一般データ保護規則(GDPR)とSquare オンラインビジネス
英国(UK)および/または欧州連合(EU)内に居住する個人とオンラインで取引をする、またはオンラインで個人データなどを収集する場合、一般データ保護規則(GDPR)およびePrivacy指令に準拠する必要があります。EUの詳細については、GDPRおよびクッキーに関する同意をご覧ください。
サポートとして利用可能なリソースを、本記事でご紹介します。
GDPRは、EU居住者の個人データを処理する場合に適用されます。事業やその他の法人のデータには適用されませんが、事業や法人が保有し個人に関連する情報(すなわち、事業が従業金や顧客に関する情報を保有する場合)には適用されます。
GDPRは、EU居住者のデータを処理するSquare加盟店さまにのみ適用されます。EU以外で操業しているのであれば、GDPRに関する措置を講じることはおそらく不要ですが、(お客さまによる支払いが必要かどうかに関わらず)EU内のお客さまにサービスを提供するまたは商品を発送する場合はその限りではありません。
GDPRでは、EU居住者である個人を同定するあらゆる情報、または組合わせることでその人物を同定可能な上記情報の一部が個人データとみなされます。具体的には、氏名、電話番号、メールアドレスなどです。また、身体的特徴や職場の情報なども含まれます。実質的に、個人の特定に役立つあらゆる個人に関連する情報が個人データとみなされます。加盟店さまにおいては、お客さまや従業員についてどのような個人データを保有しているか、または収集しているかを把握しておくことをお勧めいたします。
またGDPRは、秘匿性が高いため特に厳重な保護が必要な特定タイプの個人データを、特殊カテゴリと指定しています。これには、以下を明らかにする個人データが含まれます。
- 人種または民族的な出自
- 政治に対する意見
- 宗教または哲学的な信念
- 労働組合での活動
- 遺伝子学上のデータ
- 生体認証データ
- 健康医療データ
- 個人の性生活または性的指向に関するデータ
ウェブサイトの観点から言うと、GDPRにおける個人データには、ウェブサイトから直接または間接的に収集可能な、特定されたまたは特定可能な個人情報が含まれます。直接入手可能な個人データの例には、個人の名前、住所、メールアドレス、ユーザー名などが含まれ、これらはお問い合わせフォームを通じて入手できます。間接的に送信される個人データは、ユーザーのIPアドレスやブラウザのクッキーに保存される情報などがあります。
一般的に、個人データを処理するEU内の事業、およびEU内でEU居住者に商品/サービスを提供するEU外の事業は、GDPR順守の義務があります。
注意:弊社は、加盟店さまがGDPRの対象であるかどうかを確定する法的助言を行う立場にありません。GDPRにおいて加盟店さまが負う義務について質問がある場合は、弁護士および/またはGDPR規制当局にご相談ください。
GDPRによりEU内の個人は、個人データをより確実にコントロールすることができるようになり、データの処理、保存、およびアクセスを行う方法に対して複数の権利が付与されます。下記の一覧には、ウェブサイトの所有者が目にする可能性が高い状況について記載されています。また、GDPRデータ主体の権利の全一覧も慎重に確認する必要があります。
- 忘れられる権利:人は所有データから全個人データを削除するという意味の「忘れられる」ことを要求することができます。これを求められた場合、要求元から収集した全ての個人データを削除する必要があります。同様に、サードパーティーに連絡し、代理で個人データを処理するよう依頼する必要があります。Squareが所有する全ての個人データが適宜削除されていることを確認するために、弊社ヘルプセンター経由で「忘れられる」ようリクエストすることができます。
- データの可搬性:GDPRに基づいて、EUに居住する個人が、あなたが所有する個人データを送るよう要求する場合があります。この場合、一般的に使用されているコンピュータで読み取り可能な形式の個人データを要求元に提供する必要があります。また、保存されている個人データを入手するには、Squareまで連絡する必要があります。
- アクセス:データ主体は、自分の情報の管理者に個人データの保管や処理方法と場所を尋ねることができます。また、サードパーティーとデータをどのように共有しているのかを知る権利を有します。
- 修正:データ主体は、自己に関する不正確な個人データの修正を不当な遅延なしに管理者から入手する権利を有します。
注意:ユーザーから上記の権利を行使したいとの依頼を受けた場合、その要求を実行するまで30日の猶予期間があります。支援が必要な場合は、Squareのサポートチームまでご連絡ください。
上記のように、EUデータ主体からの要求に即時対応する以外に、コンプライアンス準拠のためにできることがあります。以下にいくつかの方法を提案します。
- ウェブサイトにプライバシーポリシーを追加します。すでに追加している場合は、条件を確認し、GDPRの拡張された要求に準拠しているかどうかを確認します。
- プライバシーポリシーは、ウェブサイト上でのクッキーの使用を訪問者に警告します。クッキー通知バナーを使用すると、サイトにかんたんに追加できます。詳細については、Cookiebotを使いクッキーバナーをSquare オンラインビジネスに追加するおよび 他社コードを使いクッキーバナーをSquare オンラインビジネスに追加するをご覧ください。
- 訪問者に通知し、同意を得ます。ユーザーからデータを収集する必要がある場合は常にその情報が必要な理由、データの使用目的、そのデータを共有する可能性、誰と共有するのか、データ収集の際に信頼する法的基準などを特に明確にしてください。例えば、ニュースレターやメーリングリストがある場合、申し込みフォームの目的が明確なことを確認して、何に申し込みしているかわかるようにします。
- 他社のアプリとベンダーのコンプライアンスを評価します。顧客データの収集や処理に他社のサービスを利用している場合、これらの他社がGDPRを遵守しているか、特にユーザーデータの削除や可搬性要求をサポートするかを確認する必要があります。
加盟店さまを対象とするSquareの個人情報保護方針に関するお知らせは、弊社ウェブサイトに掲載されております。また、お客さまと従業員を対象とするSquareの個人情報保護方針に関するお知らせの詳細もご確認ください。
免責事項:本記事は、一般的な情報的提供のみを目的とするものであり、法的助言ではありません。また、特定の環境を意図して準備されていないため、事業での使用に適していない場合があります。本記事に含まれる情報を基づき発生し得るリスクや責任は、加盟店さまが負います。プライバシーデータ保護法の義務について、特定のニーズに合わせた詳しい情報が必要な場合は、法務専門家にご相談ください。