消費者データの安全を確保するために、欧州連合 (EU)は、一般データ保護規則(GDPR)として知られる厳格なプライバシーおよびセキュリティ法を施行しました。 一般データ保護規則(GDPR)は、個人データに関する EU 国民の権利を定義し、強制します。それは、当該データの利用における説明責任、セキュリティ、および透明性に関する基準を定めている。

EU 内で事業を展開する、または EU の個人データを扱うグローバル企業は、一般データ保護規則(GDPR)が自社にどのような影響を与えるか、一般データ保護規則(GDPR)のコンプライアンスを維持する方法を理解する必要があります

そのコンプライアンスの一側面として、データ処理契約(DPA)の締結が挙げられる。一般データ保護規則(GDPR)データ処理契約は、データ処理活動に関連する詳細、規則、権利、および義務を指定します。 これは、企業の法令遵守を確保し、データを保護し、消費者を保護して満足させるのに役立ちます。

このガイドでは、DPA(データ保護合意)の仕組みと、DPAに含めるべき内容について詳しく解説します。

一般データ保護規則(GDPR)におけるDPAとは何ですか?

データ処理契約とは、データ管理者と、そのデータを処理するデータ処理者との間で締結される契約のことです。これは、一般データ保護規則(GDPR)に完全に準拠するために必要です。

DPA(データ処理契約)には、実施される処理活動の性質、目的、および期間が明記されています。また、処理される個人データの種類と、そのデータが属する個人のカテゴリーも明記されている。これは、管理者が持つ権利と義務を定義するものです。特定の暗号化レベルなど、導入しなければならない技術的なセキュリティ対策を規定することができる。

DPAは法的拘束力があり、データ管理者と処理者はそれを遵守しなければ、重大な違約金のリスクを負うことになります。

DPAの主な利点は、データ処理者の資格と信頼性を保証することである。企業は、自社のデータが適切に管理され、プライバシーが保護され、第三者の目から守られていることを知る必要がある。DPAはそうした保証を提供するのに役立ちます。

一般データ保護規則(GDPR)とそのDPA要件は、将来の事業運営に重大な影響を与える可能性があります。 個人データの収集がより制限されるようになり、データ収集と保管に関するコミュニケーションが不可欠になり、第三者との関係においてより厳格な契約が求められるようになるにつれて、ビジネス取引は変化する可能性がある。個々の企業とその人事部門は、一般データ保護規則(GDPR)要件に準拠するためにプロセスを適応させる際に、広範囲にわたる影響を感じることになります。

一般データ保護規則(GDPR)要件の利点は、人々が自分のデータのプライバシーと保護に対してより自信を持つようになり、ビジネスにおける信頼が高まる可能性があることです。

データ処理契約はどのような場合に必要となるのか?

データ処理契約は必要ですか?EU域内またはEUからの個人データを取り扱う場合は、該当する可能性があります。

一般データ保護規則(GDPR)に基づき、個人または組織が共同サービスのためにサードパーティのサービスプロバイダーに個人データを提供する場合は常に、DPA 文書の提出が義務付けられています。 データ処理者として活動するすべての当事者は、データ管理者とデータ処理契約(DPA)を締結しなければならない。

例えば、EUでは、ウェブサイトをホストするサービスは、そのウェブサイトが属する企業とデータ保護契約(DPA)を締結しなければならない。 消費者をターゲットにしたマーケティングを行うために個人データを処理する企業は、データ処理契約(DPA)にも署名しなければならない。

以下は、DPA(データ処理契約)が必要となるその他の一般的なビジネスサービスおよびシナリオの例です。

  • メール管理のアウトソーシング
  • 財務会計および給与計算のための技術的なデータ処理ソリューション
  • 物理サーバーまたはクラウドを介したデータバックアップサービス
  • 外部サービスプロバイダーを通じたデータ収集またはデジタル化
  • 取扱に注意を守るデータを含む古いハードウェアの廃棄

場合によっては、一般データ保護規則(GDPR)により、ヨーロッパ以外の企業に対して DPA が要求される場合があります。 この要件は、EUのデータが関係する場合に必ず適用される。例えば、カナダに所在する企業がEU市民に関するデータを扱う場合、DPA(データ保護法)の要件の対象となる可能性がある。

DPA(データ保護契約)が不要となるのはどのような場合ですか?

DPAが不要な場合の表には、パートナーシップ、ポータルサービス、債権回収機関、および複数の企業による共同データ管理が含まれます。

いくつかの特定のシナリオでは、DPA(データ保護協定)は不要です。それらには、DPAによる保護を不要にする組み込みの保護機能が備わっています。こうした状況における貴社の義務をよりよく理解するために、以下の点を考慮してください。

  1. 機密保持義務のある専門家団体との提携:多くの専門職において、サービス提供者は、データ保護機関(DPA)が要求するすべてのセキュリティ対策とプライバシー要件を網羅した、業界固有のカスタマイズされた機密保持契約を結ぶことが最善策とされています。こうした機密保持契約を一般的に利用する職業には、法律、税務コンサルティング、財務監査などが挙げられる。多くの医療サービスには、通常、厳格な機密保持の保証が付いています。
  2. ポータルサービス:単に人や組織をつなぐだけのサービスは、通常、データ保護法(DPA)の要件から免除されます。こうしたプロの結婚相談サービスは非常に一時的なものであるため、DPA(データ保護契約)を結んでもほとんどメリットはないだろう。例えば、採用担当者はこのカテゴリーに当てはまります。彼らは単に、仕事を探している人と、才能ある新しいチームメンバーを探している企業を結びつけるだけだ。このシナリオでは、採用担当者とのデータ保護契約(DPA)は不要となる。
  3. 債権回収業者との連携:債権回収業者は、個人の財務情報や医療情報にアクセスできるようになります。債権回収業者は元の債権者とは別個の存在であり、自らの利益のために債務を回収するため、DPA(債務整理法)の要件から免除される。債権回収会社が元の債権者の代理として業務を行っている場合、DPA(データ保護協定)に署名する必要がある。
  4. 複数企業による共同データ管理:場合によっては、企業がグループとして協力してデータの集合を管理することがあります。このシナリオは、企業がサプライヤー、製品、または販売見込み客に関するデータに共同でアクセスする場合によく発生します。これらの企業は競合関係にあるかもしれないが、同じデータをほぼ同じ目的で使用している。このデータ利用規模を考えると、一般的にデータ保護契約(DPA)は義務付けられていない。
  5. 臨床試験:大規模な臨床医薬品試験では、関与する要因が多数あるため、通常はDPAは使用されません。医師、研究機関、スポンサーはすべて被験者データにアクセスでき、それぞれがニーズに応じて異なる方法でデータを処理します。収集されたデータは、臨床試験全体を通して様々な目的に利用されるのが一般的である。このような状況下では、一般的にデータ保護協定(DPA)は適用されません。

データ管理者とは誰ですか?

すべてのデータ処理契約(DPA)は、データ管理者とデータ処理者の間で締結されます。データ管理者とは、個人データをどのように、そしてなぜ処理するかを決定する組織または個人のことです。貴社がデータを第三者のサーバーにバックアップするために送信することを決定した場合、貴社がデータ管理者となります。

データ管理者の決定的な特徴は、意思決定権を持つことである。データ管理者は、データ収集の理由および個人データの処理方法について、包括的な決定を下します。

ほとんどの場合、企業または組織がデータ管理者となります。 データ処理業者は、会社と契約を結ぶ独立した組織です。 個人事業主や自営業者などの個人も、個人データの収集および処理に関する決定を行う場合は、データ管理者となる可能性がある。

データ処理者は誰ですか?

データ処理者とは、データ管理者のためにデータを処理する第三者のことです。上記のシナリオでは、貴社がデータのバックアップのために外部に送信することを決定した場合、バックアップサービスを提供する会社がデータ処理者となります。

データ処理装置は様々な形態を取り得る。会社、個人、または公的機関の場合もあります。 関連する基準は、その個人または組織がデータ管理者の代理としてデータを処理しているかどうかである。

DPA文書には何が含まれますか?

一般データ保護規則(GDPR)の条項28 ~ 36では、一般データ保護規則(GDPR)の DPA 規則に基づいてデータ処理者に義務付けられる契約上の義務を規定しています。 以下は、データ保護契約(DPA)において必須となる条項の一部です。

1 。データ処理の詳細を徹底的に解説

データ保護法(DPA)は、データ処理のあらゆる側面がどのように行われるかについて、包括的な詳細を規定すべきである。DPAには、以下のようなトピックに関する明確な情報を含めるべきです。

  • 処理される個人データの種類
  • データの対象
  • データ主体のカテゴリー
  • 処理の目的と性質
  • データ処理の予想所要時間
  • 個人データ処理の法的根拠
  • 処理終了時の個人データの返却または削除

2 。データ管理者および処理者の権利と責任

DPAは、誰がデータ処理を管理するのかを明確にする。

データ保護法は、両当事者の権利と責任を明確にすることで、誰がデータ処理を管理するのかを明確にする。

データ処理契約書には、データ処理者はデータ管理者の希望および仕様に従って処理を行わなければならないことを明示的に記載すべきである。データとその処理方法に対する完全な制御権は、プロセッサではなくコントローラが保持することを明記すべきである。

データ保護機関は、データ処理者に対し、データ管理者の直接の指示に従ってのみデータを処理するよう指示すべきであり、EU法または加盟国のいずれかの法律によって要求される場合にのみ、その指示から逸脱することを認めるべきである。

3 。データ処理者に対する必要な機密保持措置

データ保護法(DPA)は、個人データの機密性を確保するためにデータ処理者が従うべき手順を明記する必要がある。

例えば、データ処理者は、正社員、臨時社員、下請業者に対し、個人データの処理を開始する前に機密保持契約に署名することを義務付けなければならない。機密保持契約が不要となるのは、処理者が既に法律上の義務によって機密保持を求められる場合のみである。

4 。情報セキュリティに必要な技術的および組織的プロトコル

データ保護法(DPA)は、データ処理者が実施しなければならないセキュリティ対策を概説するべきであり、必要に応じて以下のような対策も含まれる。

  • データ暗号化
  • データ主体の匿名化
  • データ処理システムの機密性、可用性、回復力、およびセキュリティを確保するためのプロトコル
  • 攻撃や侵害後に個人データへのアクセスを復旧するための手順
  • すべてのセキュリティ対策の有効性を定期的にテストおよび評価するプログラム

多くのプロセッサは、実装しているプロトコルを証明する正式な認証を取得したり、公式の行動規範を作成したりすることを望むかもしれない。このような措置は、データ処理が一般データ保護規則(GDPR)に完全に準拠していることを保証するのに役立ちます。

5 。下請け業者との契約条件

データ保護法(DPA)には、データ処理者が下請け業者に課さなければならない要件も明記されるべきである。例えば、プロセッサは以下の規則とベストプラクティスを確実に遵守しなければなりません。

  • データ管理者の明示的な同意と許可を得た場合にのみ、下請業者を雇用する。
  • データ処理者自身が遵守しなければならないものと同じデータセキュリティ要件を下請け業者にも課す契約書を作成し、署名する。
  • 下請け業者がデータ保護要件を遵守していることを確認する
  • 下請け業者に関わる変更事項をデータ管理者に通知し、管理者が対応する時間を与える。

6 。データ処理者の協力義務

データ処理者は、データ管理者が処理中にコンプライアンス監査を実施することを許可しなければならない。

DPA(データ処理契約)には、データ処理者がデータ管理者と協力しなければならない時期と方法を明記する必要がある。例えば、データ処理者は、データアクセス要求の解決を支援するために協力しなければならない。データ処理者は、特に以下の要件を満たすことにより、データ主体のプライバシーと権利の保護に協力しなければならない。

  • 個人データのセキュリティを確保する
  • 個人データ侵害が発生した場合、速やかに当局およびデータ主体に通知する。
  • 必要に応じてデータ保護影響評価(DPIA)を実施する
  • 重大なデータリスクが発生した場合は、関係当局に相談する。

データ処理者は、データ管理者が処理中にコンプライアンス監査を実施することを許可しなければならない。監査中、処理者は、一般データ保護規則(GDPR)の第28条に基づくコンプライアンス義務を満たしていることを示すすべての関連情報を管理者に速やかに提供する必要があります。

一般データ保護規則(GDPR)への準拠を証明するために、処理者がその処理活動の記録を保持することもベスト プラクティスです。

データ保護契約(DPA)に基づくデータ漏洩が発生した場合、どのような対応が取られますか?

データ漏洩が発生した場合、関係企業は具体的かつ迅速な対応を取る必要がある。貴社は、違反が重大なリスクをもたらす場合、 72時間以内に関係する監督当局に通知しなければなりません

情報漏洩が影響を受ける人々に非常に高いリスクをもたらす場合、貴社は通常、それらの個人にも通知しなければなりません。 ただし、会社がすでに効果的な技術的および組織的なリスク軽減プロトコルを導入している場合は、通知は必要ない場合があります。

例えば、クレジットカード会社が、データを保存しているサーバーへの攻撃によってデータ漏洩の被害を受けたと想像してみてください。顧客の個人金融情報が漏洩した。彼らの氏名、自宅住所、その他の連絡先情報、財務情報、そしてクレジットカードで行った支払いの種類に関する詳細がすべて公開された。

サーバーをホストしている会社は、 72時間以内に当局に情報漏洩を通知する必要がある。また、クレジットカード会社にも通知する必要がある。

個人情報の開示は消費者を危険にさらす可能性があるため、会社は消費者にその旨を通知する必要があるだろう。この情報漏洩により、消費者がクレジットカードで医療費を支払っていた場合、機密性の高い保護対象の医療情報が漏洩する可能性もある。

一般データ保護規則(GDPR)違反に対する違約金とは何ですか? 

データ漏洩が発生した場合、法令遵守違反が認められた企業は懲戒処分の対象となります。 違反の疑いがある場合は、警告で済む。確認された違反事例は、以下の1つ以上の違約金の対象となる可能性があります。

  1. 正式な叱責
  2. データ処理の一時的または恒久的な禁止
  3. 最大20万ユーロ、または会社の年間世界総収益の4 %の罰金

G-Pを使用してデータ セキュリティの専門家をチームに雇用します

データセキュリティに重点を置いた国際的なチームを構築する際には、 G-Pと協力してください。 当社の専門家チームは、貴社に適用されるデータ処理契約に関する規制を理解するお手伝いをいたします。

データ保護責任者やその他の法律専門家をチームに加えることは、データ保護法(DPA)を遵守し続けるために不可欠です。G-Pグローバル雇用代行業者(EOR)として、成功に必要な国際人材の雇用と支払いをお手伝いします。 当社はデータのプライバシーを非常に重視しており、会社を国際的に拡大する際に現地労働法を遵守し、機密情報を保護するお手伝いをいたします。

G-Pでは、採用プロセスを迅速化するお手伝いをいたします。 当社のフルスタックのグローバル雇用プラットフォームを使用すると、数回クリックするだけで新しいチームメンバーを雇用して入社させることができ、時間を節約し、国際的な会社の成長という課題へのアプローチを効率化できます。

今すぐ提案を依頼するか、当社プラットフォームを通じてデータセキュリティ専門家を採用する方法について詳しく知りたい場合は、お問い合わせください