適用対象は誰ですか?
GDPRは、EU加盟国やEU内で事業を展開及び運営し、
EUを含む欧州経済領域(EEA)域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データを扱う企業、EU以外の地域でも、EU居住者に財貨やサービスを提供する企業、EU居住者のEU内での行動をモニタリングする企業など、「個人情報の取得目的が明白になっている」企業や団体、事業者などに適用されます。
すなわち、EU加盟国に事業所を持っている企業だけでなく、EU内の事業所を持っていなくてもEU地域で個人データを収集し処理する企業も、GDPRに遵守しなくてはいけません。
現地進出の日系企業に勤務する現地採用従業員や日本から派遣されている駐在員、またはインターネット上でサービスや商品を提供および情報を扱うときまで、全て含まれるため注意が必要とされます。
GDPRの適用対象になる情報はどんな情報ですか?
GDPRは、個人情報に対して保存などの「処理」と「移転」に関して規制することで、データ主体である、エンドユーザー 自身に、個人のデータに関する処理とこれに対して異議を唱える等の権利を有することになります。
従って、GDPRは、 個人データに対して行われる全ての収集、保存及び保管、そのほかの操作などの処理と移転に関して規制しています。
GDPRで定義する個人データは、識別された、または識別され得るデータ主体に関するすべての情報として、コンタクト情報(氏名、住所、連絡先など)、オンライン情報(IPアドレス、Cookieなど)、 金融情報(クレジットカード情報、収入など)、健康に関するデータ、 遺伝データ、 生体データ、 人種や民族的出自および社会的身分、 宗教的または哲学的信念、 労働組合への加盟や組合員たる地位、 性生活に関するデータなど対象になります。