GDPRについてその2
@fujii_yuji
わかりにくいのは「移転」の考え方なんですよね。EU内で取得されそれが外部に持ち出されることが想定されていて、元々EU外で取得することがあまり想定されてないというか。
後者の場合は取得した瞬間に移転だと思うんですが、その場合移転の責任は本人にあるんじゃないかという気もします。こちら側にできるのは「登録したら移転ですよ」と書くことくらいで、それ以上どうしたらいいのかという。
GDPRについてその2
@fujii_yuji なるほど。
あくまで逃げずに「EUユーザも対象です」で行くとした場合、最小限の対応としては
・登録時に必要事項を提示し、チェックボックスを入れてもらう(EEA加盟国からの登録の場合必須。それ以外はどっちでも)。DPOも明記。
・管理者を明記する。
・EU代理人を立てる。→よくわからない。不要と見なしても良いような気がします。
・サーバをEU内に置く、またはサーバ会社と代理人がSCCを締結?→必要か?
・データ取り扱いに関する取り決めを明文化しておき、何かあれば提出可能な状態にしておく。
・72時間以内に当局に報告するための準備をしておく。
みたいな感じでしょうか。
ボカロ丼運営。IT系社会派ボカロP。フォロー歓迎(無言OK)、リモートリプ歓迎です。LTLインスタンスのため空リプ多めです。独り言っぽい時はLTLで会話してると思ってください。被災地支援のためのマストドン研究会も主宰してます。個人インスタンス @tomoki でもトゥートしてます。