オランダの法律 顧客データの保管には双方向のアプローチを採用しています。 財務書類などの事業記録は税法に基づいて少なくとも7年間保存する必要があるが、個人データは GDPR 本来の目的に必要な期間を超えて保管してはならない。
これにより、法的義務の遵守とプライバシー権の尊重の間で慎重なバランスが保たれます。
多くの組織は、さまざまな種類の顧客情報を合法的にどれくらいの期間保管できるかを正確に把握するのに苦労しています。そのルールは、財務記録、従業員データ、あるいは一般的な顧客情報など、扱う情報によって異なります。
一部の保存期間は特定の法律によって定められていますが、その他の保存期間はビジネスニーズに基づいて合理的な決定を下す必要があります。
このガイドでは、オランダにおけるデータ保持を管理する法的枠組みについて説明し、組織に適切な保持スケジュールを決定する方法を示します。
さまざまなデータ タイプに関する法定要件、データ削除を適切に管理する方法、顧客が情報に関して持つ権利について学習します。
オランダ法におけるデータ保持の基本原則
オランダ語 法律 顧客データを保持する際には、データを本来の目的にのみ保持すること、必要最小限のデータを収集すること、保持に関する決定を明確に文書化することという 3 つの主要原則に従う必要があります。
個人データ処理における目的の制限
個人データは、収集した特定の目的のためにのみ保持できます。 顧客情報 注文を処理するために、その目的のために別途同意を得ない限り、そのデータをマーケティング目的で無期限に保持することはできません。
GDPRでは、データ収集前に明確な目的を定義することが義務付けられています。その目的が終了すると、 法的根拠 保持も終了します。
例えば、顧客との取引を完了し、 法定留保 期間が終了したら、別の正当な目的がない限り、データを削除する必要があります。
有効な法的根拠なしに古いデータを再利用することはできません。事業状況の変化により、既存の顧客データを新たな目的で使用したい場合は、それが当初の収集目的に準拠しているかどうかを評価するか、新たな同意を得る必要があります。
データの最小化と必要性
目的を達成するために必要な最小限の個人データのみを収集・保管する必要があります。つまり、「後で役に立つかもしれないから」という理由で顧客情報を保管しておくことはできません。
オランダの税法では、財務記録を7年間保管することが義務付けられています。ただし、これはすべての顧客情報を7年間保管できるという意味ではありません。
法律で保管が義務付けられている情報と、他の目的で収集した情報を区別する必要があります。
オランダデータ保護局は、保存されているデータを定期的に確認することを求めています。ご自身に問いかけてみてください。この情報はまだ必要ですか?個人を特定できる形で保管するのではなく、匿名化することはできますか?
答えが「いいえ」の場合、データを削除するか匿名化する必要があります。
透明性と説明責任
あなたは、 保存期間 また、それらを選択した理由も説明してください。オランダデータ保護局はこれらの情報提供を要求し、あなたの決定が合理的かどうかを評価します。
プライバシーステートメントでは、顧客のデータをどれくらいの期間保管するかを明確に伝える必要があります。保管期間が終了した場合、または情報が不要になった場合は、顧客には削除を要求する権利があります。
プライバシーポリシーには、明確な根拠とともに保存期間を記載する必要があります。これにより、監査時に保護され、顧客があなたのポリシーを理解しやすくなります。 データプラクティス.
顧客がデータの保存期間が長すぎると考える場合は、オランダのデータ保護局に苦情を申し立てることができます。
保存期間を規定する法的枠組み
オランダにおけるデータ保持の法的枠組みは、欧州法と国内法を組み合わせたもので、GDPR が基礎を設定し、オランダの法律が特定の要件を追加しています。
Autoriteit Persoonsgegevens はコンプライアンスを監督する一方、企業は法的義務とのバランスを取る必要があります。 データ保護 原則。
GDPRとオランダ実施法
オランダにおけるデータ保持の主な法的根拠は、一般データ保護規則(GDPR)です。GDPRでは、顧客データの具体的な保持期間は規定されていません。
代わりに、個人データを処理する目的に必要な期間を超えて個人データを保持してはならないという原則を定めています。
オランダデータ保護法(DGIA)は、GDPRを国家レベルで施行するものです。この法律はGDPRと連携して、個人データの取り扱い方法を規定します。
集団データ保護法 (Verzamelwet Gegevensbescherming) は最近、現在のプライバシー基準との整合性を確保するため、DGIA および関連するデータ保護法を改正しました。
あなたの プライバシーポリシー 保管期間を文書化し、その期間を選択した理由を明記する必要があります。また、 データ主体 プライバシー ポリシーで、データの保存期間について規定します。
オランダのデータ保護当局の役割
オランダの個人情報保護当局(AP)は、データ保持要件を施行する機関です。APは、データ保持期間が処理目的に合理かつ必要かどうかを評価します。
APがデータ処理方法を調査する際、保管期間の正当性を証明する書類を提出する必要があります。APは、正当な理由に基づき、個人データを可能な限り短期間保管しているかどうかを評価します。
保存期間が経過してもデータが削除されない場合、個人はAPに苦情を申し立てることができます。APはこれらの苦情を調査し、データ保護法に違反した場合には強制措置を講じる権限を有します。
法定保持義務と自己決定保持義務
オランダ法では、法定の強制的な保存期間と、お客様が独自に決定する保存期間が区別されています。特定の法令によりより長い保存期間が求められる場合、法定の保存期間はGDPRの原則よりも優先されます。
財務記録 オランダの税法に基づき、7年間保存する必要があります。この要件は、GDPRの最小化原則に関係なく適用されます。
従業員データには、情報の種類と目的に応じて、必須の保存期間が異なります。
法定要件のない顧客データについては、処理目的に基づいて適切な保持期間を決定します。未払い請求書の監視、契約の履行、その他の正当なビジネスニーズのために、データがどのくらいの期間必要かを考慮する必要があります。
業界団体は、業界内の一般的な保存期間を概説した行動規範を通じてガイダンスを提供する場合があります。
適切な保管スケジュールの決定
保持期間の設定には、法的義務、運用上のニーズ、GDPRの要件を慎重に評価する必要があります。ビジネス目的を満たすのに十分な期間データを保持しつつ、必要以上に長く保持しないようにバランスを取る必要があります。
合法的な目的と期間の評価
各保持期間を、データを収集した目的に直接関連付ける必要があります。GDPR の目的制限の原則により、顧客データを無期限に保持することはできません。
本来の目的を達成するために、その情報が本当にどれくらいの期間必要かを自問してください。
オランダの税法では、財務記録は通常7年間の保管が義務付けられています。ただし、マーケティング目的のみに使用される顧客連絡先情報は、1~2年しか保存されない場合があります。
各データ カテゴリを個別に評価する必要があります。
法的手続きにより、より長期間の保管が必要になる可能性を検討してください。顧客との紛争が継続中の場合は、問題が解決するまで関連データを保管する必要があるかもしれません。
ただし、目的の期限が切れた場合は、情報を削除するか匿名化する必要があります。
業界団体によっては、特定の業界向けに推奨される保管スケジュールを公開している場合があります。これらのガイドラインは、同業他社が妥当と考える保管スケジュールを判断するのに役立ちます。
オランダのデータ保護当局は、選択した期間が明示された目的に比例しているかどうかを評価します。
ポリシーにおける保持の文書化
保存期間を記録し、その期間を選択した理由を説明する必要があります。この文書は、オランダのデータ保護当局からデータの保存期間に関する質問を受けた場合、お客様を保護するためのものです。
処理する顧客データの種類ごとに特定の期間を含めます。
社内のデータ保持ポリシーには、すべてのデータカテゴリとそれに対応する保持期間を記載する必要があります。例:
| Data Type | 保持期間 | Legal Basis |
|---|---|---|
| 請求書記録 | 創業7周年 | 税法 |
| お客様の連絡先詳細 | 最終購入から2年後 | 正当な関心 |
| マーケティング同意記録 | 同意の有効期間+1年 | 法的義務 |
プライバシーステートメントでは、データ主体に対し、情報の保管期間について明確に伝える必要があります。顧客が理解しやすい明確な言葉遣いを心がけてください。
「必要な限り」のような漠然とした表現は、GDPR の透明性要件を満たしません。
運用、法務、ビジネスニーズのバランス
保存スケジュールを設定する際には、相反する要求に直面します。運用効率の観点から、すべてのデータを永続的に保存し、簡単にアクセスできるようにすることが望ましい場合があります。
ただし、GDPR では可能な限り短い保存期間が要求されます。
法的義務により、無視できない最低保管期間が定められています。税務記録は、お客様のご希望に関わらず7年間保管する必要があります。
雇用関連データには特定の規則があり、ほとんどの人事情報は雇用終了後 2 年間に制限されています。
ビジネスニーズによっては、直接的な目的を超えてデータを保持することが正当化される場合があります。返品や保証請求に対応するために、購入履歴を保存することも考えられます。
未払いの請求書は監視する必要があり、支払いが行われるまで関連する顧客データを保持する必要があります。
データ主体は、その情報が不要になった場合、または法定期間が終了した場合に削除を要求することができます。
保存されたデータは定期的に確認し、保存期間を過ぎたものは削除する必要があります。自動削除システムを利用することで、手動による監視を必要とせず、コンプライアンスを確保できます。
データの種類別の法定保存期間の概要
オランダ法では、ビジネスデータの種類ごとに特定の最低保存期間が定められています。税法では、ほとんどの財務記録について7年間の保存期間が定められていますが、雇用データと医療データはそれぞれ独自の期限を持つ別の法的枠組みに従っています。
財務および税務記録
オランダの税法では、ほとんどの財務記録を7年間保管することが義務付けられています。この保管義務は、売買記録、請求書、銀行取引明細書、年次決算書に適用されます。
7 年間の期間は、記録が作成された会計年度の末から始まります。
クレジットカードとデビットカードもこの7年間の要件の対象となります。これには、元帳、仕訳帳、および事業取引を証明する関連書類が含まれます。
日常業務に必要なくなった場合でも、保存期間が終了する前にこれらのレコードを削除または破棄することはできません。
レジ記録とPOSデータも同様に7年間保存する必要があります。税務当局は監査や調査の際にこれらの文書の提出を要求する場合があります。
適切な記録を保持しなかった場合、オランダの税務署から罰金または罰則が科せられる可能性があります。
人事と従業員データ
従業員の給与記録は、雇用終了後7年間保管する必要があります。これには、給与明細書、納税申告書、年金拠出金が含まれます。
これらの書類は、税務上の目的や、賃金や給付金に関する潜在的な紛争のために必要になります。
人事ファイルは、データの種類によって要件が異なります。契約書や求人応募書類などの基本的な雇用記録は、退職後2年間保管する必要があります。
診断書と 病気休暇記録 通常 2 年後には、より早く破棄されることもあります。
業績評価や懲戒記録は、保管期間が短くなります。これらの記録は、業績評価や懲戒記録に関連する期間のみ保管してください。 雇用関係.
従業員が退職した場合、法的訴訟が進行中でない限り、通常は 1 ~ 2 年以内にこれらを削除できます。
ヘルスケアと医療ファイル
オランダの医療法では、医療記録は少なくとも20年間保管することが義務付けられています。この長期保管期間は、過去の治療について疑問が生じた場合に、患者と医療提供者の両方を保護するものです。
未成年者に関する記録など、一部の記録はさらに長期間保存する必要がある場合があります。
患者ファイルには、診断情報、治療計画、検査結果、通信などが含まれます。これらは安全に保管し、許可されたスタッフのみがアクセスできるようにする必要があります。
保存期間が終了したら、不正アクセスを防ぐ方法で記録を破棄する必要があります。
薬局は処方箋記録についても同様の規則に従います。投薬履歴を追跡し、ミスを防ぐため、処方箋記録は15年間保管する必要があります。
医療に関連する保険金請求や請求書記録も、長期間の保管が必要です。
教育および法律文書
教育機関は、文書の種類に応じて一定期間、学生の記録を保管しなければなりません。卒業証書や学位記は公文書法の対象となり、永久に保管する必要があります。
これらの記録は資格を証明するものであり、元の学生が複製を要求することを可能にします。
試験結果と成績は、学生が学業を修了してから少なくとも2年間は保管する必要があります。コース登録と出席記録は通常、学年度終了後1~2年程度と、より短い期間で保管する必要があります。
契約書や合意書などの法的文書は、契約期間に加えて7年間保管する必要があります。裁判所の文書や 弁護士 法的手続きが進行中の間、およびその後少なくとも 20 年間は保持する必要があります。
公正証書は正式な法的証明となるため、永久に保管する必要があります。
データの削除と破壊の管理
保存期間が終了したら、システムから個人データを積極的に削除する必要があります。オランダの法律では、保存期間が経過してもデータを保存しなければならない状況を考慮しつつ、データの削除方法に細心の注意を払い、破棄方法を適切に文書化することが義務付けられています。
削除準備が整ったデータの特定
保存されている顧客データを定期的に確認し、どの情報が保存期間の終了に達したかを特定する必要があります。様々なカテゴリーのデータがいつ収集され、いつ削除対象になったかを追跡するシステムを構築しましょう。
これには、顧客記録、通信、取引の詳細、マーケティングの好みなどが含まれる可能性があります。データベースとファイリングシステムを少なくとも四半期ごとにチェックするスケジュールを作成してください。
多くの組織では、削除日が近づいているデータにフラグを付けたり、保存期間の終了時にアラートを送信したりする自動ツールを使用しています。バックアップサーバーやアーカイブファイルなど、システム全体にわたって顧客データがどこに保存されているかを明確に把握しておく必要があります。
データ処理チームは、異なるデータタイプに適用される保存期間を理解する必要があります。オランダの税法では財務記録は7年間の保存が義務付けられていますが、マーケティング同意データは、関係が継続している間のみ保存が必要となる場合があります。
オランダのデータ保護当局がコンプライアンスを検証できるように、レビュー プロセスを文書化します。
安全でコンプライアンスに準拠した破壊方法
個人データは、復元不可能な方法で破棄する必要があります。単にファイルをごみ箱に移動したり、データベースのエントリを削除したりするだけでは、オランダの法的要件を満たしません。
デジタルデータの場合は、情報を複数回上書きする安全な削除ソフトウェアを使用するか、ストレージデバイスを物理的に破壊してください。顧客データを含む紙の記録は、クロスカットまたはマイクロカットシュレッダーで裁断する必要があります。
顧客情報を通常のゴミ箱に捨てないでください。大量のデータの場合は、破壊証明書を発行する認定破壊サービスのご利用をご検討ください。
適切な破壊方法は次のとおりです。
- デジタルファイルの安全な削除ソフトウェア
- ハードドライブおよびストレージメディアの物理的な破壊
- 紙文書のクロスカットシュレッディング
- 磁気記憶装置の消磁
- 認定された第三者による破壊サービス(文書付き)
データをいつ、どのように破棄したかを記録してください。オランダデータ保護局は、保存期間終了後に顧客情報を適切に削除したことを証明するよう求める場合があります。
例外と法的保留の処理
保存期間が過ぎてもデータを削除できない場合があります。法的手続き、進行中の調査、係争中の紛争などにより、問題が解決するまで関連する顧客データを保存する必要がある場合もあります。
実装する必要があります 法的保留プロセス 影響を受けるデータについて、通常の削除スケジュールを一時停止します。各法的保留について、削除できないデータとその理由を具体的に記載して文書化してください。
保留が開始されたら、データ処理チームに直ちに通知し、必要な情報を誤って破棄しないよう注意してください。有効な保留を定期的に確認し、法的根拠が終了した場合は速やかに解除してください。
顧客からの苦情や規制当局からの問い合わせも一時停止 削除要件オランダのデータ保護当局に組織に関する苦情が申し立てられた場合、当局が問題を解決するまでそのデータを保持する必要があります。
特定のデータが通常の期間を超えてシステム内に残っている理由を明確に記録しながら、これらの例外と、より広範なデータ保持ポリシーのバランスをとってください。
データ主体の権利と組織のコンプライアンス
GDPRに基づき、データを処理する個人には特定の権利があり、その要求には定められた期限内に応じる必要があります。また、組織は適切な文書を保管し、GDPR(欧州個人データ保護庁)が定める監督要件を遵守する必要があります。
消去権とデータ主体の要求
データ主体は、保持期間が終了した場合、または当初の目的において情報が不要になった場合、個人データの削除を要求することができます。これらの削除要求には、受領後1ヶ月以内に応答する必要があります。
要求を拒否する場合は、データ主体にその理由を説明する必要があります。また、要求されたデータを削除しない場合は、オランダデータ保護局に苦情を申し立てることもできます。
データ主体は、個人情報が長期間保持されていると考える場合、異議を申し立てる権利を有します。処理が面倒だからといって、これらの要求を無視することはできません。
組織は、データ主体からの要求を処理するための明確なプロセスを確立する必要があります。これには、要求者の身元確認や、法定の保持期間が引き続き適用されるかどうかを確認することが含まれます。
GDPR への準拠を証明するには、すべてのリクエストと応答を文書化する必要があります。
保持慣行を通じてGDPRコンプライアンスを確保する
保存期間を記録し、特定の期間を選択した理由を説明する必要があります。この情報をプライバシーポリシーに記載しておけば、個人情報保護庁(Autoriteit Persoonsgegevens)から問い合わせがあった際に、その理由を示すことができます。
当局は、保管期間が合理的かつ可能な限り短いかどうかを評価します。プライバシーステートメントには、さまざまな種類の個人データを保管する期間を明確に記載する必要があります。
この透明性は、データ主体があなたの慣行を理解するのに役立ちます。また、保存されている個人データを定期的に確認し、保存期間を過ぎた情報を特定する必要があります。
保存期間が終了したら、データを安全に破棄するか、完全に匿名化する必要があります。医療データなどの機密情報の場合は、安全な破棄方法を使用する必要があります。
デジタル システムは、コンプライアンスを維持するために、事前に決められた時間にデータを自動的に削除できます。
当局による報告と監督
英国個人情報保護庁(Autoriteit Persoonsgegevens)は、組織がデータ保持に関するGDPRの要件を遵守しているかどうかを監視します。組織は、データの保持方法を調査し、保持期間と削除手順に関する文書の提出を求めることができます。
お客様は、これらの機関の調査に協力し、要求された情報を提供する義務があります。個人データに関するデータ侵害が発生した場合は、72時間以内にオランダデータ保護局に報告する必要があります。
侵害がデータ主体の権利と自由に重大なリスクをもたらす場合、影響を受けるデータ主体に直接通知する必要があります。これには、差別、詐欺、金銭的損害、評判の毀損などのリスクが含まれます。
業界団体が、業界における標準的な保管期間に関するガイダンスを提供している場合があります。業界標準に従うことで、 コンプライアンスへの取り組み.
ただし、お客様の特定の状況と法的義務に基づいて適切な保持期間を決定する責任はお客様に残ります。
よくある質問
オランダの法律では、企業は以下の義務的保存期間のバランスをとることを義務付けている。 業務記録 GDPRでは、個人データの保存期間に上限が設けられています。財務記録は通常7年間保存する必要がありますが、個人データは本来の目的に必要な期間のみ保存する必要があります。
オランダで顧客データを保存するための法的要件は何ですか?
顧客データを保管する際には、オランダの事業記録要件とGDPR規制の両方に準拠する必要があります。財務情報を含む事業記録は、税法により7年間の保管期間が定められています。
不動産に関する記録は少なくとも10年間保管する必要があります。GDPRでは、個人データの処理には法的根拠が必要です。
顧客データは、収集した目的に必要な期間のみ保管する必要があります。オランダデータ保護局は、お客様ご自身の状況とビジネスニーズに基づいて適切な保管期間を決定することを期待しています。
保存期間を文書化し、その期間を選択した理由を説明する必要があります。この情報はプライバシーポリシーとプライバシーステートメントに記載し、顧客がデータの保存期間を理解できるようにする必要があります。
オランダのプライバシー規制では、企業はどのくらいの期間個人データを保持できますか?
GDPRでは、個人データの保存期間の上限は特に定められていません。適切な保存期間は、事業目的と法的義務に基づいて決定してください。
ただし、個人データを必要以上に長く保管することはできません。保管期間を決定する際には、いくつかの要素を考慮する必要があります。
税法などで定められた法定保存期間が適用されるかどうかを確認してください。データが本当に必要な期間を評価してください。 事業運営.
常に可能な限り短い保持期間を目指す必要があります。顧客からデータの削除を要求され、保持期間が過ぎた場合は、その情報を削除する必要があります。
唯一の例外は、特定の期間データを保持する法的義務がある場合です。
顧客情報を取り扱うオランダ企業のデータ保持義務について簡単に説明していただけますか?
オランダの税法では、事業記録を少なくとも7年間保管することが義務付けられています。これには、財務書類や事業取引に関連する記録が含まれます。
不動産関連データを取り扱う場合、その記録は10年間保管する必要があります。GDPRでは、個人データについては、必要以上に長期間保管してはいけません。
事業目的と法的要件に基づいて、必要な情報を決定します。保存期間を文書化し、プライバシーポリシーに含める必要があります。
保存されたデータは定期的に確認し、保存期間が終了したら削除する義務があります。また、プライバシーステートメントを通じて顧客に保存期間を通知する必要があります。
オランダで消費者データを合法的に保存できる最長期間はどれくらいですか?
GDPRでは、消費者データの保存期間に定められた上限はありません。保存期間は、データを収集した目的と適用される法定義務によって異なります。
正当な事業ニーズを満たす範囲で、可能な限り短い保存期間を設定する必要があります。税法で財務記録の保存期間が7年間と定められている場合は、そのデータを7年間保存できます。
この期間が経過すると、別の法的根拠がない限り、データを削除する必要があります。マーケティング目的やその他の義務的ではない用途の場合は、データが不要になる時期に応じて、より短い保持期間を設定する必要があります。
将来必要になるかもしれないという理由だけで、データを保管することを正当化することはできません。保管の目的は、現在および将来に明確である必要があります。
オランダでデータ保持制限に従わなかった場合、どのような結果になりますか?
オランダデータ保護局は、保持期間の制限を遵守していない場合、貴社を調査することがあります。保持期間が不合理または長すぎると当局が判断した場合、強制措置が取られる可能性があります。
これには罰金やデータ削除命令が含まれます。保存期間終了後もデータの削除を拒否された場合、顧客は当局に苦情を申し立てることができます。
個人情報が不要になった場合、個人情報の削除を要求する権利があります。正当な理由なくそのような要求を拒否した場合、次のようなリスクがあります。 規制上の罰則.
コンプライアンス違反は評判を損ない、 顧客の信頼データ権利を侵害した個人から民事訴訟を起こされる可能性があります。
オランダで保存期間が終了した後、顧客データを合法的に廃棄するプロセスの概要を説明していただけますか?
保有する個人データを定期的に確認し、保存期間が終了した情報を特定する必要があります。
データが不要になった場合、または保存期間が終了した場合は、速やかに破棄する必要があります。
統計目的でデータを保持したい場合は、データを破棄する代わりに匿名化することもできます。
個人データ、特に医療記録などの機密情報を破棄する場合には、適切な注意を払う必要があります。
デジタルデータの場合は、あらかじめ決められた時間に情報を自動的に削除するシステムを利用することができます。
物理的な記録には、不正アクセスを防ぐ安全な破棄方法が必要です。
全体的なデータ保護コンプライアンスの一環として、データ破棄プロセスを文書化する必要があります。
これは、オランダのデータ保護当局に対して、あなたが保持義務を真剣に受け止め、積極的に管理していることを示すものです。 データライフサイクル.
