事業のGDPR要件を遵守する
一般データ保護規則(GDPR)について
一般データ保護規則(GDPR)は、2018年5月15日に施行された欧州経済領域(EEA)の個人に関する個人データを取り扱う事業者に適用される包括的なデータ保護法です。事業が個人データをどのように取り扱い、保護するかについての規則を定めると同時に、個人が自分の情報をより細かく管理できるようにします。
Squareでは、加盟店さまのデータとプライバシー権利の保護に努めています。また、加盟店さまがGDPRの義務を遵守できるようサポートを提供しています。
はじめに
英国または欧州連合(EU)内に居住する個人とオンラインで取引をする、またはオンラインで個人データなどを収集する場合、GDPRおよびePrivacy指令に対する準拠が求められます。詳しくは、GDPRおよびクッキーに関する同意をご覧ください。
GDPRは、EU居住者のデータを扱うSquareの加盟店さまにのみ適用されます。EU域外で事業展開している場合は、(お客さまによる支払いが必要かどうかに関わらず)EU域内のお客さまにサービスの提供や商品の発送を行わない限り、GDPRに関する措置を講じる必要はないと考えられます。
GDPRは、事業やその他の法人のデータには適用されませんが、事業や法人が保有し個人に関連する情報(事業が従業員や顧客に関する情報を保有する場合など)には適用されます。
Squareは、加盟店さまの事業がGDPRの対象であるかどうかを確定する法的助言を行う立場にありません。加盟店さまの事業の義務についてご質問がある場合は、弁護士またはGDPR規制当局にご相談ください。
GDPRの対象となる情報を確認する
GDPRでは、個人データとは、EU居住者である個人を特定する情報、またはそれらを総合するとその個人を特定できる情報を指します。これには、個人の名前、電話番号、メールアドレス、身体的特徴に関する情報、勤務先などが含まれます。実質的に、個人の特定に役立つあらゆる個人に関連する情報が個人データとみなされます。ご自身が、お客さまや従業員に関するどのような個人データを保有または収集しているかを把握しておくことをお勧めいたします。
またGDPRは、秘匿性が高いため特に厳重な保護が必要な特定タイプの個人データを、特殊カテゴリと指定しています。これには、以下を明らかにする個人データが含まれます。
人種または民族的な出自
政治的意見
宗教または哲学的な信念
労働組合での活動
遺伝子学上のデータ
生体認証データ
健康医療データ
個人の性生活または性的指向に関するデータ
GDPRにおける個人データには、ウェブサイトから直接または間接的に収集できる、特定または特定可能な個人情報が含まれます。間接的に送信される個人データは、ユーザーのIPアドレスやブラウザのクッキーに保存される情報などがあります。
サイト訪問者の権利を理解する
GDPRにより、EU域内の個人は個人データをより確実にコントロールできるようになり、データの取り扱い、保存、およびアクセスを行う方法に対して複数の権利が付与されます。以下の一覧には、ウェブサイトの所有者が目にする可能性が高い状況について記載されています。また、GDPRデータ主体の権利の全一覧も慎重に確認してください。
ユーザーが上記の権利を行使したいと申し出た場合、その要求に対して30日以内の対応が求められます。サポートが必要な場合は、Square サポートに問い合わせるできます。
個人は、保有データから全個人データを削除するという意味の「忘れられる」ことを要求できます。このようなリクエストがあった場合、要求元から収集したすべての個人データの削除が求められます。また、加盟店さまに代わって個人データを取り扱うサードパーティへの連絡も必須です。Squareが保有する個人データが適宜削除されるよう、忘れられる権利を行使するリクエストを送信できます。
詳しくは、顧客プロフィールを編集、結合、削除する方法をご覧ください。
GDPRに基づき、EUに居住する個人は、加盟店さまが保有する個人データを送信するよう要求する場合があります。この場合、保有する個人データを、一般的に使われている読み取り可能な形式で要求元に提供してください。また、Square側で保存されている個人データを取得するには、Squareまでご連絡ください。
オンラインビジネスサイトがGDPRに準拠していることを確認する
上記のように、EUデータ主体からの要求に即時対応する以外に、GDPRコンプライアンス準拠のためにできることがあります。以下にいくつかの方法をご紹介します。
クッキー通知バナーを使うと、この通知をサイトに簡単に追加できます。詳しくは、オンラインストアにクッキーバナーを追加する方法をご覧ください。