消費者データの安全性を維持するために、欧州連合(EU)は 一般データ保護規則 (GDPR)と呼ばれる厳格なプライバシーおよびセキュリティ法を導入しています。 GDPRは 、個人データに関するEU市民の権利を定義し、執行します。 GDPRは、そのデータの使用に関する説明責任、セキュリティ、透明性の基準を実装しています。

欧州連合で事業を営む、またはEUからの個人データを取り扱うグローバル企業は、 GDPRが彼らにどのように影響 するか、またGDPRコンプライアンスを維持する方法を理解する必要があります。

そのコンプライアンスの1つの側面は、 データ処理契約 (DPA)の実施です。  GDPRデータ処理契約は、データ処理活動に関連する詳細、規則、権利、および義務を 規定しています。 会社のコンプライアンスを確保し、データを保護し、消費者を保護し、満足させるのに役立ちます。

このガイドでは、DPAの仕組みとDPAに含める 内容について詳しく説明します。

GDPR に基づくDPAとは何ですか?

データ処理契約とは、データ管理者と データ処理者との間で締結 された、データ処理者のデータを取り扱う契約です。 完全なGDPRコンプライアンスのために必要です。

DPAは、行われる処理活動の性質、目的、期間を定めています。 また、処理する個人データの種類と、そのデータが属する個人のカテゴリも指定します。 管理者が有する権利と義務を定義します。 特定のレベルの暗号化など、実施する必要がある技術的なセキュリティ対策の使用を指定できます。

DPAは法的拘束力があり、データ管理者および処理者はそれに従わなければなりません。そうしないと、厳しい罰則が科せられる恐れがあります。

DPAの主な利点は、データ処理者の資格と信頼性を保証することです。 企業は、データが手の届くところにあり、プライベートであり、賭け目から安全であることを知る必要があります。 DPAは、これらの保証を提供するのに役立ちます。

GDPRとその DPA要件 は、将来、事業運営に大きな影響を与える可能性があります。 個人データの収集がますます制限され、データ収集と保管に関するコミュニケーションが不可欠となり、第三者ベンダーとの関係により厳格な契約が必要となるため、ビジネス取引は変わる可能性があります。 個々の企業とその人事部門は、GDPR要件に準拠するようにプロセスを調整する際に、大きな影響を感じます。

GDPR要件のアップサイドは、データのプライバシーと保護に対する自信が高まるにつれて、ビジネスに信頼が生まれる可能性があることです。

データ処理契約はいつ必要ですか?

データ処理契約は必要ですか?EU内で、またはEUから個人データを取り扱う場合、 行うことができます。

GDPRの下で は、個人または組織が共同サービスのために個人データを第三者サービスプロバイダーに提供する場合は常に、 DPA文書が義務付けられています。 データ処理者となる当事者は、 データ管理者とDPAに署名しなければなりません。

たとえば、EUでは、ウェブサイトをホストするサービスは、ウェブサイトが属する会社とDPAに署名する必要があります。 ターゲットを絞った消費者マーケティングを提供するために個人データを処理する企業も、DPAに署名する必要があります。

以下は、DPAを必要とするその他の一般的なビジネスサービスとシナリオです。

  • メール管理アウトソーシング
  • 財務会計および給与会計のための技術データ処理ソリューション
  • 物理サーバー経由またはクラウドでのデータバックアップサービス
  • 外部サービスプロバイダーによるデータ収集またはデジタル化
  • 機密データを含む古いハードウェアの廃棄

場合によっては、GDPRはヨーロッパ以外の企業 にDPAを要求することがあります。 この要件は、EUデータが関与する場合はいつでも適用されます。 たとえば、カナダに所在する企業は、EU市民に関するデータを取り扱う場合、DPA要件の対象となる場合があります。

DPAが不要なのはいつですか?

いくつかの特定のシナリオでは、DPAは必要ありません。 DPA保護が不要になる保護機能が組み込まれています。 このような状況で会社の義務をよりよく理解できるよう、以下の点を考慮してください。

  1. 守秘義務要件を持つ専門家グループとのパートナーシップ:多くの職業において、ベストプラクティスは、DPAが要求するすべてのセキュリティ対策とプライバシー要件をカバーする業界固有のカスタマイズされた守秘義務契約をサービスプロバイダーが持つことです。 これらの機密保持契約を一般的に使用する職業には、法律、税務コンサルティング、財務監査などがあります。 多くの医療サービスには、通常、独自の厳格な秘密保持保証も付帯しています。
  2. ポータル サービス: 人または事業体を接続するだけのサービスは、通常、DPA 要件から除外されます。 これらのプロのマッチメイキングサービスは非常に一時的であるため、DPAはほとんど利益がありません。 例えば、リクルーターはこのカテゴリーに分類されます。 彼らは単に仕事を探している人々を、才能ある新しいチームメンバーを探している企業と結びつけるだけです。 このシナリオでは、採用担当者とのDPAが不要になります。
  3. 債務回収機関との協力:債務回収機関は、個人の財務情報や医療情報にアクセスすることができます。 回収機関は元の債権者とは別個であり、自己の利益のために債務を回収するため、DPA要件は免除されます。 もし彼らが元の債権者のために働いていたら、回収機関はDPAに署名する必要があります。
  4. 複数の企業による共同データ管理:企業によっては、グループとしてデータコレクションを管理する場合があります。 このシナリオは、企業がサプライヤー、製品、またはセールスリードからのデータに共同でアクセスできる場合によく発生します。 企業は競合他社かもしれませんが、同じデータを同じ一般的な目的のために使用します。 このデータ使用量のスケールは、一般的にDPAが必須ではないことを意味します。
  5. 臨床試験: 大規模な医薬品臨床試験では、通常、DPAは使用されません。これは、多数の寄稿者が関与しているためです。 医師、研究センター、およびスポンサーは全員、被験者データにアクセスでき、ニーズに応じて処理が異なります。 収集されたデータは、治験全体を通して、一般的にさまざまな目的にも役立ちます。 このような状況下では、DPAは通常適用されない。

データ管理者とは?

すべてのDPA契約は、データ管理者とデータ処理者の間で行われます。 データ管理者は、個人データを処理する方法と理由を決定する組織または個人です。 貴社がサーバー上のバックアップのためにデータを第三者に送信することを決定した場合、貴社はデータ管理者となります。

データ管理者の特徴は、意思決定力です。 データ管理者は、データ収集の理由と個人データ の処理方法について包括的な判断を行います 。

ほとんどのシナリオでは、会社または組織はデータ管理者です。 データ処理者は、会社と契約する別の事業体です。 個人事業主や自営業者などの個人も、個人データの収集と処理に関する決定を行った場合、データ管理者となる場合があります。

データ処理者は誰ですか?

データ処理者は、データ管理者のデータを処理する第三者です。 上記のシナリオでは、バックアップのためにデータを送信することを会社が決定した場合、バックアップサービスを提供する会社がデータ処理者になります。

データ処理者は、さまざまな形態をとることができます。 会社、個人、または公的機関である場合があります。 関連する基準は、個人または事業体がデータ管理者に代わってデータを処理するかどうかです。

DPA文書には何が含まれていますか?

GDPR 28-36 の条項では、GDPR の  DPA 規則 に基づいてデータ処理者に義務付けられている契約上の義務が規定されています。 以下は、必要な DPA条項の一部です。

1. データ処理内容の徹底

DPAは、データ処理のあらゆる側面がどのように行われるかについて包括的な詳細を提供する必要があります。 DPAには、以下のようなトピックに関する明確な情報を含める必要があります。

  • 処理する個人データの種類
  • データの主題
  • データ主体のカテゴリ
  • 処理の目的と性質
  • データ処理の予想期間
  • 個人データ処理の法的根拠
  • 処理終了時の個人データの返却または削除

2. データ管理者および処理者の権利と責任

DPAは、両当事者の権利と責任を指定するにあたり、誰がデータ処理を管理するかを明確にします。

DPAは、データ処理者がデータ管理者の希望と仕様に従って処理を実行しなければならないことを明記する必要があります。 プロセッサではなく、コントローラがデータとその処理を完全に制御するように指定する必要があります。

DPAはデータ処理者に、データ管理者の直接の指示に従ってのみデータを処理するよう指示し、EU法または加盟国の法律が要求する場合にのみ、これらの指示から逸脱する必要があります。

3. データ処理者に求められる守秘義務措置

DPAは、個人データの機密性を確保するためにデータ処理者が従うべきプロトコルを指定する必要があります。

例えば、データ処理者は、個人データの処理を開始する前に、正社員、臨時社員、および下請業者に秘密保持契約に署名するよう義務付けなければなりません。秘密保持契約が不要になる 唯一の時間は、法定の義務がすでに処理者に秘密保持を保証することを義務付けている場合です。

4. 情報セキュリティに必要な技術的および組織的プロトコル

DPAは、データ処理者が実施しなければならないセキュリティ対策を概説する必要があります。これには、必要に応じて以下のような対策が含まれます。

  • データ暗号化
  • データ主体の仮名化
  • すべてのデータ処理システムのデータの機密性、可用性、回復力、セキュリティを確保するためのプロトコル
  • 攻撃または侵害後に個人データへのアクセスを復元するプロセス
  • すべてのセキュリティ対策の有効性をテストおよび評価するための定期的なプログラム

多くの加工業者は、正式な認証を取得したり、実装されたプロトコルを証明する公式の行動規範を作成したりしたいと思うかもしれません。 このような対策は、データ処理がGDPRに完全に準拠していることを保証します。

5. 下請け契約に関する条件

DPAは、データ処理者が下請業者に課す必要のある要件も概説する必要があります。 たとえば、処理者は、以下の規則とベストプラクティスを確実に遵守する必要があります。

  • データ管理者の明示的な同意と承認がある下請け業者のみを採用する
  • データ処理者自身が従わなければならないのと同じデータセキュリティ要件を下請業者に課す契約書の起草と署名
  • 下請業者によるデータ保護要件の遵守を徹底する
  • 下請け業者が関与する変更についてデータ管理者に通知し、管理者に回答する時間を与える

6. データ処理者の協力義務

DPAは、データ処理者がデータ管理者といつ、どのように協力する必要があるかを指定する必要があります。 たとえば、データ処理者は、データアクセスの要求を解決するために協力する必要があります。 また、処理者は、特に以下の要件を満たすことにより、データ主体のプライバシーと権利の保護に協力する必要があります。

  • 個人データのセキュリティの確保
  • 個人データ侵害について当局およびデータ主体に速やかに通知する
  • 必要に応じてデータ保護影響評価(DPIA)を実施する
  • 重大なデータリスクが発生した場合は、関係当局に相談する

また、データ処理者は、処理中にデータ管理者がコンプライアンス監査を実施できるようにする必要があります。 監査中、処理者は、GDPR28第条に基づくコンプライアンス義務を果たしたことを示すために、すべての関連情報を速やかに管理者に提供しなければなりません。

ベストプラクティスは、処理者が処理活動の記録を保持し、GDPRの遵守を実証することです。

DPAに基づくデータ侵害の後に何が起こるか?

データ侵害が発生した場合、関係する企業は具体的で即時の措置を講じる必要があります。 違反が重大なリスクをもたらす 場合、貴社は時間以内に関係監督当局 に通知する必要があります72

侵害が被害者に非常に高いリスクをもたらす場合、通常、会社もこれらの個人に通知する必要があります。 ただし、貴社がすでに有効な技術的および組織的なリスク軽減プロトコルを導入している場合は、通知を行う必要はありません。

たとえば、クレジットカード会社がデータを保存したサーバーへの攻撃によってデータ侵害に遭ったとします。 顧客の個人的な財務情報が漏洩している。 彼らの名前、住所、追加の連絡先情報、財務情報、クレジットカードで行った支払いの種類の詳細はすべて公開されています。

サーバーをホストしている会社は、72数時間以内に当局に違反を通知する必要があります。 また、クレジットカード会社にも通知する必要があります。

個人を特定できる情報が開示されるとリスクにさらされる可能性があるため、当社は消費者に知らせる必要があるでしょう。また、クレジットカードで医療支払いを行った場合、 消費者の機密かつ保護された健康情報の開示につながる可能性もあります。

GDPRの不遵守に対する罰則は何ですか? 

データ侵害が発生した場合、コンプライアンス違反が判明した会社は懲戒処分の対象となります。 違反の疑いは警告を受けるだけです。 コンプライアンス違反が確認されたインシデントは、以下の1つ以上の罰則の対象となる場合があります。

  1. 正式な叱責
  2. データ処理の一時的または恒久的な禁止
  3.  最高 100 万ユーロ、または当社の年間グローバル収益総額のパーセントの罰金204

Globalization Partnersでデータセキュリティの専門家をチームに採用する

データセキュリティに重点を置いた国際チームを構築する場合は、Globalization Partnersと協力してください。 当社の専門家チームは、貴社 に適用される データ処理契約規制の理解を支援します。

データ保護担当者やその他の法務専門家をチームに迎えることは、 DPAコンプライアンスを維持する上で不可欠です。グローバル記録の雇用者(EOR) として、Globalization Partners、成功に必要な国際的な人材を雇用し、支払いを行うのに役立ちます。 当社は、データのプライバシーを非常に真剣に受け止めており、貴社が国際的に事業を拡大する際に、現地の労働法を遵守し、機密情報を保護するお手伝いをいたします。

Globalization Partners では、採用プロセスの迅速化を支援します。 当社の フルスタックGlobal Employment Platformを使用すると、数回のクリックで新しいチームメンバーの採用とオンボーディングが可能になり、時間を節約し、国際企業の成長の課題に対するアプローチを合理化できます。

今すぐ提案をリクエスト するか、当社のプラットフォームを通じてデータセキュリティ専門家  の採用についてお問い合わせください。

 

これ読むのは楽しい?
連絡する