privacy-and-online-law
取得中のデータプライバシー法の遵守の確保
Table of Contents
進化する規制風景とディール構造への影響
データ保護法は、管轄区域によって異なり、多くの場合、重複しています。 どの法律が対象会社に適用され、買収者に対しても、コンプライアンス戦略の第一ステップです。 最も重要な枠組みには、 []一般データ保護規則 (GDPR) が欧州経済領域で カルフロンコンシューマープライバシー法 (CCPA)] が含まれている[FLT:ALT:4] は、 、 、 、 GDPR が適用されている国や [FLT] が、 [F] が、 、 、 [FLT: [F] が、 [F] 、 [F] 、 [[FLT: [F] 、 [F] 、 [F] 、 [F] 、 [FLT: [F] 、 [F] 、 [F] 、 [F] 、 [F] 、 [[F] 、 [[FLT: [[F] [[F] 、 [[F] [[F] [
この規制パッチワークは、直接取引構造に影響を与えます。 買収者は、取得者の既存のコンプライアンスフレームワークと一致するターゲットのデータプラクティスを検討しなければなりません。 重要な相違点 - 簡単に転送しない同意に対する信頼性など - 購入価格の交渉、補償のエスクローの作成、または特定のデータ資産を分離するという資産購入としての買収を指示する必要もありません。 [FIL] および [FIL] の管理者は、 [FIL] および [F] の管理者は、 または [FIL] の通知を通知するかどうかを通知します。 [FIL] と [F] の通知] [F] の通知] と [F] の両者] の通知を [FIL [F] の通知] と [FIL [F] の両者] の通知] の通知] の通知] の通知を [FIL [FIL [F] の通知] または [F] の [FIL [FIL [F] の [F] の通知] の通知] の通知] の [FIL [F] の通知] の [FIL
主な法則を渡る主原則
スコープと執行の差にもかかわらず、取得者が対処する必要があるほとんどのデータプライバシーのレジムスシェア基礎原則:
- [ ラウフルネス、フェアネス、透明性[[[]] – 個人データは有効な法的根拠に基づいて処理されなければならない、個人は、そのデータが使用される方法について通知する必要があります。 後方、新しい管理者は、既存の法的根拠が有効であるか、または新鮮な同意が必要な場合に再評価しなければなりません。
- 利用目的の達成に必要な範囲で、データのみ収集します。取得後のデータを消去します。例えば、完全新商品ラインにおけるロイヤリティプログラムから顧客データを使用して、元の処理目的に基づく注意深い評価を要求します。
- [データ最小化] - 意図した目的のために必要な最小限のデータのみが収集および保持されることがあります。 統合は、多くの場合、精製または匿名化されなければならない過剰なデータのプールを作成します。
- 正確性および保管制限 - データは、必要に応じて正確かつ保持されなければなりません。 取得は、データを監査およびクリーンな設定する理想的な瞬間です。
- 完全性と機密性[ - セキュリティ対策は、不正なアクセス、誤った損失、または破壊からデータを保護する必要があります。 システム間の移行は、高リスク期間です。
- [Accountability] - データ管理者は、文書、訓練、および監督によるコンプライアンスを実証しなければなりません。 結合されたエンティティティティは、統一された説明責任フレームワークを必要とします。
対象となる会社の既存のポリシーおよび慣行にこれらの原則をマッピングすることは、徹底したコンプライアンス監査に基づいて形成されます。 []]欧州データ保護委員会(EDPB)]]は、データ保護とM&の間のインタープレイに関する特定のガイドラインを発行しました。デューデリジェンスは、新しい高リスク処理活動の可能性に対処しなければならないことではありません。
事前要件デューデリジェンス: ディープ・ダイブ
デューデリジェンスは、コンプライアンスの礎です。プライバシーポリシーの重大な見直しは不十分です。買収者は、ターゲット企業のデータ処理活動が法的要件と一致し、そのデータエコシステムに隠れた負債がないことを確認しなければなりません。 構造化されたデューデリジェンスプロセスは、通常、データガバナンス、同意および権利、セキュリティ、サードパーティの関係、および事前の執行行動の5つのドメインをカバーしています。
データガバナンスとドキュメント
対象会社のを要求することによって開始します。処理活動の記録(ROPA)]、プライバシー方針、内部データ処理手順、およびデータ保護の影響評価(DPIAs)が実施しました。これらの文書は、処理の規模、法的根拠が確実に反映され、組織内のデータフローが行われます。ROPAが完了し、最新の状態までであるかを判断すると、ギャップは、非開示や法的情報処理のリスクを明示したり、特定の情報収集したり、特定の情報収集したり、特定の情報収集したり、または特定の情報収集したりするような情報収集したりすることができます。
一貫性とデータ主体の権利
ターゲット会社がマーケティング、プロファイリング、または第三者と共有するための同意を得る方法を検討してください。 GDPRの下で、同意は、自由に与えられ、特定の、情報、および非曖昧でなければなりません。 同意の年齢を検証する - 同意がもはや現在の解釈の下で「非合法」または「自由」の基準を満たしていない可能性が低い場合。 買収がコントロールまたは所有権の変更を伴う場合には、既存の同意は自動的に転送されない場合があります。 対象となる情報は、必要に応じて、新しい要求を撤回し、その要求を速やかに確認することができます。
セキュリティの姿勢とブリーチの歴史
データ侵害は、再仲介に費用がかかり、買収を認める可能性があります。 ターゲットのセキュリティポリシー、インシデントレスポンスプラン、および過去3〜5年間に提出された侵害通知を見直します。 ターゲットが機密データを処理する場合、独立したセキュリティ評価者を負い、脆弱性評価を実施します。 暗号化慣行の成熟度を評価し、アクセス制御、およびデータライフサイクル管理。 ターゲットが決定する脆弱性やセキュリティ対策の侵害を検証することは、ターゲットが重要であるかどうかを検証します。 [FORLD は、 組織の脆弱性を検証するかどうかを検証します。]
第三者およびベンダーリスク
ほとんどの企業は、クラウドストレージ、分析、給与、顧客関係管理のためにサードパーティベンダーに依存しています。各ベンダーは、法的に聞こえなければならない潜在的なデータフローを表しています。既存の[]]と一緒に、すべてのデータプロセッサとサブプロセッサのリストを要求する]]]データ処理契約(DPA)]。 DPAは、データセキュリティの義務、侵害通知プロトコル、およびクロスオーダーの制限などの必要な条項が、ベンダーが、特定のベンダーに制限されていないか確認します。
事前の執行行動と訴訟
事前の執行行動、罰金、またはターゲットを含む同意の法令については、パブリックレコードと規制データベースを検索します。 ケースが責任の入学なしで解決されたとしても、基礎的な慣行は継続している可能性があります。 継続的な調査やデータ主体の苦情に関する内部の法的およびコンプライアンスチームにインタビュー。 データ侵害に関連する分類訴訟は、米国ではますます一般的であり、最終的に却下された場合でも、その費用は実質的である可能性があります。
契約上の安全を守る
デューデリジェンスは、リスクを明らかにします。契約上の保護は、それらを割り当てます。買収契約には、データプライバシーに関する特定の表明と保証、ならびに標識と閉鎖の間の暫定期間の間にコンプライアンスを維持するためにターゲットを必要とする契約者が含まれます。一般的な条項は次のとおりです。
- [プライバシーの表明と保証[ - 対象がすべての適用可能なプライバシー法に従わせている声明、未公開の侵害を経験していない、すべての必要な同意を得、正確なROPAを維持している。 ブランケットステートメントではなく、例外の特定のスケジュールを必要とすることを考える。
- []宣言条項 - 取得者を非調和に保たれ、罰金、罰、是正コスト、およびサードパーティの主張を含むプライバシー違反を、侵害する。 特定のキャップとバスケットを交渉し、GDPR罰金は、他の補償を課す世界的な年間売上高の4%に達することができることを念頭に置いています。
- [] ポスト・クロージング・コベント[ – データの統合に協力するための要件、プライバシー通知を更新し、不要になったデータを削除または匿名化します。 また、調査が終了している場合、規制当局のデータを保存するためのコベントも含まれています。
- []エスクローまたはホールドバックアレンジ[ - 購入価格の一部が閉鎖後に発見された潜在的なプライバシー関連の損失をカバーするために保持されることがあります。プライバシー違反は、月または年後に表面に及ぶ可能性があることを約束し、プライバシーの担当者のための生存期間は助言可能です。
- データ転送機構 - 国境を超えた転送が関与している場合、契約上、有効な転送メカニズム(標準契約条項または拘束企業規則)を維持し、転送影響評価ポストクローズに協力するためにターゲットが必要です。
さらに、取得者がシステム間でデータを統合または結合しようとすると、契約は、個人にリスクが高い結果をもたらす可能性がある新しい処理活動のために[[[データ保護影響評価(DPIA)の必要性に対処する必要があります。 EUの]]])とGDPRのテキストおよび欧州データ保護委員会[FLT:]は、特にM&Aの重要な要素である場合、多くのストレスが重要である。
統合計画とセキュアなデータ移行
取引が終了したら、実際の作業が始まります。コンプライアンスを維持しながら2つの別々のデータ環境を統合することは、慎重なオーケストレーションを必要とします。一般的な下落には、法的根拠を解読することなくデータベースをマージし、プライバシー通知を更新し、移行中に不正なパーティーにデータを開示することに失敗します。
データマッピングとミニマライゼーション
技術的な統合の前に、各組織、その感度レベル、その保持スケジュール、および処理のための法的根拠からすべてのデータセットを識別する詳細なデータマッピング演習を実行します。このマップを使用して、データミニマライゼーションプランを確立します。データが保持されるデマリン、つまり、匿名化または偽擬似化される可能性がある、および削除されるべきです。目的の制限原則の下で、ターゲットが自動的に収集されたデータは、法的要件を完全に取得し、関連するすべての法的条件を承認し、すべての法的条件を承認することなく取得することはできません。
技術的なセキュリティ制御
セキュリティー制御が一時的に弱まるため、統合中に頻繁にデータ侵害が発生します。 2つの環境間でのデータ送信が暗号化されていること(残りと輸送中の)ことを確認します。 役割ベースの権限で堅牢なアクセス制御を実行し、移行中にすべてのデータアクセスの徹底的なログを実行します。 データの損失防止(DLP)ツールを使用して、不正なエクスポートを監視します。 ターゲットが取得者のセキュリティ基準を満たしていないレガシーシステムを使用している場合は、フェーズドアの移行またはその保証のための計画は、第三者の侵入を検証する前に、テストシステムをアップグレードすることができます。
クロスボーダートランスファーリスク
買収者は、異なる国や地域で動作する場合、データ転送制限が重要になります。例えば、EUベースのターゲットが米国ベースの買収者にデータを転送する場合、承認された転送メカニズムに依存する必要があります。これは、プライバシーシールドの無効化と、標準契約条項の継続的スクルーティによる複雑なことによる複雑なことではありません。 Schrems II]] の決定。 トランスファー評価(TIA)を実施し、一般的な取引を承認する法的相談員と協力して、または、これらのデータを保護することは、一般的な慣行法的な手順でのみ取得できます。 [FLTFLT] または、または、一般的な取引を検証するかどうかは、 または、 または、 または、 または または 規定する手順は、 規定の手順を 規定するかどうかを 規定するかどうかを 規定する。
後期データの保有及び処分
統合の1つの頻繁に見られた側面は、重複、オブスポレート、または冗長なデータの蓄積です。 どちらも、取得者とターゲットは、数年前に削除されるべき連絡先の関与していない、または遺産のバックアップを含む、重複した顧客レコード、マーケティングリストを保持することができます。 体系的なデータ処理プログラムは、ストレージ制限原則にとどまる必要があります。 すべての保持期間を見直し、その認定寿命を上回るデータを特定し、確実に削除された方法を使用して、およびSSP8の制限を制限する場合には、その管理基準を削減するジョイントタスクフォースを作成します。
後期コンプライアンス管理
コンプライアンスは一回限りのイベントではありません。それは、組織の継続的な運営に埋め込まれなければなりません。積極的なガバナンスフレームワークは、ビジネス優先度がシフトしてもプライバシーが優先されるようにします。
プライバシー方針と通知の更新
買収直後、ウェブサイトおよび顧客向け資料において、すべてのプライバシーポリシーを更新します。 管理者(該当する場合)の変更のデータの主題を通知し、そのデータを転送する方法について明確な情報を提供します。 これは、透明性の義務に基づく法的要件だけでなく、信頼構築措置です。 多くの規制当局は、通知が適時、理解可能な方法で配信されると期待しています。 新しいポリシーへのリンクを持つ大量メールは、通知が通知が通知の通知を通知する場合に不十分ではないかもしれません。 重要事項を通知するかどうかを検討してください。
研修・文化
取得した会社からスタッフと既存の従業員が、統合型の企業プライバシー方針、データ処理手順、およびインシデント対応プロトコルに関するトレーニングを実施しました。プライバシー意識は、新規従業員が毎年のリピーナーを通じて導入し強化されるべきものです。各事業部門内のデータ保護責任者(DPO)またはプライバシー・チャンピオンを設計し、日々の質問に対する連絡先として機能することを検討します。テスト応答の有効性に統合する際に、データ侵害をシミュレートするテーブルトップのエクササイズを実行します。
監視と監査の開始
定期的に内部監査をスケジュールします。, 毎年、プライバシー ポリシー、契約義務、規制の変更の遵守を評価するために. データのアクセスパターンを監視するために自動化ツールを使用します, 不正な送信の試み, そして、有効期限に同意. すべての処理活動の中央登録を維持します, 新しいプロセスが導入されるたびに、それを更新するか、古いものが退職されます. 規制当局は、要求に現在のROPAを生成することができることを期待します, そして、いずれかを維持するために失敗は、潜在的な規制法に関与していない場合でも、罰金につながることができます, 欧州法規制当局は、このような法律を組み込む必要がある場合、.
コンテンツ
買収中のデータのプライバシーの遵守は、法律、技術的、および運用の調整を要求する多層の課題です。体系的にアプローチすることで、堅牢なデューデリジェンスを立ち上げ、強力な契約上の保護、ケアとの統合の計画、および継続的なガバナンスの確立を交渉することで、組織は重要な財務と評判の調和から自分自身を保護することができます。 誤った取得コストは高すぎますが、リスク回避を超えた利益を得る。 適切な管理されたプライバシー信号は、規制当局と規制当局の達成のために、適切な範囲を超えて、適切な範囲で、適切な範囲で、適切な範囲で、および適切な範囲で、適切なレベルのセキュリティを確保するかどうかを要求します。