一般データ保護規則(GDPR)では、データ管理者とは、個人データの取り扱いの目的と手段を決定する主体と定義されています。この観点から、Mailsuiteのユーザーは、サービスを通じて受信者に送信されるコミュニケーションに関する個人データの取り扱いについて、データ管理者にあたります。これは、収集するデータの種類、取り扱いの法的根拠、データを保存する期間といった取り扱いの重要な要素を決定するのがユーザー自身だからです。
この立場には、GDPRの基準への準拠を確保するため、個人データの取り扱いに関していくつかの義務が伴います。例えば以下の通りです。
- ユーザーは、個人データが適法かつ公正で透明性のある方法で取り扱われるようにする必要があります。これには、サービスを通じた受信者のデータの取り扱い(例:メールの開封確認データ)について受信者に通知すること、また、同意、契約上の必要性、正当な利益といった取り扱いの根拠となる法的基盤を特定し、文書化することが含まれます。
- ユーザーは、データ管理者として、サービスを通じて取り扱われる自身の個人データに関する権利を行使する受信者からの要求に対応する必要があります。これには、データへのアクセス権、不正確な内容の訂正権、データの削除権(忘れられる権利)、取り扱いの制限権、データポータビリティの権利が含まれます。ユーザーは、こうした要求に適切な期間内に対応できる体制を整えておく必要があります。
Mailsuiteは、GDPRにおける処理者として、ユーザーがデータ管理者としての義務を果たせるようサポートすることをお約束します。そのため、受信者から何らかの要求を受け取った場合、Mailsuiteは速やかにその要求を該当するユーザーに転送します。Mailsuiteでの受信者の権利管理について詳しく見る。