この記事は9分で読めます
G-Pは、業界をリードするGlobal Employment Platform™(グローバル雇用プラットフォーム)を使用して、数か月ではなく数日で高度なスキルを持つグローバルチームを創り上げることで、企業がその潜在能力を最大限に発揮できるよう支援します。しかし、至る所に存在する労働力をうまく連携させるにはどうすればよいのでしょうか?ここでは、私たちが皆で分かち合えるグローバルな成長と成功に向けたチャンスと課題について説明します。
G-P。Global Made Possible
消費者データを安全に保護するため、欧州連合(EU)は、一般データ保護規則(GDPR). GDPRは、個人データに関するEU市民の権利を定義し、執行します。 そのデータの使用における説明責任、セキュリティ、透明性の基準を導入しています。
欧州連合で事業を営む、またはEUからの個人データを取り扱うグローバル企業は、GDPRが彼らに与える影響GDPRコンプライアンスを維持する方法を説明します。
そのコンプライアンスの1つの側面は、データ処理契約(DPA)の実施です。GDPRデータ処理契約は、データ処理活動に関連する詳細、規則、権利、義務を定めています。会社のコンプライアンスを確保し、データを保護し、消費者を保護し、満足させるのに役立ちます。
このガイドでは、DPAの仕組みとDPAに含める内容について詳しく説明します。
GDPRに基づくDPAとは何ですか?
データ処理契約とは、データ管理者とデータ処理者との間で締結された契約で、データ処理者がデータを取り扱うものです。GDPRへの全面的な準拠に必要です。
DPAには、実施される処理活動の性質、目的、期間が記載されています。また、処理する個人データの種類と、そのデータが属する個人のカテゴリも指定します。管理者の権利と義務を定義します。所定のレベルの暗号化など、実施する必要がある技術的なセキュリティ対策の使用を指定できます。
DPAは法的拘束力があり、データ管理者と処理者はDPAに従わなければなりません。そうしないと、厳しい罰則を受ける恐れがあります。
DPAの主な利点は、データ処理者の資格と信頼性を保証することです。企業は、自分のデータが手の届くところにあり、プライバシーが守られ、目が奪われないように保護されていることを知る必要があります。DPAはこれらの保証を提供するのに役立ちます。
GDPRとそのDPA要件は、将来の事業運営に大きな影響を与える可能性があります。個人データの収集が制限され、データの収集と保存に関するコミュニケーションが不可欠となり、第三者ベンダーとの関係により厳格な契約が必要になるため、商取引は変わる可能性があります。 個々の企業とその人事部門は、GDPR要件に準拠するためにプロセスを適応させる際に、大きな影響を感じます。
GDPR要件の長所は、人々がデータプライバシーと保護に自信を持てるようになるにつれ、ビジネスにおいて信頼が高まる可能性があることです。
データ処理契約はいつ必要ですか?
データ処理契約が必要ですか? EU域内またはEU域内から個人データを取り扱う場合、お客様はその処理を行うことができます。
GDPRでは、個人または組織がコラボレーションサービスのために個人データを第三者のサービスプロバイダーに提供する場合は常に、DPA文書が義務付けられています。データ処理者として行動する当事者は、データ管理者とDPAに署名する必要があります。
たとえば、EUでは、ウェブサイトをホストするサービスは、ウェブサイトが属する企業とDPAに署名する必要があります。ターゲット消費者マーケティングを提供するために個人データを処理する企業も、DPAに署名する必要があります。
以下は、DPAを必要とするその他の一般的なビジネスサービスとシナリオです。
- メール管理アウトソーシング
- 財務会計および給与会計のための技術データ処理ソリューション
- 物理サーバー経由またはクラウドでのデータバックアップサービス
- 外部サービスプロバイダーを通じたデータ収集またはデジタル化
- 機密データを含む古いハードウェアの廃棄
場合によっては、GDPRがヨーロッパ以外の企業にDPAを要求していることがあります。この要件は、EUデータが関与するたびに適用されます。たとえば、カナダに所在する企業は、EU市民に関するデータを取り扱う場合、DPA要件の対象となる場合があります。
DPAが不要なのはいつですか?
いくつかの特定のシナリオでは、DPAは必要ありません。DPA 保護が不要になる保護機能が組み込まれています。このような状況で会社の義務をより良く理解できるよう、以下を検討してください。
- 守秘義務が義務付けられている専門家グループとのパートナーシップ: 多くの職業において、ベストプラクティスは、サービスプロバイダーがDPAが要求するすべてのセキュリティ対策とプライバシー要件を網羅する業界固有のカスタマイズされた機密保持契約を締結することです。これらの機密保持契約を一般的に使用する職業には、法律、税務コンサルティング、財務監査などがあります。多くの医療サービスには、通常、独自の厳格な機密保持保証が付いています。
- ポータルサービス: 単に人や事業体をつなぐサービスは通常、DPA要件の対象外です。これらのプロのマッチメイキングサービスは一時的なため、DPAのメリットはほとんどありません。例えば、リクルーターはこのカテゴリーに分類されます。彼らは、仕事を探している人々を、才能ある新しいチームメンバーを探している企業と結びつけるだけです。このシナリオでは、採用担当者とのDPAが不要になります。
- 債権回収機関との連携: 債権回収機関は、個人の財務情報や医療情報にアクセスできます。回収機関は元の債権者とは別個であり、自らの利益のために債務を回収するため、DPA要件は免除されます。元の債権者に代わって作業していた場合、取立機関はDPAに署名する必要があります。
- 複数の企業による共同データ管理: 場合によっては、企業はグループとして作業し、データの収集を管理します。このシナリオは、企業がサプライヤー、製品、またはセールスリードからのデータに共同でアクセスできる場合によく発生します。企業は競合企業かもしれませんが、同じデータを同じ一般的な目的で使用します。このデータ使用量の規模は、一般的にDPAが必須ではないことを意味します。
- 臨床試験:大規模な医薬品臨床試験では、多数の貢献者が関与するため、通常DPAは使用されません。 医師、研究センター、および治験依頼者はすべて被験者データにアクセスでき、その処理はニーズに応じて異なります。収集されたデータは、通常、治験期間を通して様々な目的を果たします。このような状況では、DPAは通常適用されません。
データ管理者とは?
すべてのDPA契約は、データ管理者とデータ処理者の間で締結されます。データ管理者は、個人データを処理する方法と理由を決定する組織または個人です。会社がサーバー上のバックアップのために第三者にデータを送信することを決定した場合、貴社はデータ管理者となります。
データコントローラの特徴的な特徴は、意思決定力です。 データ管理者は、データ収集の理由と個人データの処理方法について包括的な判断を下します。
ほとんどのシナリオでは、会社または組織がデータ管理者となります。データ処理者は、会社と契約を結んでいる別の事業体です。個人事業主や自営業者などの個人も、個人データの収集と処理に関する決定を行う場合には、データ管理者となる場合があります。
データ処理者とは?
データ処理者は、データ管理者のためにデータを処理する第三者です。上記のシナリオでは、バックアップのためにデータを送信することを会社が決定した場合、バックアップサービスを提供する会社がデータ処理者となります。
データ処理者はさまざまな形態をとることができます。企業、個人、または公的機関である場合があります。関連する基準は、個人または事業体がデータ管理者に代わってデータを処理するかどうかです。
DPA文書には何が含まれていますか?
記事 28-36 GDPR DPA 規則の下でデータ処理者に義務付けられる契約上の義務が明記されています。以下は、必要なDPA条項の一部です。
1. データ処理内容の徹底した内訳
DPAは、データ処理のあらゆる側面がどのように行われるかについて包括的な詳細を提供する必要があります。DPAには、以下のようなトピックに関する明確な情報を含める必要があります。
- 処理する個人データの種類
- データの主題
- データ主体のカテゴリー
- 処理の目的と性質
- データ処理の予想期間
- 個人データ処理の法的根拠
- 処理終了時の個人データの返却または削除
2. データ管理者および処理者の権利と責任
両当事者の権利と責任を指定する際、DPAは誰がデータ取り扱いを管理するかについて明確にします。
DPAには、データ処理者がデータ管理者の希望と仕様に従って処理を実行しなければならないことを明記する必要があります。プロセッサではなく、コントローラがデータとその処理に対する完全な制御を保持することを指定する必要があります。
DPAは、データ管理者の直接の指示に従ってのみデータを処理するようデータ処理者に指示し、EU法または加盟国の法律の1つが要求する場合にのみ、これらの指示から逸脱する必要があります。
3. データ処理者に求められる機密保持措置
DPAは、個人データの機密性を確保するためにデータ処理者が従うべきプロトコルを指定する必要があります。
たとえば、データ処理者は、個人データの処理を開始する前に、正社員、臨時社員、および下請業者に秘密保持契約に署名するよう義務付ける必要があります。 秘密保持契約が不要になるのは、法的義務が処理者に秘密保持を保証することをすでに義務付けている場合のみです。
4. 情報セキュリティに必要な技術的および組織的プロトコル
DPAは、データ処理者が実施しなければならないセキュリティ対策について概説する必要があります。これには、必要に応じて以下のような対策が含まれます。
- データ暗号化
- データ主体の仮名化
- すべてのデータ処理システムのデータの機密性、可用性、回復力、セキュリティを確保するためのプロトコル
- 攻撃または侵害後に個人データへのアクセスを復元するためのプロセス
- すべてのセキュリティ対策の有効性をテストおよび評価するための定期的なプログラム
多くの処理業者は、正式な認証を得たり、実装されたプロトコルを証明する正式な行動規範を策定したりすることを望む場合があります。このような対策は、データ処理がGDPRに完全に準拠していることを保証します。
5. 下請業者契約の条件
DPAは、データ処理者がその下請業者に課す必要のある要件についても概説する必要があります。例えば、処理者は以下の規則とベストプラクティスを必ず遵守する必要があります。
- データ管理者の明示的な同意と許可がある場合にのみ下請業者を採用する
- データ処理者自身が従わなければならないのと同じデータセキュリティ要件を下請業者に課す契約書の起草と署名
- 下請業者がデータ保護要件を遵守していることを確認する
- 下請業者が関与する変更についてデータ管理者に通知し、管理者に応答する時間を与える
6. データ処理者の協力義務
DPAは、データ処理者がいつ、どのようにデータ管理者と協力する必要があるかを指定する必要があります。たとえば、データ処理者は、データアクセスの要求を解決するために協力する必要があります。また、処理者は、特に以下の要件を満たすことにより、データ主体のプライバシーと権利の保護に協力する必要があります。
- 個人データのセキュリティの確保
- 個人データ侵害について当局およびデータ主体に速やかに通知する
- 必要に応じてデータ保護影響評価(DPIA)を実施する
- 重大なデータリスクが発生した場合、関係当局に相談する
また、データ処理者は、処理中にデータ管理者がコンプライアンス監査を実施できるようにする必要があります。監査中、処理者は管理者にすべての関連情報を速やかに提供し、本条に基づく遵守義務を果たしたことを示す必要があります。 28 GDPRです
また、処理者は、GDPRの遵守を証明するために処理活動の記録を保持することもできます。
DPAに基づくデータ侵害の後、どうなりますか?
データ侵害が発生した場合、関係する企業は具体的かつ即時の措置を講じる必要があります。あなたの会社 関連する監督当局に 72 違反が重大なリスクをもたらす場合
侵害が被害者に非常に高いリスクをもたらす場合、通常、会社はこれらの個人にも通知する必要があります。ただし、貴社がすでに有効な技術的および組織的なリスク軽減プロトコルを導入している場合は、通知は不要である場合があります。
たとえば、クレジットカード会社が、データを保存したサーバーへの攻撃が原因でデータ侵害に遭ったとします。顧客の個人的な財務情報が漏洩した。彼らの名前、自宅住所、追加の連絡先情報、財務情報、クレジットカードで行われた支払いの種類の詳細はすべて公開されています。
サーバーをホストする企業は、 72 時間。また、クレジットカード会社にも通知する必要があります。
個人を特定できる情報の開示は消費者を危険にさらす可能性があるため、会社は消費者に知らせる必要があるでしょう。 また、消費者がクレジットカードで医療費を支払った場合、その侵害は消費者の機密かつ保護された医療情報の開示につながる可能性があります。
GDPRの不遵守に対する罰則は何ですか?
データ侵害が発生した場合、違反が判明した会社は懲戒処分の対象となります。違反の可能性は警告を受けるだけです。確認されたコンプライアンス違反インシデントは、以下の1つ以上の罰則の対象となる場合があります。
- 正式な叱責
- データ処理の一時的または永久的な禁止
- A最高ユーロの罰金20 百万または 4 会社の年間グローバル収益のパーセント
Globalization Partnersでデータセキュリティの専門家をチームに雇用する
データセキュリティに焦点を当てた国際チームを構築する場合は、グローバリゼーションパートナーと連携します。当社の専門家チームは、貴社に適用されるデータ処理契約規制の理解を支援します。
データ保護責任者やその他の法律専門家をチームに配属することは、DPAコンプライアンスを維持するために不可欠です。 Global Employer of Record(EOR)として、Globalization Partnersは成功に必要な国際的な人材の採用と支払いを支援します。当社はデータプライバシーを非常に重視しており、お客様が国際的に事業を拡大する際に、現地の労働法を遵守し、機密情報を保護するお手伝いをいたします。
Globalization Partnersでは、採用プロセスの迅速化を支援します。当社のフルスタックのグローバル雇用プラットフォーム、わずか数回のクリックで新しいチームメンバーの採用とオンボーディングが可能で、時間を節約し、国際企業の成長の課題に対するアプローチを合理化できます。
提案の依頼今日、またはお問い合わせ当社のプラットフォームを通じてデータセキュリティの専門家を採用する方法について学びます。
