EU域外のGDPR

GDPRはEU圏内のユーザーにのみ適用されるということですよね？

GDPRは、EUユーザーがいるサービス/サイトを規制します。場所は関係ありません。理論上は。

しかし、管理者はEU市民に他のユーザーとは異なるルールを適用するシステムを構築できます。しかし…なぜですか？GDPRは実際には非常に優れたシステムであり、世界中で採用されるべきです。

GDPRについてはあまり詳しくありませんが、EUのメンバーが一人か二人しかいないサイトでも規制しているというのは参考になります。

主な目的は個人のプライバシーを保護することだと理解しているので、ユーザーが自分のアカウントを削除できるようにしたり、そのようなユーザーのリクエストを承認したりすることには賛成です。EU居住者もいるあるディスコースフォーラムではそのサービスを提供していないことを知っていますが、GDPRの要件として、常にアカウントを削除できるとは限らないようです。

アカウントの削除を常に許可することが必ずしも良いアイデアではない主な理由は、フォーラムが単なる雑談の場所以外の目的を持っている場合、投稿内容に対する説明責任が必要になることです。

特に、フォーラムが一般公開されている場合、図書館カードの資格を持つ人なら誰でもアカウントを作成し、法執行機関が管轄区域でレビューおよび対応すべき内容を投稿する可能性があります。

そうなっています。しかし、ユーザーが自分でできるという意味ではありません。誰かがルールに従っていない場合は、全く別の話ですが。

しかし、前述したように、理論上はそうです。EUは小さな魚ではなく、大物を追っています。したがって、例えばアメリカやアジアのサイトが規制に従っていなくても、EUから法的な措置を受けることは決してありません。しかし、繰り返しますが…FacebookやXのようなサイトが、単にスパムを送りたいという理由だけで、なぜそうなるのでしょうか？

これは弁護士と相談して判断していただく必要があります。当社ではそのレベルのアドバイスは提供できませんので、資格のない発言には注意していただくようお願いいたします。

当社がお伝えできるのは、ユーザーが個人情報の削除を要求しても、必ずしも投稿の削除が必要になるわけではないということです。Discourseには優れた匿名化機能があり、多くの場合、コミュニティ内のコンテンツの質に悪影響を与えることなく、GDPRの要件を満たすことができます。

ああ、興味深いですね。

これは私がそれを考えさせたものですが、GDPR要件を満たすとあなたが言う匿名化と一致しているように見えます。

アカウントは削除できません。いつでもアカウントの使用を停止できます。有料メンバーの場合は、請求サイクルの終了時に無料サブスクライバーにダウングレードするためにメンバーシップをキャンセルできます。ただし、サイトとコミュニティの整合性を保護するために、アクセスログは記録として保持され、コメントはリクエストに応じて削除されません。ただし、プロフィールの情報を更新することは自由です（バイオ、表示名などを変更または削除するなど）。

（これは私とは無関係のサイトからのもので、私のフォーラムにはまだメンバーがいません。）

GDPRが世界中で採用されるべきだというこの発言には必ずしも同意しませんが、これもまた、それについてあまり知りません。

フォーラムアカウントを削除または匿名化することを人々に許可することには賛成ですが、多くの投稿を持つアカウントの匿名化は、個人の身元を隠すのに効果的ではないかもしれません。

進むべき一つの方法は、フォーラム投稿ポリシーに個人情報を入れないことを強制することです。

私の会社は米国を拠点としていますが、スイスとドイツのメールサーバーを使用しているため、GDPRに影響するかどうかはわかりません。

ドイツのメール会社はこの法的通知を掲載しています。

スイス：

Protonは、プライバシーポリシーで詳述されているように、スイス当局に特定のユーザー情報を開示することを法的に義務付けられる場合があります。これは、スイス法が違反された場合に発生する可能性があります。プライバシーポリシーに記載されているように、すべてのメール、ファイル、および招待状は暗号化されており、復号化する手段はありません。

スイス刑法第271条に基づき、Protonは外国当局に直接データを送信することはできません。したがって、外国当局からのすべての要求を拒否します。スイス当局は、国際的な法的支援手続きの下で有効であり、スイス法に準拠していると判断された場合に限り、外国当局を支援する場合があります。これらの場合、合法性の基準は再びスイス法に基づいています。一般的に、スイス当局は、人権侵害の歴史を持つ国からの外国当局を支援しません。

Discourseでは、ほとんどの投稿が削除または編集できることが、少なくともデフォルト設定では永久的であることに気づきました。それを変更する方法があるかどうかはわかりません。私が以前見た別の種類のフォーラムでは、投稿が1時間しか編集できず、その後はロックされるように設定が変更されていました。

誰かが投稿の削除を要求したが、サイト管理者が拒否した場合、紛争が発生する可能性があります。それらは、どの国が関与しているかによって、ケースバイケースで処理する必要があるかもしれません。

これらはCERNからの印象的な統計であり、2022年と2021年の両方で1,000件以上の法的命令が争われました！

現在、少なくとも4つの異なる事柄が進行中です。

はい、EUのユーザーがいる場合、管理者/オーナーはGDPRを遵守する必要があります。

EUのユーザーがいなくても、メールやホスティングにヨーロッパの企業を利用している場合はGDPRを遵守する必要はありませんが、それらの企業はあなたがEU出身でなくてもGDPRを遵守する必要があります。

いいえ、GDPRは投稿やコメントの削除を強制するものではありません。匿名化で十分です。また、バックアップを編集する必要はありませんが、絶対に必要な期間のみバックアップを保存できます。したがって、1年または5年前のバックアップを収集して、問題ないと言い張ろうとしないでください😝

GDPRは個人データを規制します。何をどのように要求、保存、使用でき、何のために、どのくらいの期間使用できるかです。CDCKは私のIP（私を特定できる機密性の高い個人データではありません）を保存でき、名前と国を尋ねることもできます。しかし、番地は規制された情報であり、パスポートや運転免許証のコピーを送るように求めることは、ほとんどの場合、本当に大きな禁止事項です。

そして、これを大声で言うのは少し残念ですが、アメリカのサービス、そしてサービスとは管理者を意味しますが、ヨーロッパの観点からは非常に大きく、貪欲な問題です。マーケティングと販売の名の下にスパムを送信し、人が行うすべての行動を追跡しようとするソリューションを使用することは、非常にアメリカ的な方法です。そして、アメリカ人が独立性と「私の家は私の城」という考え方をどれほど強く持っているかは、常に非常に興味深いと思ってきました。

はい。これで私は完全にトピックから外れてしまいました。そして、設計上、Discourseは人々の仮想的な個人的空間を侵害するように構築されていません。Discourseは実際、たとえばMastodonとほぼ同じであり、まともで責任ある方法で機能するように計画されています。匿名化はその一部です（そして、ログインがない場合に希望する期間後に自動削除されること。これは実際に賞賛に値します。なぜなら、CDCKのB2B顧客はそれを必要とするからです）。

GDPRは、個人を特定できる個人データの問題です。トピックやコメント自体とは関係ありません。

お便りありがとうございます。参考になる情報でした。

確かに、アメリカの企業の中には非常に大きく、強欲なものもありますが、これらの多くは当然ながらヨーロッパ人によって設立されたものです。

オランダ東インド会社が最悪です。

私のサイトは主に住所を持たない人々を対象としていますが、アメリカとカナダの両方で建築許可には住所が必要です。

トラックや船で移動できるプレハブ住宅を除き、それらを建設してから販売するのが私の計画です。販売後、人々は永住権を登録できますが、それは任意です。

とにかくGDPRの話に戻りますが、引用したフォーラムのサイトの通知は技術的には違反になるかもしれませんが、それは弁護士に聞かなければならない質問でしょう。\n\nそれについて最後に触れるのは、読み上げられて回答されることを意図した質問についてです。話し言葉と書き言葉では法律が異なる場合があります。

米国には連邦取引委員会（Federal Trade Commission）があり、これは私がアメリカで知っているGDPRに最も近いものです。GDPRがヨーロッパの人々を保護するのと同様に、「アメリカの消費者を保護する」という意図は似ていますが、EU市民ではない人々には助けを提供しないと思います。

フォーラムに関するポリシーがどこに掲載されているかを見つけようとしていますが、どこにあるかわかりません。フォーラムの投稿に個人情報が含まれること、特にサイト管理者が要求に応じて削除しない場合には、それに対する要件があると思います。

それを執行するFBIの部署は次のとおりです。

• GDPRはEU域内にいる人に適用されます。物理的にEU内にいない場合、GDPRは適用されません。
• 参考までに、スイスはEU加盟国ではありません。

返信ありがとうございます。スイスがEU加盟国ではないことを知りませんでした。

英国も、もはや加盟国ではないと記憶していますが？

ブレグジットの投票は、私がアムステルダム大学に在学中に起こりました。同大学はワシントン大学と提携しており、私はオランダの学生証を持っていましたが、それは期限切れになりました。

最後の質問ですが、資格を得るにはEU諸国の市民である必要がありますか？

いいえ。ただし、EU域内に居住し、住所を持っている必要があります。

つまり、EU非加盟国の人が一生分の休暇を貯めてパリへ2週間の旅行に行く場合、GDPRに従う必要はありません。

これは、個人情報を自由に収集・保存でき、オプトアウト形式のスパム会員登録を利用でき、何に対しても同意を得る必要がないことを意味します。そして、これらすべてがEUは気にしないという意味になります。

実際…GDPRの何が怖いのですか？ データを適切に処理し、ユーザーの基本的なプライバシーを尊重し、何をどれだけ保存しているかを伝え、透明性とオープンさを保つのであれば、GDPRに従うことになります。そうすれば、誰が、どこで、なぜ、と疑問に思う必要はありません。

英国には依然としてGDPRスタイルの規制があります。そのため、広告管理者/企業は、私たちが任意でオプトインしたり、好みに従ったりすることはできません。また、私の知る限り、スイスもGDPR規制に従っており、ノルウェーもEUには加盟していませんが、確実にGDPR規制に従っています。

その当時、あなたはGDPRによって保護されていました。

GDPRは怖くありませんが、ポリシーが明確ではありませんでした。

留意すべきは、フォーラムでの法的なアドバイスはややリスクが高いということです。私の知る限り、ここに返信した人は誰も弁護士ではなく、誰も公印付きの法的アドバイスを提供していません。

GDPRの管轄に関するニュアンスについては、弁護士に相談することをお勧めします。

さらに広義には、ユーザーはEUにいる必要があります。居住者である必要はありません。

Article 3.2

この規則は、ユニオン内にいるデータ主体の個人データの処理に適用されます。

これは少し不明瞭ですが、幸いなことにRecital 14がそれを少し明確にしています。

この規則によって提供される保護は、その国籍または居住地に関係なく、自然人に対して、その個人データの処理に関して適用されるべきです。

しかし、それはまだ曖昧である可能性があるため、非常に明確な追加のガイドラインがあります。Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) section 2.a

Article 3(2)の文言は、「ユニオン内にいるデータ主体の個人データ」を参照しています。したがって、ターゲティング基準の適用は、処理されている個人データのデータ主体の市民権、居住地、またはその他の法的地位によって制限されません。
(…)
データ主体がユニオンの領域内にいることは、Article 3(2)に従ってターゲティング基準を適用するための決定要因ですが、(…) データ主体がユニオン内にいることは、関連するトリガーアクティビティが発生した時点で評価されなければなりません。

したがって、パリで休暇中の米国市民は、滞在中に開始されたサービスに関する限り、滞在中GDPRの対象となります。彼らの既存の米国携帯電話契約は、突然GDPRの対象になるわけではありません。

米国のT-Mobileはヨーロッパでもサービスを提供していますが、2か月後に、これは短期サービスのみに限定されており、ユーロ圏では2～3か月を超えて利用できないという通知を受け取りました。

それは私にはGDPRに関連しているようには聞こえません。

しかし、それはそうではないかもしれませんが、私は単に、米国での携帯電話契約は、フランスやヨーロッパの他の国に旅行する人にはGDPRの対象とならないというあなたの発言に答えていただけです。

これは、ヨーロッパで提供されるサービスはすべてGDPRの対象となるという他の人の以前の発言と矛盾しています。

しかし、サービスが開始された場所がヨーロッパにあるかどうかが鍵となります。

T-Mobileやその他の米国の通信事業者は、GDPRやその他の規制により、ヨーロッパでのサービス提供が日数限定されている特定の契約を持っている可能性があります。

国際電話を避けるために、旅行先の国の国コードを持つ現地の電話番号を持っていると便利です。

いずれにしても、私は誰にも法的アドバイスを求めているわけではありません。