米国を拠点とするサイトからGDPRユーザーをブロックするにはどうすればよいですか?
(私は当初、GDPRタグを使用したサーバー障害についてこの質問をしましたが、応答が最小限であるため、ここで質問することをお勧めします)
私が理解しているように、GDPRは、EU市民のプライバシーを保護し、ウェブサイトがデータを使用する方法/ウェブサイトがそのデータを保存できるかどうかを制御する権利をEU市民に付与することとして推進されているヨーロッパの法律です。
GDPRについての私の最初の印象は、EU市民がGDPRの権利を望んでいる場合、GDPR法の対象となるEU内にあるサーバーのみを使用する必要があるということです。
しかし、EUの法律が何らかの形でEU外のサーバーに影響を与える可能性があるという考えがあるようです。私は弁護士ではありませんが、各国が独自の法律を定義して施行することを期待しています。これは、他の国の法律と一致している場合と一致していない場合があります。GDPRは、米国(またはその他のEU以外の国)にあるサーバーにもどのように適用できますか?
私がオンラインで読んだいくつかの記事に基づくと、米国はどういうわけかEUのGDPR法を米国の土壌に施行することを許可しているようです。
GDPRの頭痛の種に対処したくないので、すべてのEU市民(およびEU内から私のサイト/サービスにアクセスする他の人)が私のWebサイトやサービスを使用するのをブロックするしかないようです。EUのIPアドレス空間全体をファイアウォールで保護してEUユーザーの大部分を捕まえることはできますが、VPNを使用したり、EU以外のISPから自分のサイトにアクセスしたりできるEU市民がいます。
EU市民をブロックするために使用できる法的アプローチはありますか?たとえば、「EU居住者としてこのサイトまたはサービスにアクセスすることは違法です」など、法的指令に違反した場合、GDPRの期待は無効になりますか?私がGDPRゲームをプレイしておらず、サーバーに送信したものはすべてGDPRの対象にならないことを理解している限り、彼らが私のウェブサイトやサービスを使用してもかまいません。
回答
これは、GDPRの誤解に基づいている可能性があります。GDPRは、次の3つの状況で適用されます。
- アート3(1):あなた(データ管理者)はEUで設立/居住しています。
- アート3(2)(a):あなたはEUの人々に商品やサービスを提供します。
- アート3(2)(b):あなたは物理的にEUにいる人々の行動を監視します。
要因ではないもの:
- サイト訪問者の市民権(リサイタル14を参照)。
- EUからサイトにアクセスできるかどうか(リサイタル23を参照)。
重要なのは、「商品やサービスの提供」の意味です。EDPBは、このターゲティング基準の解釈に関する公式ガイドラインを発行しました(GDPRの領域範囲に関するガイドライン03/2018)。いくつかの重要な注意事項:
- 商品やサービスの提供には、補償を伴う必要はありません。ウェブサイトへの無料アクセスもサービスになり得ます。
- GDPRは、現在EUにいる人々を対象とする場合に適用されます。EUの米国の観光客は保護されていますが、米国のEUの観光客は保護されていません。
- サービスを提供する瞬間が重要です。たとえば、米国のサービスを使用している米国人は、EUへの旅行中に米国のサービスに対するGDPR保護を主張することはできません。
- サービスのユーザーを確認する代わりに、サービスのターゲット市場を確認する必要があります。サービスがEUの人々に対応していない場合、GDPRは適用されません。
- 重要な問題は、サービスの提供者がEUの人々にサービスを提供することを「想定」しているかどうかです。サービスプロバイダーは、EUのデータ主体がサービスを使用することを意図していますか?
- ガイドラインは、判例法、特にPammerとAlpenhofの判例からの指摘の網羅的でないリストをまとめています。GDPRが適用される可能性のある兆候の抜粋:
- EUまたは加盟国はサービスの提供に言及されています
- ウェブサイトはEUの聴衆を対象としたマーケティングを行っています
- 問題となっている活動は、観光などの国際的な性質のものです。
- EU市場の特別な連絡先の詳細に言及する
- EUまたは加盟国に関連付けられたトップレベルドメイン名を使用する
- EUから訪問する際の旅行指示
- EUからの人々/企業を含む国際的な顧客の言及
- あなた以外の言語または通貨の使用
- EUへの商品配送の提供
したがって、GDPRが適用されるかどうかは、ウェブサイトの主題と、EU市場に参加する予定があるかどうかによって異なります(オンラインのみであっても、サービスが無料であっても)。
GDPRが適用されるとしたら、EUからの人々をブロックすることは疑わしいでしょう。違法かもしれませんが、GDPRの理由ではありません。
GDPRが適用されない場合、EUからの人々をブロックすることはすでに不要です。
ただし、ジオブロッキングは、EUの人々にサービスを提供するつもりがないことを示す非常に強力な兆候です。ジオブロッキングが必要か十分かについての良い判例法はありません。ジオブロッキングは(VPNなどで簡単に回避できる場合でも)十分であると思いますが、そもそも必要ではないと思います。
上記の兆候を検討する際には、EU市場をターゲットにしていないことを再度強調することもできます。たとえば、Webショップは、北米にのみ出荷し、海外には出荷しないことを明確にする場合があります。
繰り返しますが、あなたのウェブサイトのターゲティングは、あなたの訪問者の起源ではなく、重要な要素です。したがって、EUの訪問者がたまにいるとしても、GDPRに準拠する必要があるわけではありません。
あなたはできません
まず、カリフォルニア州には、居住者がどこにいても適用されるGDPRと非常によく似た法律があります。これは、EU内のすべての人々に適用されるGDPRとは異なります。したがって、ヨーロッパに居住するカリフォルニア州民は両方の法律の対象となり、ネブラスカ州のドイツ人はどちらも対象外となります。
第2に、一部の法律では、当事者がさまざまな規則に従うことに同意することが許可されています。たとえば、仲裁法では、当事者が裁判所を使用する権利を放棄することが許可されています。たとえば、赤信号を通り抜けても大丈夫だという契約に同意できない人もいます。GDPR(およびカリフォルニア州法)は、契約を結ぶことができないことを明示しています。契約を結ぶ試みは、単に無効(効果がない)であり、それ自体が違反です。
第三に、法律が適用されるすべての人を確実にブロックできたとしても、許可したユーザーの状況が変化した場合はどうしますか?私はオーストラリアのオーストラリア人なので、どちらの法律も適用されません(ただし、オーストラリアのプライバシー法が適用されます)。個人データを収集し、5年後にオーストリアに移動すると、GDPRが適用されます。データ。
あなたが言うように、「テクノロジーは大幅に改善されました」-法的なプライバシー保護もそうです。