カジノシークレットスポーツベット処理の基本原則への違反、カジノシークレットスポーツベット処理の法的根拠の欠如、完全な開示義務の不履行、情報セキュリティを確保するための技術的および組織的対策の欠如、カジノシークレットスポーツベット主体の権利を満たさない場合、規制当局からの罰則が最も受けやすい

チェン・ライメイ

2022.12.27

上海

上海申浩律师事务所.jpg

GDPR（一般カジノシークレットスポーツベット保護規則），一般カジノシークレットスポーツベット保護規則) は、2018 年 5 月 25 日に正式に発効しました。この法案の正式な施行は、1995 年に EU によって導入された EU のカジノシークレットスポーツベット保護指令 (カジノシークレットスポーツベット保護指令) に代わるものです，個人のプライバシーにおける大きな前進。EU 国民の個人カジノシークレットスポーツベットを保護するように設計されています，そして会社のカジノシークレットスポーツベット処理に厳しい要件を課す。GDPR の完全な実装，EU の個人情報の保護と監督が前例のないレベルに達していることを意味，GDPR は史上最も厳格なカジノシークレットスポーツベット保護法案。GDPR の施行以来，統計によると，これまでに、100万ユーロを超える罰金が課せられた法執行事件が70件発生している[1]。これら 70 件の罰金の総額は 2,077,668,635€。

この記事は、GDPR 施行以来、100 万ユーロを超える罰金が科せられた 70 件の執行事件を調査および分析しています，GDPR 執行事例に登場する法執行の根拠と関連法規制の概要，関連するケースと組み合わせて、カジノシークレットスポーツベット処理における一般的な問題を分析，企業カジノシークレットスポーツベットのコンプライアンスについて提案する。

一、GDPR 施行事例の施行根拠と施行強度の国別差異の 2 つの側面からの分析

写真 1 より、写真 2、図 3 は、GDPR 施行以来、罰金が 100 万ユーロを超える 70 件の執行事件の罰金ベースを分析しています，発見されましたカジノシークレットスポーツベット処理の基本原則への違反、カジノシークレットスポーツベット処理の法的根拠の欠如、完全な開示義務の不履行、情報セキュリティを確保するための技術的および組織的対策の欠如、カジノシークレットスポーツベット主体の権利を満たさない場合、規制当局からの罰則が最も受けやすい【2】，規制当局によって引用され、降順で最も頻繁に施行されている規定は、主に GDPR 第 5 条です、6、32、13、12、14、25、21、9、24、35、15、17、28 アイテム；GDPR の構造設定に基づき、事例と組み合わせると、上記の条項は対応する罰則根拠 [3] に帰属します。

微信图片_20221228180835.png

監督当局の施行の優先事項には、GDPR 第 5 条のカジノシークレットスポーツベット処理の基本原則が含まれています、第 6 条カジノシークレットスポーツベット処理の法的根拠。どこ，カジノシークレットスポーツベット処理の基本原則の違反が最も顕著に施行される。著者が数えた 70 件のうち，カジノシークレットスポーツベット処理の基本原則に違反した場合、罰金は最高 1 に達する場合があります,235,991,601€，59% を占める，数量 15。また，カジノシークレットスポーツベット処理の法的根拠がない場合の罰金は最高 472,922,034€，23% を占める，数量 30 個，通知義務が完全に履行されなかった場合の罰金は 234 人民元,100,000€，11% を占める，数量 5，情報セキュリティを確保するための技術的および組織的対策が欠如しており、カジノシークレットスポーツベット主体の権利を満たしていない事件の割合は 6% を占める，数量 20 個。各処罰事件には処罰の根拠が 1 つしかないため，しかし、多くの場合、複数の GDPR 条項が引用されます，したがって、これら 70 件の法執行事件における特定の GDPR 条項の引用頻度という側面から分析する必要があります，上位 8 つの用語が 70% 近くを占めていることがわかりました，アートを含む.5 (個人カジノシークレットスポーツベットの処理に関する原則), アート.6（処理の合法性）, アート.32（処理の安全性）, アート.13（個人カジノシークレットスポーツベットがカジノシークレットスポーツベット主体から収集される場合に提供される情報）, アート.12（透明性のある情報）, カジノシークレットスポーツベット主体の権利行使のためのコミュニケーションと手段）, アート.14（個人カジノシークレットスポーツベットがカジノシークレットスポーツベット主体から取得されていない場合に提供される情報）, アート.25（設計およびデフォルトによるカジノシークレットスポーツベット保護）, アート.21（異議を唱える権利）。(詳細については、図 4 [4] を参照してください)

微信图片_20221228180848.png

微信图片_20221228180850.png

ヨーロッパで最も厳しい刑罰を科されている上位 5 か国はルクセンブルクです (7.48 億ユーロ)、アイルランド (6.47 億ユーロ)、フランス (2.865 億ユーロ)、イタリア (1.276 億ユーロ)、ドイツ (6029).870,000 ユーロ)。ルクセンブルク7.48億ユーロの罰金はアマゾンからのもの，Amazon Europe Core S については 2021/7/16 を含む.à.r.l.の罰金は最高 7 です.46 億ユーロ，これまでの歴史上最高額の罰金となる，この事件はまだ控訴中；アイルランドの罰金 6.47 億ユーロ，その中にはメタプラットフォーム向けの 2022/9/5, Inc (Facebook の親会社)罰金は最高 4 回.5 億ユーロ，史上2番目に重いペナルティとなる，2021/9/21 宛先: WhatsApp Ireland Ltd.(Facebook の子会社) には最高 2 の罰金が科せられます.25 億ユーロ，史上 3 番目に高額な罰金となる；フランスは素晴らしい 2.865 億ユーロ，Google に対する罰金は 2 億ユーロ；イタリアの罰金 1.276 億ユーロ，TIM (電気通信事業者) からの罰金は 2,780 万ユーロ；ドイツの罰金は6029に達する.870,000 ユーロ，H から来たもの&M・ヘネス & マウリッツオンラインショップ A.B. & コ. KG の罰金は 3525 に達します.870,000 ユーロ。これら 70 件の事件が属する業界から判断すると，GDPR によって厳しく罰せられる業界は、主にテクノロジー大手のインターネット業界に集中しています，アマゾンなど, フェイスブック, Google および電気通信などの大量の個人情報カジノシークレットスポーツベットを扱うその他の業界、航空、ホテル、銀行、投稿、発券、小売、車など。

二、法執行機関の複合事件，GDPR 罰則訴訟で頻繁に引用される罰金の根拠と関連規定の紹介

(1) カジノシークレットスポーツベット処理の基本原則（アート5）. 個人カジノシークレットスポーツベットの処理に関する GDPR 原則）

現時点では，GDPR 施行の場合，違約金が最も高い Amazon Europe Core S.à.r.l. へへの 2 番目に高いメタプラットフォーム, 株式会社.全員がこの原則に違反したため罰せられた。

1.カジノシークレットスポーツベット処理の基本原則

法律を含む、正義、透明性の原則 (合法性), 公平性と透明性)、目的限定の原則、カジノシークレットスポーツベット最小化の原則 (カジノシークレットスポーツベット最小化)、精度 (精度)、ストレージ制限の原則 (ストレージ制限)、誠実さ、機密保持の原則 (完全性と機密性)、説明責任。

企業によるカジノシークレットスポーツベット処理の法的根拠は主にカジノシークレットスポーツベット主体の「同意」によって決まります。同意は自発的なものでなければなりません，カジノシークレットスポーツベット主体はいつでも自由に同意を撤回する権利を有します。同意の要求はわかりやすい方法で行う必要があります、アクセスしやすいフォームを作成しました，それは明確にする必要があります、特定の要件。GDPR では次の説明が行われます，他の事項にも関係する書面による宣言に基づいてカジノシークレットスポーツベット主体の同意が与えられた場合, 同意の要求は、他の事項と明確に区別できる方法で提示されるものとします, わかりやすく簡単にアクセスできる形式で, 明確でわかりやすい言葉を使う. カジノシークレットスポーツベット主体の同意に加えて，GDPR には、カジノシークレットスポーツベット処理に関する他の多数の法的根拠もリストされています，たとえば (カジノシークレットスポーツベット主体が契約の当事者である場合) 契約の履行のため，または公益のためなど。正義、透明性の原則により必要とされる個人カジノシークレットスポーツベットの収集、使用、処理と処理の範囲、処理の目的、カジノシークレットスポーツベット管理者の身元はカジノシークレットスポーツベット主体に知られている必要があります。

目的制限の原則により、個人カジノシークレットスポーツベットを収集する目的は具体的である必要があります、クリア、法的，カジノシークレットスポーツベット処理はこの目的と矛盾するものであってはなりません，GDPR は、「個人カジノシークレットスポーツベットが処理される具体的な目的は、明示的かつ合法的であり、個人カジノシークレットスポーツベットの収集時に決定されるべきである」と説明しています。. ” カジノシークレットスポーツベット最小化原則により、企業は目的に沿って個人カジノシークレットスポーツベットを処理する必要があります，収集、処理される個人情報は十分であるはずです、関連，処理の目的に関連する。ストレージ制限原則はカジノシークレットスポーツベット最小化原則の正しい意味。保存制限原則により、個人カジノシークレットスポーツベットは処理目的を超えて保存してはならない，企業はカジノシークレットスポーツベット削除の期限を設けるか、定期的にカジノシークレットスポーツベットのレビューを実施する必要があります。

カジノシークレットスポーツベット精度の原則企業は、処理するカジノシークレットスポーツベットをタイムリーに更新し続ける必要があります，また、誤ったカジノシークレットスポーツベットが直ちに消去または修正されるよう、あらゆる合理的な措置を講じてください。完全性と機密保持の原則個人カジノシークレットスポーツベットの適切なセキュリティを確保する方法でカジノシークレットスポーツベット処理を実行することを義務付けています，不正または違法な処理や偶発的な損失からカジノシークレットスポーツベットを保護するための適切な技術的および組織的措置を講じることを含む、破壊するか破壊するか。説明責任の原則企業は GDPR の規定を履行する責任があることを意味します，前述の原則を満たしていることを証明できます。

2. GDPR の最高罰金: Amazon Europe Core S.à.r.l.ケース

現在入手可能な情報から判断すると，Amazon の訴訟は 2018 年 5 月 10 日に発生しました，000 人がフランスのプライバシー団体 La Quadrature du Net を通じて Amazon に対して苦情を申し立てました，Amazonが顧客の個人情報をどのように扱うかについて規制当局が調査を開始した後に判明Amazon の広告ターゲティングシステムは顧客の同意を取得しておらず、権利侵害に該当します，したがって、彼は懲役7年の判決を受けた.46億ユーロの罰金。GDPR に準拠するためには、準拠する同意に関する特定の要件を満たす必要があります, クリアの使用と同様, 平易な言葉でカジノシークレットスポーツベットの使用方法を説明, なぜ、誰によって. この罰金訴訟の詳細については、Amazon が控訴中です，現地の法律によると，この件は機密扱いです，控訴期間が終了するまで。Amazon はこの罰金決定に強く反対します，その理由は、カジノシークレットスポーツベット漏洩がないためです，顧客情報は第三者には開示されません。いくつかのコメントは示唆，Amazon が提示した理由，あまりうまくいきません。「GDPR はカジノシークレットスポーツベットセキュリティだけでなく、カジノシークレットスポーツベットプライバシーの側面、つまり企業が個人カジノシークレットスポーツベットをどのように使用するかにも重点を置いています, 会社が透明性がある場合, 処理が合法であるかどうか. つまり、カジノシークレットスポーツベット侵害が発生したかどうか, この場合は重要ではないかもしれません. ”

カジノシークレットスポーツベット処理の基本原則に関する GDPR の規定に従う，Amazon はこの原則に違反していないことを証明したい，非常に難しい。アマゾンは事件への対応時にカジノシークレットスポーツベットを漏洩していないとのみ述べた，第三者には開示されません，しかし、顧客の同意が得られたかどうかについては肯定的な回答はありません，上で紹介したカジノシークレットスポーツベット処理の基本原則と要件に基づく，カジノシークレットスポーツベットの収集と処理にはカジノシークレットスポーツベット主体の同意を得る必要があります，そして個人カジノシークレットスポーツベットの収集、使用、処理と処理の範囲、処理の目的、カジノシークレットスポーツベット管理者の ID は透過的である必要があります，カジノシークレットスポーツベット漏洩の有無は、この原則に違反していないと判断する根拠にはなりません。

3. アイルランドの現在の最高罰金: メタ事件

今年 9 月 5 日にアイルランド vs メタプラットフォーム, Inc (Facebook の親会社) に最高 4 の罰金.5 億ユーロ，これまでで 2 番目に高額な GDPR 罰金となる。規制当局が挙げた理由は、メタがカジノシークレットスポーツベット処理の基本原則に違反したためである，特に未成年者のプライバシー保護に関する規制。ロイター通信によると, メタにより、13 ～ 17 歳の未成年者が Instagram で独自のビジネスアカウントを作成できるようになります，これは電子メールアドレスを意味します、電話番号はアプリに一般公開されます。調査の結果, 特に, Instagram のビジネスアカウント機能および子供の個人用 Instagram アカウントのデフォルトでの公開設定を使用した子供の電子メールアドレスおよび/または電話番号の公開. この訴訟は最終的に関係監督当局 (「CSA」) と欧州カジノシークレットスポーツベット保護委員会 (「EDPB」) によって検討され、最終的な罰金額が決定されました4.25 億。罰金に加えて，DPC も叱責と指示を出し、メタに是正措置を講じるよう要求しました，カジノシークレットスポーツベット処理動作を標準化する。「これらの行政罰金に加えて, DPC はまた、Meta Platforms Ireland Limited に対し、指定された一連の是正措置を講じて処理を遵守させるよう求める懲戒および命令を課しました. ”この訴訟は、未成年者のプライバシーの漏洩と闘う EU の決意と強さを反映しています。

DPC が処罰の理由を示す場合，カジノシークレットスポーツベット処理の基本原則を引用することに加えて，No. 5 (1)(a)と同様記事 (法的)、正義、透明性の原則) 第 5 条 (1) (c) (カジノシークレットスポーツベット最小化の原則), その他の条項 6 (1) (同意) も引用, 第8条第1項（未成年者の同意の実効的手段），第 12 条(1) (透明性原則の改善), 第13条（カジノシークレットスポーツベット収集時），カジノシークレットスポーツベット主体に十分な情報を提供する必要があります), 第 24 条 (カジノシークレットスポーツベット管理者の責任: GDPR への準拠を確保および実証するために組織的および技術的措置を講じる), 第 25 条 (設計およびデフォルトによるカジノシークレットスポーツベット保護) および GDPR 第 35 条 (カジノシークレットスポーツベット保護影響評価)。他の条項は基本的にカジノシークレットスポーツベット処理原則をさらに改良したものです。

(2) カジノシークレットスポーツベット処理の法的根拠

GDPR 施行の場合， Google は、2019 年 1 月 21 日にこの原則に違反したとしてフランスから 5,000 万ユーロの罰金を科されました，2021 年 12 月 21 日、彼はこの原則に違反したとしてフランスから再び処罰されました1.5億ユーロ；2020 年 1 月 15 日にイタリアは TIM (電気通信事業者) によりこの原則に違反しました，罰金 2,780 万ユーロ。

1.カジノシークレットスポーツベット処理の合法性

カジノシークレットスポーツベット処理の合法性の根拠として引用されている主な記事は芸術. 6 GDPR 処理の合法性，企業向け最も重要なことは、カジノシークレットスポーツベット処理にはカジノシークレットスポーツベット主体から有効な同意を得る必要があるということです；カジノシークレットスポーツベット処理の合法性に関する上記の点に加えて，ユーザーが自由に同意したかどうかに特に注意が払われます，会社が不当な条件を設定していないかには特に注意する必要があります，契約履行の必要条件としての不必要な個人カジノシークレットスポーツベット処理活動など。つまり，会社がユーザーに、サービスに関係のない重要でないカジノシークレットスポーツベットを収集することに同意するよう求める場合，または必要なカジノシークレットスポーツベットを他の目的に使用する，ユーザーが同意しない場合は、サービスの提供を拒否します，これは、カジノシークレットスポーツベット主体から有効な同意を得ることなくカジノシークレットスポーツベットを違法に処理することになります。

また，GDPR は第 8 条に明記されています，16 歳未満の未成年者の個人カジノシークレットスポーツベットを処理する法的根拠は、未成年者の保護者からの有効な同意です。GDPR には、企業がユーザーから明示的な同意を得ることが必要な個人カジノシークレットスポーツベット処理シナリオがまだいくつかあります，たとえば、第 9 条に基づく特別カテゴリの個人カジノシークレットスポーツベットの処理，人種や民族に関係するものを含む、政治的思想、宗教的または哲学的信念または労働組合の会員に関する個人カジノシークレットスポーツベット、遺伝子カジノシークレットスポーツベット、自然人を特定するための生体認証カジノシークレットスポーツベット、そして和人の健康カジノシークレットスポーツベットなど，GDPR は企業によるこの種のカジノシークレットスポーツベットの処理を明確に禁止しています，明示的に同意しない限り；カジノシークレットスポーツベット主体は自動処理のみに基づく決定の対象とならない権利を有するものとする, プロファイリングを含む, 決定がカジノシークレットスポーツベット主体の明示的な同意に基づいている場合を除き、その人に関して法的効果を生み出す、または同様に重大な影響を与えるもの），第 49 条 (適切な保護に関する決定と適切な保護措置の欠如) に基づく国境を越えたカジノシークレットスポーツベット転送には明示的な同意が必要です。

この条項は、カジノシークレットスポーツベット処理の基本原則に関する条項および第 5 条に基づくカジノシークレットスポーツベット主体の権利に関する条項と一緒に引用されることがよくあります。合法性の原則は上で述べた，カジノシークレットスポーツベット主体の権利は以下に別途規定されています，これ以上の詳細はここにはありません。

2.TIM (電気通信事業者) の商業マーケティングは欧州 GDPR に違反しています

TIM は違法なカジノシークレットスポーツベット処理により処罰されました、違法で攻撃的なマーケティング戦略，カジノシークレットスポーツベットは取得できませんでした対象者の有効な同意と過剰なカジノシークレットスポーツベット保存期間。GDPR 違反により罰金が課されました, 違法なカジノシークレットスポーツベット処理に重点を置いた, 非準拠の積極的なマーケティング戦略, 無効な同意の収集と過度のカジノシークレットスポーツベット保持期間. 規制当局は最終的に、TIM が個人カジノシークレットスポーツベットの処理に関するカジノシークレットスポーツベット処理の基本原則に違反していると判断しました。第 5 条; 処理の合法性第 6 条; 消去の権利第 17 条; 第 21 条に異議を唱える権利；第 32 条の処理の安全性。

TIM 会社は商業マーケティングを行っています，カジノシークレットスポーツベット主体の同意なし，また、マーケティングを拒否するために登録した個人、またはマーケティングを拒否した個人に対して商業マーケティングを継続します。「適切な同意なしに、または連絡を受けた個人が一般に登録されているにもかかわらず、宣伝電話は登録に電話しないでください。」, そして彼らが異議を唱える権利を行使した後でさえも.”TIM が紙の形式で同意を収集する場合，単一のオプトインで複数の宛先をロック，したがって、カジノシークレットスポーツベット主体の同意は認識できず、不明瞭です，これは、同意が明確でなければならないという GDPR の合法性原則に違反します、識別可能な方法で行われた規定，「同社は複数の目的で単一のオプトインを使用して紙のフォームで同意を収集しました. したがって, 同意を区別できない、不特定なものにする.”TIM アプリとそのマーケティングプログラムは、ソフトウェアサービスを取得するための前提条件として同意を得て情報を収集します，プログラムに参加して、対応する使用権を取得するため，顧客はそのマーケティング目的に同意する必要があります，同意は自由に与えられるべきであるという GDPR 条項への違反。“TIM アプリやプロモーションプログラムを通じて収集されたカジノシークレットスポーツベットにも問題がありました, サービスへの同意を条件とした「TIM パーティー」のような. したがって, プログラムと関連特典にアクセスするには, 顧客そうしなければならなかった宣伝目的に対する明示的な同意.”

GDPR カジノシークレットスポーツベット主体の権利要件が満たされていません，特にカジノシークレットスポーツベット主体のアクセス権、異議を唱える権利さらなる苦情は、GDPR 権利に関するカジノシークレットスポーツベット主体の要求に応じなかったことを指摘しました, 特にに関してカジノシークレットスポーツベットへのアクセスとプロモーション目的での処理に対する異議.

TIM は、商業キャンペーンからの除外を希望するカジノシークレットスポーツベット主体のリストを適切に管理できませんでした.”

過剰なカジノシークレットスポーツベット保存期間，TIM は、法律で許可されている最大期間である 10 年を超えてカジノシークレットスポーツベットを保存します。「TIM は、(TIM がネットワークおよびインフラストラクチャサービスを提供した) 他の通信事業者の顧客に関連するカジノシークレットスポーツベットを保存しました, CRM システム内, 法律で要求される制限を超える期間 (10 年間).”

3.GoogleそしてH&M

2021 年に Google がフランスから罰金を課された1.5億ユーロ，主な理由は、Google のシステムによって設定された Cookie ボタンが受け入れられやすいためです，拒否は複雑です，これは、インターネットユーザーが同意を表明する自由に影響します，「制限委員会」, 制裁発動を担当するCNIL機関, 拒否メカニズムがより複雑になると判断実際には、ユーザーが Cookie を拒否するのを妨げ、" の簡単さを選択するよう奨励します。;同意します"; ボタン.”

ドイツの GDPR 施行訴訟で最高額の罰金は、2020 年 10 月 1 日の H に対するもの&M・ヘネス & マウリッツオンラインショップ A.B. & コ. KG により課された 3,526 万ユーロの罰金，この事件は H によるものです&M による従業員情報の違法な監視が原因，つまり、個人カジノシークレットスポーツベットの監視はカジノシークレットスポーツベット主体の同意なしに実施されています。ドイツの GDPR 罰金の金額は一般に控えめ，最大の罰金は労働分野からのもの，ドイツが労働者の権利を保護しているのを見るだけで十分。「サービスセンターの監督者は、休暇や病気休暇から戻った従業員から、たとえ短期間の欠勤であっても、" を通じて詳細な個人情報を収集する慣行がありました。」;おかえりなさい、トーク". 「収集された情報は非常に個人的なものが多かった, 従業員の詳細など' 休暇の経験、および場合によっては病気の症状や診断などの特別なカテゴリの個人カジノシークレットスポーツベットが含まれる. 「最後に、H」&Mは補償し、影響を受けた従業員に謝罪した，そして包括的なカジノシークレットスポーツベット保護計画を提案しました，新しいカジノシークレットスポーツベット保護調整責任者の任命を含む，毎月のカジノシークレットスポーツベット保護ステータス更新を公開，そして「内部告発者」の保護など。

(3) 企業は十分な情報を提供する義務を果たさなければなりません

1. 十分に通知する義務

この義務は主に GDPR の第 13 条および第 14 条に基づいて規定されています(2 つの条項の内容は基本的に同じです),企業がカジノシークレットスポーツベットを収集する前にカジノシークレットスポーツベット主体に提供する必要がある次の情報を指します: 管理者の身元と連絡先の詳細，カジノシークレットスポーツベット保護責任者の連絡先情報，カジノシークレットスポーツベット処理の目的，カジノシークレットスポーツベット処理の法的根拠，カジノシークレットスポーツベットの種類，カジノシークレットスポーツベットの受信者，カジノシークレットスポーツベットが保存される期間、またはこの期間を決定するために使用される基準；カジノシークレットスポーツベット主体の権利には、カジノシークレットスポーツベット主体がカジノシークレットスポーツベットにアクセスする権利が含まれます、修正または削除の権利，または制限または拒否する権利，カジノシークレットスポーツベットポータビリティの権利，いつでも同意を撤回する権利，監督当局に苦情を申し立てる権利，個人カジノシークレットスポーツベットのソース。

前述の情報は合理的な時間内に提供される必要があります，カジノシークレットスポーツベットをさらに処理する前に必要な場合，そのような目的のための情報をカジノシークレットスポーツベット主体に事前に提供する；カジノシークレットスポーツベットを第三者に開示する必要がある場合，開示前にカジノシークレットスポーツベット主体に提供する必要がある；ただし、遅くとも1か月以内には提供されます。カジノシークレットスポーツベット主体がすでに所有している情報，再度提供する必要はありません。

GDPR の第 12 条は、個人カジノシークレットスポーツベットの処理に関連して第 13 条および第 14 条に規定されているすべての情報を明示的に規定しています、または第 15 条から第 22 条および第 34 条に規定されている通信 (カジノシークレットスポーツベット侵害がカジノシークレットスポーツベット主体にリスクをもたらす可能性がある場合は、カジノシークレットスポーツベット主体に遅滞なく通知されるものとします)，カジノシークレットスポーツベット管理者は簡潔な方法を使用する必要があります、透明、理解しやすくアクセスしやすいフォーム，明確で平易な言葉でカジノシークレットスポーツベット主体に提供される；カジノシークレットスポーツベット主体が子供である場合のすべての情報，これは特に当てはまります。

2. WhatsApp は情報開示と透明性に関する規制に違反しています

WhatsApp が適切性を通知する義務を果たさなかった，2021 年 9 月 2 日にアイルランドによって罰金が科せられました2.25 億ユーロ，DPC の調査は主に、WhatsApp がカジノシークレットスポーツベット開示と透明性の義務を履行したかどうかに焦点を当てています，特に、WhatsApp が収集した個人カジノシークレットスポーツベットを他の Facebook 企業と共有および処理する際の透明性に関して (Facebook は 2014 年に WhatsApp を買収しました)。DPC は、WhatsApp がそのサービスのユーザーと非ユーザーの両方に対して、つまりカジノシークレットスポーツベット主体に明確にすることなく GDPR の第 12 条から第 14 条に違反したことを確認します、個人カジノシークレットスポーツベットがどのように処理されるかをオープンかつ透明に開示する，たとえば、DPC は、WhatsApp がその各カジノシークレットスポーツベット処理活動に法的根拠を提供していないと認定しました，GDPR 第 13 条(1)(c) の違反。

罰金の計算について，欧州カジノシークレットスポーツベット保護委員会 EDPB は、WhatsApp の親会社である Facebook の収益と WhatsApp の収益を合算する必要があると決定，両社が同じ傘下で運営されているため。欧州連合 CJEU 司法裁判所の判例によると，親会社と子会社が一体的に業務を行う場合，ビジネス行為が法律に違反しており、会社が責任を負うべき場合，親会社と子会社の合計収入が係争中の事業の財務能力を構成する。GDPR 第 83 条第 5 項に基づく，カジノシークレットスポーツベット開示の透明性違反には最大 2,000 万ユーロの罰金を科す必要がある，または前年の全世界売上高の 4% のいずれか高い方。

最後に，EDPB は透明性の原則の重要性を考慮しています，WhatsApp に 3 か月以内に複数のアクションを実行するよう要求，カジノシークレットスポーツベット開示の透明性を高めるため，関連する修正を完了してください。WhatsApp はユーザーおよび非ユーザー向けのプライバシー通知を更新する必要があります，この発表は GDPR 第 13 条および第 14 条の規定をカバーする必要があります，処理活動に関して監督当局に苦情を申し立てるユーザーの権利が含まれます。

(4) 企業はカジノシークレットスポーツベット主体の権利の実現に対応する必要がある

1.カジノシークレットスポーツベット主体の権利

GDPR の第 15 条から第 23 条では、カジノシークレットスポーツベット主体の権利が規定されています，カジノシークレットスポーツベット主体のアクセス権を含む (アート. 15 カジノシークレットスポーツベット主体によるアクセス権）,修正アートの権利. 16 是正の権利,削除アートの権利. 17 消去する権利（忘れられる）, アートの処理を制限する権利. 18 処理を制限する権利,ポータブル権利 20 の権利カジノシークレットスポーツベットのポータビリティ, カジノシークレットスポーツベット主体の異議申し立ての権利アート. 21 異議を唱える権利.

カジノシークレットスポーツベット主体のアクセス権，カジノシークレットスポーツベット主体がカジノシークレットスポーツベット管理者から取得できる情報を指します，カジノシークレットスポーツベット処理の目的が含まれます，カジノシークレットスポーツベットの種類，カジノシークレットスポーツベット受信機または受信機の種類，個人カジノシークレットスポーツベットが保存される予定の期間，カジノシークレットスポーツベット主体の修正の権利、削除の権利、処理を制限する権利の存在，監督当局に苦情を申し立てる権利，カジノシークレットスポーツベットのソースに関する情報 (処理されるカジノシークレットスポーツベットがカジノシークレットスポーツベット主体から直接収集されていない場合)，カジノシークレットスポーツベット転送に関する保護措置，自動化された意思決定の存在、その処理ロジック、予想される結果とカジノシークレットスポーツベット主体への影響；

修正の権利:カジノシークレットスポーツベット主体が誤った個人カジノシークレットスポーツベットの修正を要求した場合，企業はカジノシークレットスポーツベット主体の権利行使要求に速やかに対応する必要がある，それに関連する誤ったカジノシークレットスポーツベットを適時に修正する。削除の権利:カジノシークレットスポーツベット主体が同意を撤回した場合、または個人カジノシークレットスポーツベットの処理が不要になった場合，カジノシークレットスポーツベット主体が自分の個人カジノシークレットスポーツベットの削除を要求した場合，企業は適時に削除措置を講じる必要があります，それに関連する個人カジノシークレットスポーツベットをクリアする。拒否の権利:マーケティング目的での個人カジノシークレットスポーツベットの処理，カジノシークレットスポーツベット主体から同意を得る必要があります。カジノシークレットスポーツベット主体が広告およびマーケティング目的での個人カジノシークレットスポーツベットの処理に明示的に反対する場合，企業が広告をプッシュすることは許可されていません。

処理を制限する権利:カジノシークレットスポーツベット主体が個人カジノシークレットスポーツベットの正確性に異議を唱える場合、カジノシークレットスポーツベット処理が違法である場合、カジノシークレットスポーツベット主体はカジノシークレットスポーツベット使用の制限を要求するか、カジノシークレットスポーツベット主体は異議を唱える権利を行使します，カジノシークレットスポーツベット主体は会社のカジノシークレットスポーツベット処理行為を制限する権利を有します。カジノシークレットスポーツベットポータビリティの権利:カジノシークレットスポーツベット処理がカジノシークレットスポーツベット主体の同意または契約の法的根拠に基づいている場合，またはカジノシークレットスポーツベットが自動化された手段で処理される場合，個人カジノシークレットスポーツベットを提供するカジノシークレットスポーツベット主体は、企業に構造化された提供を要求する権利を有します、それらに関連する一般化された機械読み取り可能な個人カジノシークレットスポーツベット。

2. クリアビューアル社.何百億もの人々の画像を収集，EU GDPR の違反

クリアビューアル社.今年、イタリアでGDPR違反で逮捕者が相次いでいる、イギリス、ギリシャ、フランスが罰金を課す，総額は6,900万ユーロに達する，規制当局によって与えられる罰則の種類は若干異なりますが，たとえば、フランスはカジノシークレットスポーツベット主体の権利を満たさない場合に罰金を課します，他の 3 か国はカジノシークレットスポーツベット処理の基本原則に違反しました，しかし、これに基づく中心的な規定の 1 つにカジノシークレットスポーツベット主体の権利が含まれています。

フランスの規制当局 CNIL が与えたペナルティの理由を例に挙げます。CLEARVIEW AI は、ソーシャルメディアを含むさまざまな Web サイトから大量の写真や動画を収集します，その数は数百億に達する。その会社は独自の画像カジノシークレットスポーツベットベースを構築しました，パーソナライズされた検索とマッチングのための検索エンジンを提供します。CLEARVIEW AI は、犯罪者や被害者を特定するために法執行機関にこのサービスを提供します，また、人間の身体的特徴 (主に人間の顔) に基づいたテンプレートも確立しました，これらの生物学的カジノシークレットスポーツベットは非常に機密性の高いカジノシークレットスポーツベットです，GDPR 第 9 条に基づくカジノシークレットスポーツベットの特別カテゴリ，この種類のカジノシークレットスポーツベットを処理するには、カジノシークレットスポーツベット主体の明示的な同意が必要です。しかし，CLEARVIEW AI カジノシークレットスポーツベットベース内の画像のカジノシークレットスポーツベット主体は、自分の画像が収集され、ソフトウェアで使用されていることを認識していませんでした，これらの画像のカジノシークレットスポーツベット主体は、自分たちの画像が企業によって処理され、顔認識システムで使用されることを合理的に予測できませんでした，法執行目的の実施。したがって、CNIL は CLEARVIEW AI を使用して GDPR 第 6 条に違反します。カジノシークレットスポーツベット処理には法的根拠が必要です (明示的な同意を含む)。、正当な利益など) および GDPR 第 12 条の違反、15 アイテム、第 17 条に基づく規定，カジノシークレットスポーツベット主体の権利、特にアクセス権は効果的かつ満足のいく形で保証されていません，そして彼らを罰してください。CLEARVIEW AI はカジノシークレットスポーツベット主体によるアクセス権の行使を制限，制限付きアクセスは、申請が行われる前 12 か月以内に収集されたカジノシークレットスポーツベットに対するものです，法的根拠なしに権利の行使を年に 2 回に制限します，同じ人から多数のリクエストを受け取った場合は、部分的なリクエストにのみ応答します，カジノシークレットスポーツベット主体の削除要求に対する対応は非常に非効率的です。CNILが調査中， CLEARVIEW AI の調整が低い，少数のアンケートにのみ回答，CNILが発行した公式通知に対しては何の返答もしていない，GDPR 第 31 条に基づく，カジノシークレットスポーツベット管理者は、カジノシークレットスポーツベット処理に関する監督当局からの問い合わせに協力する必要があります。だから，CLEARVIEW AI は GDPR 第 6 条に違反します、12 アイテム、15 アイテム、第 17 条および第 31 条の規定，2,000万ユーロの罰金を課す。

(5) 情報セキュリティを確保するための技術的および組織的対策の欠如

1.情報セキュリティを確保するための技術的および組織的対策

カジノシークレットスポーツベット管理者が情報セキュリティを確保するために技術的および組織的措置を講じるべきであるという規定は、主に GDPR の第 32 条「処理のセキュリティ」に反映されています、24 カジノシークレットスポーツベット管理者の責任、25 設計およびデフォルトによるカジノシークレットスポーツベット保護、28 カジノシークレットスポーツベットプロセッサプロセッサ。

カジノシークレットスポーツベット管理者は、情報セキュリティを確保するために技術的および組織的な対策を講じる必要があります，主に以下が含まれます: 個人カジノシークレットスポーツベットの匿名化と暗号化；処理システムとサービスの機密性を確保する、公平性、可用性と回復能力；物理的または技術的な障害が発生した場合，カジノシークレットスポーツベットの取得とアクセスを適時に復元できる；定期テストを作成、技術的および組織的対策の有効性を評価および評価するプロセス，カジノシークレットスポーツベット処理のセキュリティを確保するため；デフォルト，特定の処理目的に必要な個人カジノシークレットスポーツベットのみが処理されます；セキュリティを評価する場合，取り扱いによってもたらされるリスクを考慮する必要があります，特に個人カジノシークレットスポーツベットの転送において、保管中または取り扱い中に発生する可能性のある偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスのリスク。企業は行動規範を確立したり、認証を実施したりできる，法的義務を果たしたことを証明してください。

2. マリオットインターナショナル, 株式会社のカジノシークレットスポーツベット漏洩事件

2018 年 11 月，マリオットインターナショナルは、スターウッドホテルの部屋予約システムのカジノシークレットスポーツベット侵害を公表。このイベントの結果は 3.39 億のホテル顧客情報 (名前を含む)、メールアドレス、電話番号、パスポート番号、旅程情報など) がハッカーによって盗まれました，欧州経済領域 (EEA) 31 か国の 3,000 万人の住民が参加，英国居住者 700 万人を含む。マリオットインターナショナルは、2016 年 9 月にスターウッドホテルを買収。英国規制当局 ICO の調査による，ハッカー攻撃によるスターウッドホテルの客室予約システムのカジノシークレットスポーツベット脆弱性は 2014 年 7 月から存在していました，この脆弱性は 2018 年まで発見されませんでした。

ICO はマリオットインターナショナルがカジノシークレットスポーツベットを扱っていると考えています，個人カジノシークレットスポーツベットのセキュリティを確保するための基本的かつ組織的な措置を講じていない，カジノシークレットスポーツベットへの不正アクセスから保護するため、違法な処理と偶発的な損失、破壊、損傷など，したがって、GDPR 第 15 条(1)(f) および第 32 条のセキュリティ義務に違反します。GDPR 第 5 条(1)(f) に基づく ICO、第 5 条(2)、第 24 条、第 28 条、第 29 条、第 32 条、第 83 条，2020 年 10 月 30 日にマリオットインターナショナルに 2 つ乗りました.045 億ユーロの罰金。

最後に，この事件の管轄区域について話しましょう，マリオットインターナショナルは国際的なホテルチェーンです，米国の事業本部。マリオットインターナショナルは、GDPR 第 4 条 (16) に従っていることを確認します，マリオットホテルは、欧州連合に設立されたマリオットの主要機関です，したがって、GDPR の規定がこのケースに適用される必要があります，GDPR の第 3 条 (1) に従い、この規則は、EU 内の管理者または処理者の事業所の活動に関連した個人カジノシークレットスポーツベットの処理に適用されます, 処理が連合内で行われるかどうかに関係なく，マリオットインターナショナルのカジノシークレットスポーツベット侵害事件は GDPR の対象となるべき。また，この事件には、欧州経済領域 (EEA) 31 か国の 3,000 万人の住民が関与しています，英国居住者 700 万人を含む，したがって、この件で漏洩したカジノシークレットスポーツベット主体は欧州経済領域の居住者であり、注意が原則です，GDPR の規定も適用されます，第 3 条 (2) に基づく「この規則は、連合内に設置されていない管理者または処理者による連合内にいるカジノシークレットスポーツベット主体の個人カジノシークレットスポーツベットの処理に適用されます」。

3. 企業カジノシークレットスポーツベットのコンプライアンスに関する提案

GDPR チェックリストによる，法執行機関の複合事件，著者は、企業が完全なカジノシークレットスポーツベットコンプライアンスシステムを確立することを推奨します。企業は 4 つの側面からカジノシークレットスポーツベットコンプライアンスシステムを構築する必要があります，カジノシークレットスポーツベット処理の合法性と透明性の根拠を含む、カジノシークレットスポーツベットセキュリティ、責任と管理、プライバシー。

(1) カジノシークレットスポーツベット処理の合法性の根拠と透明性

企業はまず、処理するカジノシークレットスポーツベットを監査する必要があります，処理されるカジノシークレットスポーツベットの種類を明確にするため，このカジノシークレットスポーツベットにアクセスできるのは誰ですか；銀行口座などの機密性の高いカジノシークレットスポーツベットの場合、パスポート番号などは暗号化されています，特殊な種類のカジノシークレットスポーツベットの場合，カジノシークレットスポーツベット主体の明示的な同意が必要です。カジノシークレットスポーツベット主体のアクセス権は保証されるべきです，社内の誰がこのカジノシークレットスポーツベットにアクセスできるかを表示，第三者はこのカジノシークレットスポーツベットにアクセスできますか(所在地)，カジノシークレットスポーツベットの処理に関与していない人がカジノシークレットスポーツベットにアクセスできないようにする，たとえば、カジノシークレットスポーツベットにアクセスするための申請者の認証。

カジノシークレットスポーツベット処理には法的根拠が必要，カジノシークレットスポーツベット主体の有効な同意が得られた場合，企業はカジノシークレットスポーツベット主体に同意を求める際に不当な条件を設定してはならないことに注意してください，サービスまたは処理目的に関係のない一部の非必須カジノシークレットスポーツベットの収集にユーザーが同意することを要求できない場合；ユーザーの同意を得る場合，同意が明確かつ具体的であることを確認する必要があります，つまり、さまざまな処理動作に対して対応する同意を取得する，「包括的」認可の禁止。カジノシークレットスポーツベット処理と法的根拠について、会社のプライバシーポリシーに明確な情報を記載します。カジノシークレットスポーツベット処理の目的を確認する必要があります，カジノシークレットスポーツベットは、カジノシークレットスポーツベット主体が認識し同意した目的に従ってのみ処理される場合があります；この目的を超えた場合，カジノシークレットスポーツベット主体の同意を再度取得する必要があります。削除予定、カジノシークレットスポーツベットを監査する時点。

(2) カジノシークレットスポーツベットセキュリティ

1. カジノシークレットスポーツベットは常に保護されなければなりません，製品開発からあらゆるカジノシークレットスポーツベット処理まで，誰もがカジノシークレットスポーツベット保護の概念を実装する必要があります；カジノシークレットスポーツベットのセキュリティと機密性を保護するために技術的手段を利用する，可能な限り個人カジノシークレットスポーツベットを暗号化する、匿名、名前の削除およびその他の措置；カジノシークレットスポーツベットのセキュリティと機密性を保護するために組織的な措置を活用する，収集されるカジノシークレットスポーツベットの量を制限する方法，不要になったカジノシークレットスポーツベットは削除します；定期テストを作成、評価プロセス，システムセキュリティについて詳しく説明します、効果的な保護措置；チーム内で保護ポリシーを作成する，カジノシークレットスポーツベット保護に対する正しい認識を養う；カジノシークレットスポーツベット保護の影響評価をいつ実施すべきかを知る，評価の意思決定手順と評価手順を策定します；GDPR 第 33 条に従い、カジノシークレットスポーツベット侵害が発生した場合は監督当局とカジノシークレットスポーツベット主体に通知する必要があります，管制官はそれに気づいたら直ちに，遅くとも 72 時間以内，カジノシークレットスポーツベット侵害を規制当局に通知；GDPR 第 34 条に準拠，漏洩がカジノシークレットスポーツベット主体に大きなリスクをもたらす場合，カジノシークレットスポーツベット侵害についてはカジノシークレットスポーツベット主体に速やかに通知する必要があります。

マリオットのカジノシークレットスポーツベット侵害と同様，ICO、カジノシークレットスポーツベット処理における重大な誤りを指摘: 侵害を検出したであろう特権アカウントの監視が不十分; カジノシークレットスポーツベットベースの監視が不十分; サーバーの脆弱性を軽減するための措置を講じなかった（カジノシークレットスポーツベットベースの主要な部分へのアクセスが制限される可能性がありました）；一方，ICO はマリオットが講じた有益な措置を認めます， (i) 多数の言語でオーダーメイドのインシデント Web サイトを作成する, (ii) カジノシークレットスポーツベット主体に通知メールを送信, (iii) 専用コールセンターの設置, および (iv) 影響を受けるカジノシークレットスポーツベット主体に Web モニタリングを提供する.

(3) 責任と管理

GDPR 準拠の責任者として特定の担当者を指名する；第三者がお客様に代わってカジノシークレットスポーツベットを処理する必要がある場合，第三者とカジノシークレットスポーツベット処理契約に署名する必要があります，署名された契約は、GDPR の関連規定に違反してはなりません；カジノシークレットスポーツベット管理者が EU 外に設立されている場合，EU 内の加盟国には代表者が任命されるものとする；必要な場合，その後、カジノシークレットスポーツベット保護責任者が任命されます，カジノシークレットスポーツベット保護責任者には、会社のカジノシークレットスポーツベット保護ポリシーとその実装を評価する権限が与えられる必要があります。

(4) プライバシー (カジノシークレットスポーツベット主体の権利)

プライバシー権は次のようにする必要があります: ユーザー/顧客 (以下、ユーザー) がカジノシークレットスポーツベット主体です，リクエストを行って、会社が顧客に関して保有しているすべてのカジノシークレットスポーツベットを受け取るのは簡単です；ユーザーによる簡単な変更、不正確または不完全なカジノシークレットスポーツベットを更新中；ユーザーは個人カジノシークレットスポーツベットの削除をリクエストするのが簡単；ユーザーが企業に個人カジノシークレットスポーツベットの処理を停止するよう求めるのは簡単；ユーザーは自分の個人カジノシークレットスポーツベットのコピーを簡単に受け取ることができます，このカジノシークレットスポーツベットフォームは別の会社に簡単に転送できます；ユーザーが企業による個人カジノシークレットスポーツベットの処理に反対するのは簡単です；会社が個人カジノシークレットスポーツベットの処理を自動化することを決定した場合，被験者の権利を保護するための手順を確立する必要があります。カジノシークレットスポーツベットを要求している主体の身元が確認できることを確認してください；これらのリクエストには 1 か月以内に応答する必要があります。

ユーザーは、会社が保持する自分の個人カジノシークレットスポーツベットを知る権利を有します，そして会社がカジノシークレットスポーツベットをどのように使用するかを知る権利。ユーザーは、会社がこのカジノシークレットスポーツベットをどのくらいの期間保管する予定であるかを知る権利があります，賞味期限の理由もわかります。企業がユーザーに提供する最初のカジノシークレットスポーツベットは無料であるべき，今後提供されるカジノシークレットスポーツベットには相応の料金が請求される可能性があります。ユーザーはカジノシークレットスポーツベット処理の目的を知る権利があります、カジノシークレットスポーツベット受信機または受信機の種類、監督当局に苦情を申し立てる権利、カジノシークレットスポーツベット管理者とその連絡先詳細、カジノシークレットスポーツベット処理の法的根拠など。

また，企業は合併と買収の文脈におけるカジノシークレットスポーツベット共有の重要性に注意を払う必要があります，それを潜在的な「優先事項」として考えてください。対象会社のビジネスがカジノシークレットスポーツベットに関係する限り，カジノシークレットスポーツベットコンプライアンスのデューデリジェンスは、他の企業資産に対するデューデリジェンスと同じレベルで重要視されるべきです，GDPR への準拠，将来、カジノシークレットスポーツベット侵害によって企業に引き起こされる多大な損失を避けるため。

注:

[1] カジノシークレットスポーツベットは GDPR Enforcement Tracker から取得されています https://www.執行追跡者.com/

[2] 分類の根拠は、GDPR 施行トラッカーの施行ケースの (ペナルティ) タイプに基づいています，それぞれの事件で複数の法律違反があったため，処罰の対象となる条項は数多くあります，罰則の範囲を超えているものもあります，この罰金タイプは、罰則の中核規定に基づいて規制当局によってのみ定義されています。カジノシークレットスポーツベット主体の権利の不履行および適切性を通知する義務の不履行に対する処罰の根拠，法制度は独立したものではない，ただし、1 つの体の 2 つの側面，前者はカジノシークレットスポーツベット主体の権利に重点を置いています，後者は、カジノシークレットスポーツベット主体の権利を実現するためにカジノシークレットスポーツベット管理者が果たすべき義務に重点を置いています。

[3] この分類は GDPR 構造設定により重点を置いています，それぞれの事件で複数の法律違反があったため，処罰の対象となる条項は数多くあります，罰則の範囲を超えているものもあります，規制当局によって与えられた訴訟の罰則の種類で引用されている条件のみに従って分割された場合，あまり科学的ではありません，誤解を招く。

[4] 100 万ユーロを超える罰金を科せられた法執行訴訟では、合計 28 の条項が引用されている，図には 14 個の用語が示されています，引用数 86.9%；図に示されている 14 の用語に加えて，アートとして引用数順に並べられた記事が他に 14 件あります. 7，アート. 30，アート. 22，アート. 33，アート. 82，アート. 16，アート. 26，アート. 27，アート. 29，アート. 31，アート. 37，アート. 10，アート. 34，アート. 48，割合 13.1%。

この記事の著者: 上海神豪法律事務所弁護士チェン・ライメイ