4億500万ユーロもの罰金を課し、これまでで2番目に高額なGDPR罰金となった。規制当局が挙げた理由は、メタがカジノ日本処理の基本原則、特に未成年者のプライバシー保護に関する規制に違反したためだった。ロイター通信によると、Meta により、13 ~ 17 歳の未成年者が Instagram で独自のビジネス アカウントを作成できるようになります。つまり、メール アドレスと電話番号がアプリに一般公開されることになります。この調査では、特に、Instagram のビジネス アカウント機能および子供の個人用 Instagram アカウントのデフォルトでの公開設定を使用した子供の電子メール アドレスおよび/または電話番号の公開が調査されました。この訴訟は最終的に関係監督当局(「CSA」)と欧州カジノ日本保護委員会(「EDPB」)によって検討され解決され、最終的な罰金額は4億2,500万と決定された。 DPCは罰金に加えて、懲戒と指示も出し、カジノ日本処理慣行を標準化するための是正措置を講じるようメタに要求した。 「これらの行政罰金に加えて、DPCは、メタ・プラットフォームズ・アイルランド・リミテッドに対し、一連の特定の是正措置を取ることで処理を遵守させるよう懲戒と命令も課した。この訴訟は、未成年者のプライバシーの漏洩と闘うEUの決意と熱意を反映している。」
DPC が処罰の理由を述べた際、第 5 条 (1) (a) (合法性、公平性、透明性の原則)、第 5 条 (1) (c) (カジノ日本最小化の原則) などのカジノ日本処理の基本原則を引用することに加えて、他の条項、第 6 条 (1) (同意)、第 8 条 (1) (未成年者の同意の効果的な手段)、第 12 条も引用しました。 (1) (透明性の原則の改良)、第 13 条 (カジノ日本収集時のカジノ日本主体への適切な情報)、第 24 条 (GDPR の規定への準拠を保証および実証するために組織的および技術的措置を講じるカジノ日本管理者の責任)、第 25 条 (設計およびデフォルトによるカジノ日本保護)、および GDPR 第 35 条 (カジノ日本保護影響評価)。他の条項の本質は、カジノ日本処理原則のさらなる改良です。
(2) カジノ日本処理の法的根拠
GDPR 施行訴訟において、Google は 2019 年 1 月 21 日にこの原則に違反したとしてフランスから 5,000 万ユーロの罰金を課され、2021 年 12 月 21 日にフランスからこの原則に違反したとしてさらに 1 億 5,000 万ユーロの罰金を課されました。イタリアは2020年1月15日、この原則に違反したとしてTIM(電気通信事業者)に2,780万ユーロの罰金を科した。
1カジノ日本処理の合法性
カジノ日本処理の法的根拠として引用されている主な記事は第 2 条です。 6 GDPR 処理の合法性、企業向け最も重要なことは、カジノ日本処理にはカジノ日本主体から有効な同意を得る必要があるということです;カジノ日本処理の適法性原則に関する上記の点に加え、利用者が自由に同意しているかどうかを審査する際には、事業者が不必要な個人カジノ日本処理行為を契約履行の必要条件とするなど、不合理な条件を設定していないかについて特に注意を払う必要がある。つまり、企業がサービスに関係のない一部の非必須カジノ日本を収集すること、または必要なカジノ日本を他の目的に使用することに同意することをユーザーに要求し、ユーザーが同意なしにサービスの提供を拒否する場合、これはカジノ日本主体から有効な同意を得ることなくカジノ日本を違法に処理することになります。
さらに、GDPR は第 8 条で、16 歳未満の未成年者の個人カジノ日本を処理する法的根拠は未成年者の保護者の有効な同意であると明確に規定しています。 GDPR には、企業がユーザーから明示的な同意を得ることが必要な個人カジノ日本処理シナリオもいくつかあります。これには、第 9 条に基づく特別なカテゴリの個人カジノ日本の処理が含まれます。これには、人種または民族、政治的意見、宗教的または哲学的信念、または労働組合のメンバーシップ、遺伝子カジノ日本、自然人を特定するための生体認証識別カジノ日本、および人々の健康カジノ日本が含まれる個人カジノ日本が含まれます。 GDPR は、明示的な同意が得られない限り、企業がそのようなカジノ日本を処理することを明確に禁止しています。第 22 条に基づく自動化された意思決定結果の適用の処理 (カジノ日本主体は、その決定がカジノ日本主体の明示的な同意に基づくものである場合を除き、プロファイリングを含む自動化された処理のみに基づく決定の対象とならない権利を有するものとします。これには、自分に関する法的効果が生じる、または同様に重大な影響を与えるものとします)、第 49 条 (適切性保護の決定と適切な保護措置の欠如) に基づく国境を越えたカジノ日本転送には、明示的な同意が必要です。
この規定は、カジノ日本処理の基本原則に関する規定および第 5 条に基づくカジノ日本主体の権利に関する規定と一緒に引用されることがよくあります。適法性の原則については前述しましたが、カジノ日本主体の権利については以下で個別に説明するため、ここでは繰り返しません。
2 TIM (電気通信事業者) の商業マーケティングが欧州 GDPR に違反している
TIM は、違法なカジノ日本処理、非準拠の積極的なマーケティング戦略、およびカジノ日本取得の失敗により処罰されました対象者の有効な同意と過度のカジノ日本保存期間。この罰金は、違法なカジノ日本処理、コンプライアンスに準拠していない積極的なマーケティング戦略、無効な同意の収集、および過度のカジノ日本保存期間に重点を置いた GDPR 違反に対して発行されました。処理第32条。
TIM 会社は、カジノ日本主体の同意なしに商業マーケティングを実施しており、マーケティングを拒否するように登録した個人またはマーケティングを拒否した個人に対して、適切な同意なしに宣伝電話をかけたり、連絡を受けた個人が一般に登録されているにもかかわらず、登録に電話をかけたりせず、異議を唱える権利を行使した後でも、引き続き商業マーケティングを実施します。 "TIM が書面で同意を収集する場合、単一のオプトインを使用して複数の目的をロックするため、カジノ日本主体の同意は特定できず不明確になり、同意は明確かつ特定可能な方法で与えられるべきであるという GDPR の法的原則に違反します、「同社は、複数の目的で単一のオプトインを使用して紙のフォームで同意を収集しました。そのため、同意は区別できず、不特定なものになっていました。」TIM アプリとそのマーケティング プロジェクトでは、情報収集時にソフトウェア サービスを取得するための前提条件として同意を使用します。したがって、プログラムに参加し、対応する使用権を取得するには、顧客はそのマーケティング目的に同意する必要があり、同意は自由に与えられるべきであるという GDPR の規定に違反します。「また、TIM アプリや、サービスへの同意を条件とする「TIM パーティー」などのプロモーション プログラムを通じて収集されたカジノ日本にも問題がありました。したがって、プログラムおよび関連特典にアクセスするには、顧客はプロモーション目的に明示的に同意する必要がありました。 ”
カジノ日本主体に関する GDPR の権利要件、特にカジノ日本主体のアクセス権と異議申し立ての権利を満たしていない。さらに苦情では、GDPR 権利、特にカジノ日本へのアクセスやプロモーション目的での処理に対する異議に関して、カジノ日本主体の要求に応じなかったことが指摘されています。
TIM は、商業キャンペーンからの除外を希望するカジノ日本主体のリストを適切に管理できませんでした。」
カジノ日本保存期間が長すぎます。 TIM は、法律で許可されている最大期間である 10 年を超える期間カジノ日本を保管します。「TIM は、他の通信事業者 (TIM がネットワークおよびインフラストラクチャ サービスを提供していた) の顧客に関するカジノ日本を、法律で要求される制限 (10 年間) を超える期間、自社の CRM システムに保存しました。」
3グーグルとH&M
Google は、2021 年にフランスから 1 億 5,000 万ユーロの罰金を課されました。主な理由は、Google のシステムによって設定された Cookie ボタンは受け入れるのは簡単ですが、拒否するのが非常に複雑であり、ネットワーク ユーザーが同意を表明する自由に影響を与えるためです。 「制裁の発行を担当するCNIL機関である制限委員会は、拒否メカニズムをより複雑にすることは実際にユーザーがCookieを拒否することを思いとどまらせ、「同意する」ボタンの使いやすさを選択することを奨励すると判断しました。」
ドイツの GDPR 施行訴訟で最高額の罰金は、H&M ヘネス & マウリッツ オンライン ショップ AB に科せられた 3,526 万ユーロの罰金でした。この事件は、H&M による従業員情報の違法な監視、つまりカジノ日本主体の同意なしに個人カジノ日本を監視したことによって引き起こされました。ドイツの GDPR 罰金の金額は一般に比較的控えめで、最も高額な罰金は労働分野からのものであり、ドイツが労働者の権利を保護していることを示すのに十分です70618_71135
(3) 企業は十分な情報を提供する義務を果たさなければなりません
1十分に知らせる義務
この義務は主に GDPR の第 13 条と第 14 条に規定されており (この 2 つの条項の内容は基本的に同じです)、これは企業がカジノ日本を収集する前に次の情報をカジノ日本主体に提供する必要があることを意味します: 管理者の身元と連絡先の詳細、カジノ日本保護担当者の連絡先の詳細、カジノ日本処理の目的、カジノ日本処理の法的根拠、カジノ日本の種類、カジノ日本の受信者、カジノ日本の保存期間保存される、またはこの期間を決定するために使用される基準。カジノ日本主体の権利には、カジノ日本主体のカジノ日本へのアクセスの権利、修正または消去の権利、制限または異議の権利、カジノ日本のポータビリティの権利、いつでも同意を撤回する権利、監督当局、個人カジノ日本の出所に苦情を申し立てる権利が含まれます。
前述の情報は妥当な時間内に提供される必要があります。カジノ日本をさらに処理する前に、そのような目的のためにカジノ日本主体に事前に情報を提供する必要がある場合。カジノ日本を第三者に開示する必要がある場合は、開示前にカジノ日本主体にカジノ日本を提供する必要があります。ただし、遅くとも 1 か月以内に提出する必要があります。カジノ日本主体が既に保有している情報を再度提供する必要はありません。
GDPR の第 12 条は、個人カジノ日本の処理に関連して、または第 15 条から第 22 条および第 34 条に関連して、第 13 条および第 14 条で言及されるすべての情報の伝達を明示的に規定しています (カジノ日本主体にリスクをもたらす可能性のあるカジノ日本侵害については、カジノ日本主体に遅滞なく通知されるものとします)。カジノ日本管理者は、簡潔で透明性があり、理解しやすくアクセス可能な形式で、明瞭かつ平易な言葉で情報をカジノ日本主体に提供するものとします;これは、特にカジノ日本主体が子供であるすべての情報に当てはまります。
2 WhatsApp は情報開示と透明性に関する規制に違反しています
WhatsAppは、十分性通知義務を履行しなかったため、2021年9月2日にアイルランドから2億2500万ユーロの罰金を課せられた。 DPCの調査は主に、WhatsAppがカジノ日本開示の透明性義務を履行しているかどうか、特にWhatsAppが他のFacebook企業と収集した個人カジノ日本を共有および処理する透明性に関して焦点を当てていた(Facebookは2014年にWhatsAppを買収)。DPC は、WhatsApp が個人カジノ日本がどのように処理されるかをカジノ日本主体に明確、公然と、透過的に開示することを怠り、サービスのユーザーと非ユーザーの両方に対して GDPR 第 12-14 条に違反したことを確認しますたとえば、DPC は、WhatsApp が GDPR 第 13 条 (1) (c) に違反して、その各カジノ日本処理活動に法的根拠を提供していないと認定しました。
罰金の計算に関して、欧州カジノ日本保護委員会EDPBは、WhatsAppの親会社であるFacebookの収益とWhatsAppの収益は、両社が同じ傘下で運営されているため、共同で計算されるべきであると決定した。また、欧州連合司法裁判所(CJEU)の判例によれば、親会社と子会社が一体的な事業を行っており、子会社が法律に違反し、その事業行為に対して責任を負うべき場合、親会社と子会社の収入の合計が係争事業の財務能力を構成する。 GDPR 第 83 条第 5 項に従い、カジノ日本開示における透明性の侵害には、最大 2,000 万ユーロまたは前年度の全世界売上高の 4% のいずれか高い方の罰金が科せられます。
最後に、EDPBは透明性の原則の重要性を考慮し、WhatsAppに対し、カジノ日本開示の透明性を高め、関連する是正を完了するために3か月以内に複数の措置を講じるよう要求した。 WhatsApp は、ユーザーおよび非ユーザー向けのプライバシー通知を更新する必要があります。これには、ユーザーがその処理活動について規制当局に苦情を申し立てる権利をどのように持つかなど、GDPR 第 13 条および第 14 条の規定が含まれている必要があります。
(4) 企業はカジノ日本主体の権利の実現に対応する必要がある
1カジノ日本主体の権利
GDPR の第 15 条から第 23 条は、カジノ日本主体によるアクセスの権利 (第 15 条 カジノ日本主体によるアクセスの権利)、修正の権利、第 2 条、カジノ日本主体の権利を含むカジノ日本主体の権利を規定しています。 16 修正する権利、削除する権利、第 1 条。 17 消去する権利(忘れられる権利)、処理を制限する権利、第 1 条。 18 処理の制限に対する権利、ポータビリティに対する権利、第 18 条20 カジノ日本ポータビリティの権利、カジノ日本主体の異議申し立ての権利21 異議を唱える権利。
カジノ日本主体のアクセス権87452_87630
修正の権利:カジノ日本主体が誤った個人カジノ日本の修正を要求した場合、企業はカジノ日本主体の権利行使の要求に速やかに応じ、それに関連する誤ったカジノ日本を速やかに修正するものとします。削除の権利:カジノ日本主体が同意を撤回した場合、または個人カジノ日本の処理が不要になりカジノ日本主体が自分の個人カジノ日本の削除を要求した場合、企業は速やかに削除措置を講じて、自分に関連する個人カジノ日本を消去する必要があります。拒否の権利:マーケティング目的で個人カジノ日本を処理する場合は、カジノ日本主体の同意を得る必要があります。カジノ日本主体が広告やマーケティングの目的で個人カジノ日本を処理することを明示的に拒否した場合、企業は彼らに広告をプッシュしてはなりません。
処理を制限する権利:カジノ日本主体が個人カジノ日本の正確性に疑問を抱いた場合、カジノ日本処理が違法である場合にカジノ日本主体がカジノ日本の使用の制限を要求した場合、またはカジノ日本主体が異議を唱える権利を行使した場合、カジノ日本主体は企業のカジノ日本処理行為を制限する権利を有します。カジノ日本ポータビリティの権利:カジノ日本処理がカジノ日本主体の同意または契約の合法性に基づいている場合、またはカジノ日本が自動化された手段によって処理される場合、個人カジノ日本を提供するカジノ日本主体は、自分に関連する構造化され一般化された機械可読な個人カジノ日本を提供するよう企業に要求する権利を有します。
2 Clearview Al Inc が数百億人の画像を収集し、EU GDPR に違反している
Clearview Al Incは今年、GDPRに違反したとしてイタリア、英国、ギリシャ、フランスから総額6,900万ユーロの罰金を課せられた。フランスはカジノ日本主体の権利を満たさない場合に罰金を課し、他の3カ国はカジノ日本処理の基本原則に違反した場合に罰金を課すなど、規制当局が与える罰則の種類は若干異なるが、それらに基づく中核規定の1つにいずれもカジノ日本主体の権利が含まれている。
フランスの規制当局 CNIL が与えたペナルティの理由を例に挙げます。CLEARVIEW AI は、ソーシャル メディアを含むさまざまな Web サイトから数百億に達する大量の写真とビデオを収集します。同社は独自の画像カジノ日本ベースを構築し、パーソナライズされた検索とマッチングのための検索エンジンを提供しています。 CLEARVIEW AIは、犯罪者や被害者を特定するために法執行機関にこのサービスを提供しており、人の身体的特徴(主に顔)に基づいたテンプレートも確立しています。これらの生物学的カジノ日本は非常に機密性の高いカジノ日本であり、GDPR 第 9 条に基づく特別な種類のカジノ日本に属します。このタイプのカジノ日本を処理するには、カジノ日本主体の明示的な同意が必要です。ただし、CLEARVIEW AI カジノ日本ベース内の画像のカジノ日本主体は、自分の画像が収集され、ソフトウェア上で使用されていることを知りません。また、これらの画像のカジノ日本主体は、自分の画像が企業によって処理され、法執行目的の顔認識システムで使用されることを合理的に予測できません。したがって、CNILは、カジノ日本処理の正当な根拠(明示的な同意、正当な利益などを含む)を要求するGDPR第6条に違反し、GDPR第12条、第15条、第17条の規定に違反し、カジノ日本主体の権利、特にアクセス権を効果的かつ満足のいく方法で確保できなかったとして、CLEARVIEW AIを処罰した。 CLEARVIEW AIは、カジノ日本主体のアクセス権の行使を制限し、要求が行われる前12か月以内に収集されたカジノ日本へのアクセスを制限し、法的根拠なく権利行使を年2回に制限し、同一人物から大量の要求があった場合に一部の要求にのみ応答するなど、カジノ日本主体の削除要求への対応が非常に非効率である。 CNILの調査中、CLEARVIEW AIの協力性は低かった。アンケートのごく一部に回答しただけで、CNILが発行した正式な通知には回答しなかった。 GDPR の第 31 条によれば、カジノ日本管理者はカジノ日本処理に関する規制当局の調査に協力する必要があります。したがって、CLEARVIEW AI は GDPR の第 6 条、第 12 条、第 15 条、第 17 条および第 31 条の規定に違反したため、2,000 万ユーロの罰金が課せられました。
(5) 情報セキュリティを確保するための技術的および組織的対策の欠如
1情報セキュリティを確保するための技術的および組織的対策
カジノ日本管理者が情報セキュリティを確保するために技術的および組織的な措置を講じるべきであるという規定は、主に GDPR 第 32 条の処理のセキュリティ、第 24 条の管理者の責任、第 25 条の設計およびデフォルトによるカジノ日本保護、および第 28 条のカジノ日本処理プロセッサに反映されています。
カジノ日本管理者は、情報セキュリティを確保するために技術的および組織的な措置を講じるものとします、主に以下が含まれます:個人カジノ日本の匿名化と暗号化。処理システムおよびサービスの機密性、公平性、有効性および回復能力を確保する。物理的または技術的な障害が発生した場合に、カジノ日本へのアクセスとアクセスを迅速に復元します。カジノ日本処理のセキュリティを確保するための技術的および組織的対策の有効性を定期的にテスト、評価、評価するプロセスを確立する。デフォルトでは、特定の処理目的に必要な個人カジノ日本のみが処理されます。セキュリティを評価するときは、処理によってもたらされるリスク、特に個人カジノ日本の送信、保管、または処理中に発生する可能性のある偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスから生じるリスクを考慮する必要があります。企業は、法的義務を履行していることを証明するために、行動規範を確立したり、認証を実施したりできます。
2マリオット・インターナショナル社のカジノ日本侵害事件
2018 年 11 月、マリオット インターナショナルは、スターウッド ホテルの客室予約システムにおけるカジノ日本侵害を公表しました。この事件により、ハッカーによって3億3,900万件のホテル顧客情報(名前、電子メールアドレス、電話番号、パスポート番号、旅程情報など)が盗まれ、英国居住者700万人を含む欧州経済領域(EEA)31カ国の居住者3,000万人が巻き込まれた。マリオット インターナショナルは、2016 年 9 月にスターウッド ホテルを買収しました。英国規制当局 ICO の調査によると、ハッカー攻撃によって引き起こされたスターウッド ホテルの客室予約システムのカジノ日本脆弱性は 2014 年 7 月から存在し、2018 年まで発見されませんでした。
ICO は、マリオット インターナショナルが、カジノ日本の不正かつ違法な処理や偶発的な紛失、破壊、損傷などを防ぐためにカジノ日本を処理する際に、個人カジノ日本のセキュリティを確保するための基本的かつ組織的な対策を怠ったため、GDPR 第 15 条 (1) (f) および第 32 条のセキュリティ義務に違反したと考えています。 ICOは2020年10月30日、GDPR第5条(1)(f)、5(2)、24、28、29、32、83条に基づき、マリオット・インターナショナル・グループに2億450万ユーロの罰金を課した。
最後に、この事件の管轄区域について話しましょう。マリオット インターナショナルは、米国に本社を置く国際的なホテル チェーンです。マリオット・インターナショナルは、GDPR第4条(16)に従い、マリオット・ホテルはEU内に設立されたマリオットの主要機関であるため、GDPRの規定が本件に適用されることを確認しました。 GDPR の第 3 条 (1) によると、本規則は、処理が連合内で行われるかどうかに関係なく、連合内の管理者または処理者の活動に関連した個人カジノ日本の処理に適用され、マリオット インターナショナルのカジノ日本侵害事件は GDPR の対象となります。さらに、この事件には、英国の住民700万人を含む、欧州経済領域(EEA)31カ国の住民3,000万人が巻き込まれた。したがって、漏洩したカジノ日本主体は欧州経済領域の居住者であり、この事件にも軽量化の原則が適用されるべきである。 GDPR は第 3 条 (2) 「この規則は、EU 内に設立されていない管理者または処理者による EU 内のカジノ日本主体の個人カジノ日本の処理に適用されます。」に基づいています。
3企業カジノ日本のコンプライアンスに関する提案
著者は、GDPR チェックリストに基づき、法執行機関の事例と組み合わせて、企業が完全なカジノ日本 コンプライアンス システムを確立することを推奨しています。企業は、カジノ日本処理の合法性の基礎と透明性、カジノ日本のセキュリティ、責任と管理、プライバシーの権利を含む 4 つの側面からカジノ日本 コンプライアンス システムを構築する必要があります。
(1) カジノ日本処理の合法性の根拠と透明性
企業はまず、処理されたカジノ日本の監査を実施して、処理されたカジノ日本の種類とそのカジノ日本へのアクセス権を持つユーザーを明確にする必要があります。銀行口座、パスポート番号などの機密性の高い種類のカジノ日本を暗号化し、特殊な種類のカジノ日本についてはカジノ日本主体の明示的な同意を取得します。カジノ日本主体のアクセス権を保証し、社内の誰がカジノ日本にアクセスできるのか、第三者がカジノ日本 (カジノ日本の所在場所) にアクセスできるのかを確認し、カジノ日本へのアクセス申請者の身元を認証するなど、カジノ日本処理に関係のない人がカジノ日本にアクセスできないようにする必要があります。
カジノ日本処理には、カジノ日本主体から有効な同意が得られているかどうかなど、法的根拠が必要です。また、企業はカジノ日本主体の同意を求める際に不当な条件を設定してはならないことに注意してください。たとえば、サービスや処理目的と関係のない不必要なカジノ日本を収集することにユーザーの同意を求めることはできません。ユーザーの同意を取得する場合、その同意が明確かつ具体的であること、つまり、さまざまな処理動作に対応する同意を取得することを保証する必要があり、「包括的な」許可された同意は禁止されています。会社のプライバシー ポリシーにカジノ日本処理と法的根拠に関する明確な情報を提供します。カジノ日本処理の目的は検証されるべきであり、カジノ日本はカジノ日本主体が認識し同意した処理目的に従ってのみ処理されます。この目的を超えた場合には、再度カジノ日本主体の同意を得る必要があります。カジノ日本の削除と監査を行う時点を計画します。
(2) カジノ日本セキュリティ
1製品開発からあらゆるカジノ日本処理に至るまで、カジノ日本は常に保護される必要があり、カジノ日本保護の概念を実装する必要があります。可能な限り、個人カジノ日本の暗号化、匿名化、名前変更、その他の手段など、カジノ日本のセキュリティと機密性を保護するための技術的手段を使用します。収集されるカジノ日本の量を制限し、不要になったカジノ日本を削除するなど、カジノ日本のセキュリティと機密性を保護するための組織的な措置を講じます。定期的なテストと評価のプロセスを確立し、システムセキュリティの観点からより効果的な保護措置を講じます。チーム内で保護ポリシーを策定し、カジノ日本保護に対する十分な認識を養います。カジノ日本保護影響評価をいつ実施するかを把握し、評価解決手順と評価手順を策定する。カジノ日本侵害が発生した場合、規制当局およびカジノ日本主体に通知します。GDPR によると、GDPR の第 33 条によれば、管理者はカジノ日本侵害を認識してから 72 時間以内に監督当局に速やかに通知するものとします。 GDPR の第 34 条によれば、漏洩がカジノ日本主体に大きなリスクをもたらす場合、管理者はカジノ日本主体にカジノ日本侵害を速やかに通知するものとします。
113865_114411
(3) 責任と管理
GDPR 準拠問題の責任者として特定の担当者を指名します。第三者がその代理でカジノ日本を処理する必要がある場合は、その第三者とカジノ日本処理契約を締結する必要があり、署名された契約は GDPR の関連規定に違反してはなりません。カジノ日本管理者が EU 外に設立されている場合は、EU 内の加盟国に代表者を任命する必要があります。必要に応じて、カジノ日本保護責任者を任命し、そのカジノ日本保護責任者に会社のカジノ日本保護ポリシーとポリシーの実施を評価する権限を与える必要があります。
(4) プライバシー (カジノ日本主体の権利)
プライバシー権は次のようにあるべきです。ユーザー/顧客 (以下、ユーザーと呼びます) がカジノ日本主体であり、ユーザーは会社が所有するすべての顧客カジノ日本を簡単にリクエストしたり受け取ったりすることができます。ユーザーは不正確または不完全なカジノ日本を簡単に変更および更新できます。ユーザーが自分の個人カジノ日本の削除を要求するのは簡単です。ユーザーが自分の個人カジノ日本の削除を要求するのは簡単です。企業に個人カジノ日本の処理を停止するよう求めるのは簡単です。ユーザーは自分の個人カジノ日本のコピーを簡単に受け取り、カジノ日本フォームを別の会社に簡単に転送できます。ユーザーが会社による自分の個人カジノ日本の処理に反対するのは簡単です。企業が個人カジノ日本の処理を自動化することを決定した場合、対象者の権利を保護する手順を確立する必要があります。カジノ日本を要求している主体の身元が確認できることを確認します。これらのリクエストは 1 か月以内に回答する必要があります。
ユーザーは、会社が保持する自分の個人カジノ日本と、会社がこのカジノ日本をどのように使用するかを知る権利を有します。ユーザーは、企業がこのカジノ日本を保持する予定の期間、および保持期間の理由を知る権利を有します。企業がユーザーに提供する最初のカジノ日本は無料である必要があり、その後提供されるカジノ日本には妥当な料金が請求される場合があります。ユーザーは、カジノ日本処理の目的、カジノ日本の受信者または受信者の種類、監督当局、カジノ日本管理者とその連絡先の詳細、カジノ日本処理の法的根拠などに苦情を申し立てる権利を知る権利を有します。
さらに、企業は、合併や買収の文脈におけるカジノ日本共有の重要性を潜在的な「優先事項」として認識する必要があります。対象となる企業のビジネスにカジノ日本が関係する限り、カジノ日本コンプライアンスのデューデリジェンスは、企業の他の資産に対するデューデリジェンスと同じくらい重要であり、将来のカジノ日本侵害によって企業に多大な損失が生じることを避けるために、GDPRの規定に準拠する必要があります。
注:
[1] カジノ日本は GDPR Enforcement Tracker https://wwwenforcementtrackercom/ から取得しています。
[2] 分類の根拠は、GDPR 施行トラッカーの施行ケースの (ペナルティ) タイプに基づいています。各事件には複数の違法な状況が含まれているため、処罰に引用される条項は多数あり、その中には処罰種類の範囲を超えるものもある。この刑罰の種類は、刑罰の中核条項に基づいて規制当局によってのみ規定されます。カジノ日本主体の権利の実現を怠った場合と、適切性を通知する義務を履行しなかった場合の処罰の根拠は、法制度において別個のものではなく、表裏の関係にあります。前者はカジノ日本主体の権利に重点を置き、後者はカジノ日本主体の権利を実現するためにカジノ日本管理者が果たすべき義務に重点を置きます。
[3] この分類は、GDPR の構造設定により重点を置いています。各ケースの出来事には複数の違反があるため、処罰のために引用される条項が多数あり、その中には処罰の種類の範囲を超えるものもあります。規制当局が与えた事件の刑罰類型に引用された条項のみに基づいて分類すると、あまり科学的ではなく、誤解を招くことになります。
[4] 100万ユーロを超える罰金を課した法執行訴訟では、合計28の条項が引用されている。図に示されている 14 の条項が引用の 869% を占めています。図に示されている 14 条項に加えて、引用数によってランク付けされた別の 14 条項があります。 7、アート。 30、アート。 22、アート。 33、アート。 82、アート。 16、アート。 26、アート。 27、アート。 29、アート。 31、アート。 37、アート。 10、アート。 34、アート。 48件で131%を占めています。
この記事の著者: 上海神豪法律事務所弁護士 陳立梅
この記事の内容は、著者の個人的な見解を表すものであり、法律、判例、および彼自身の経験に対する著者の個人的な理解に基づいています。その正確性を完全に保証するものではなく、神豪法律事務所による法的意見や法律の解釈を表すものではありません。
この記事はもともと神豪法律事務所の弁護士によって作成されました。著作権は署名された著者に属します。転載には著者の同意が必要です。この記事はWeChatの転送機能を利用して全文をそのまま転送することができます。その全部または一部をコピーその他の方法で他のアカウントに再公開することは禁止します。
法的アドバイスやその他の専門家の意見が必要な場合は、関連する資格を持つ専門家から専門的な法的支援を求める必要があります。
