GDPRのお勉強(第28条:処理者)

GDPR
2022.09.25
この記事は約8分で読めます。

 第28条は「処理者」に関する規定です。

 なお、「処理者」の定義は第4条に記されていましたが、以下のように定義されていました。

管理者の代わりに個人データを取扱う自然人若しくは法人、公的機関、部局又はその他の組織を意味する。

一般データ保護規則(GDPR)第4条(8)(個人情報保護委員会による仮日本語訳
GDPRのお勉強(第4条:定義)
医療データや治験データなどの健康医療関連データの取り扱いに特に注意を払いながらGDPRを勉強していきます。今回は第4条の「定義」です。GDPRを勉強する上で言葉の定義をできるだけ正しく理解しておくことは非常に重要です。補足を入れながら解説します。
jibun-no.work
2022.02.12

第28条:処理者

1. 管理者の代わりの者によって取扱いが行われる場合、その管理者は、当該取扱いが本規則に定める義務に適合するような態様で適切な技術上及び組織上の保護措置を実装することについて十分な保証を提供する処理者のみを用いるものとし、かつ、データ主体の権利の保護を確保するものとする。

 管理者が、個人データの取扱いを委託する場合、GDPRで求められる義務を準拠し、適切な技術的・組織的安全管理措置が実装できることが保証できる委託先にしか委託してはならず、かつ、データ主体の権利の保護を確保することとされています。

 これは、基本的かつ重要な点ですね。

2. 処理者は、管理者から事前に個別的又は一般的な書面による承認を得ないで、別の処理者を業務に従事させてはならない。一般的な書面による承認の場合、処理者は、管理者に対し、別の処理者の追加又は交代に関する変更の予定を通知し、それによって、管理者に、そのような変更に対して異議を述べる機会を与えるものとする。

 再委託に関する規定になりますが、処理者は管理者からの事前の個別的または一般的な書面による承認を得ることなく、勝手に再委託してはいけません

 また、委託先が再委託先を追加したり変更しようとする場合は、事前に管理者に通知するとともに、管理者はその追加や変更に対して異議を述べる機会を設けなければなりません

3. 処理者による取扱いは、管理者との関係に関して処理者を拘束し、かつ、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型、並びに、管理者の義務及び権利を定める、契約又はその他のEU法若しくは加盟国の国内法に基づく法律行為によって規律される。契約又はその他の法律行為は、特に、処理者が、以下のとおり行うことを定める:

  • (a) 処理者が服するEU又は加盟国の国内法がそのようにすることを要求する場合を除き、個人データの第三国又は国際機関に対する移転と関連するものを含め、管理者からの文書化された指示のみに基づいて個人データを取扱うこと。そのような場合、当該の法律がそのような公共の利益上の重要な法的根拠に関する情報提供を禁止しない限り、処理者は、管理者に対し、取扱いの前に、当該法律上の要件について情報提供するものとする。
  • (b) 個人データの取扱いを承認された者が自ら守秘義務を課し、又は、適切な法律上の守秘義務の下にあることを確保すること。
  • (c) 第32条によって求められる全ての措置を講ずること。
  • (d) 別の処理者を業務に従事させるために、第2項及び第4項に規定する要件を尊重すること。
  • (e) 第3章に定めるデータ主体の権利を行使するための要求に対処すべき管理者の義務を充足させるために、それが可能な範囲内で、取扱いの性質を考慮に入れた上で、適切な技術上及び組織上の措置によって、管理者を支援すること。
  • (f) 取扱いの性質及び処理者が利用可能な情報を考慮に入れた上で、第32条から第36条による義務の遵守の確保において、管理者を支援すること。
  • (g) 取扱いと関係するサービスの提供が終了した後、EU法又は加盟国の国内法が個人データの記録保存を要求していない限り、管理者の選択により、全ての個人データを消去し、又は、これを管理者に返却すること、並びに、存在している複製物を消去すること。
  • (h) 本条に定める義務の遵守を説明するため、及び、管理者によって行われる検査若しくは管理者から委任された別の監査人によって行われる検査を含め、監査を受け入れ、若しくは、監査に資するようにするために必要な全ての情報を、管理者が利用できるようにすること。

 処理者による取扱いは、契約又はその他のEU法若しくは加盟国の国内法に基づく法律行為によって規律されますが、その契約または法律行為により、管理者との関係で処理者を拘束し、かつ、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型、並びに、管理者の義務及び権利を定めることとされています。

 また、その契約又はその他の法律行為は、処理者が(a)~(h)について準拠することを定めています。

4. 管理者の代わりの特定の取扱活動を行うために、処理者が別の処理者を業務に従事させる場合、当該別の処理者に対し、契約によって、又は、EU法若しくは加盟国の国内法に基づくその他の法律行為によって、特に、その取扱いが本規則の要件に適合するような態様で適切な技術上及び組織上の措置を実装する十分な保証を提供することによって、第3項に規定する管理者及び処理者間の契約又はその他の法律行為に定めるのと同じデータ保護上の義務が課されなければならない。当該別の処理者がそのデータ保護の義務を充足しない場合、当初の処理者は、当該別の処理者の義務の履行について、その管理者に対する法的責任を全面的に負うものとする

 再委託された場合、再委託先の処理者にも第1項や第3項で規定されている内容が適用されなければなりません。

 もし、再委託先にてGDPRが求める義務が守られなかった場合、管理者に対する法的責任は、最初に委託を受けた処理者が全面的に負うこととなっています

5. 第40条に規定する承認された行動規範又は第42条に規定する承認された認証方法を処理者が遵守することは、本条の第1項及び第4項に規定する十分な保証を証明するための要素として用いることができる。

 処理者が「承認された行動規範」または「承認された認証方式」を遵守することは、第1項および第4項の遵守を証明する要素になります。

6. 管理者と処理者との間の個別の契約を妨げることなく、第3項若しくは第4項に規定する契約又はその他の法律行為は、それが第42条及び第43条により管理者又は処理者に対して与えられる認証の一部分である場合を含め、その全部又は一部について、本条の第7項及び第8項に規定する標準契約条項に基づくものとすることができる。

 第3項もしくは第4項で規定された契約またはその他の法律行為は、その全部または一部について、第7項および第8項に規定する標準契約条項(Standard Contractual Clauses:SCC)に依拠されることができます。

7. 欧州委員会は、本条の第3項及び第4項に規定する事項に関して、第93条第2項に規定する審議手続に従い、標準契約条項を定めることができる。

 欧州委員会は、第3項および第4国に規定する事項に関して、第93条第2項(規則(EU) No 182/2011 の第5条)に規定する審議手続に従い、標準契約条項を定めることができます。

 実際にこの項(GDPR第28条第7項)に基づき、実施行為の審議手続に従い定められた「管理者と処理者の間における標準契約条項」は、以下で公表されています。

Standard contractual clauses for controllers and processors in the EU/EEA
New Data Protection Contractual Clauses based on Art 28 GDPR and Art 29 Regulation 2018/1725
commission.europa.eu

8. 監督機関は、本条の第3項及び第4項に規定する事項に関して、第63条に規定する一貫性メカニズムに従い、標準契約条項を採択できる。

 監督機関は一貫性メカニズムに従って、第3項および第4項に規定する事項について、標準契約条項を定めることができます。

9. 第3項及び第4項に規定する契約その他の法律行為は、電子的な方式による場合を含め、書面によるものとする。

 第3項および第4項に規定する契約その他の契約行為は、電子的な方法を含め、書面によるものでなければなりません。

10. 第82条、第83条及び第84条を妨げることなく、処理者が取扱いの目的及び方法を決定することにより本規則に違反する場合、その処理者は、当該取扱いとの関係においては、管理者として扱われる。

 第82条(賠償の権利及び法的責任)、第83条(制裁金を科すための一般的要件)、第84条(制裁)に関わらず、処理者が取扱いの目的および方法を決定することがあれば(その時点でGDPR違反)、それは既に処理者の定義を超えて管理者の立ち位置になるので、管理者として取り扱われることになります。

 前文81にも処理者に関する記述があるので、以下に引用します。

管理者の代わりに処理者によって行われる取扱いに関する本規則の義務の遵守を確保するため、管理者は、処理者に対して取扱活動を委託する場合、取扱いの安全性に関するものを含め、本規則の義務に適合する技術上及び組織上の措置の実装を、特に専門知識、信頼性及び資源の面において十分に保証する処理者のみを使用しなければならない。承認された行動準則又は承認された認証方法を処理者が遵守していることは、管理者の義務の遵守を示すための要素として用いられうる。処理者による取扱いの実施は、処理者と管理者とを拘束し、行われる取扱いの過程における処理者の特定された職務及び職責並びにデータ主体の権利及び自由に対するリスクを考慮に入れた上で、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型を定める契約又はEU法若しくは加盟国の国内法に基づくその他の法律行為によって規律されなければならない。管理者及び処理者は、個別の契約、又は、欧州委員会によって直接に採択された標準約款、若しくは、一貫性メカニズムに従って監督機関により採択され、欧州委員会によって承認された標準約款の利用を選択しうる。管理者の代わりの取扱いを完了した後、その処理者が服するEU 法又は加盟国の国内法に基づいて当該個人データを記録保存すべき義務が存在しない限り、処理者は、管理者の選択により、その個人データを返却し、又は、これを削除しなければならない。

一般データ保護規則(GDPR)の前文第81項

 以上、第28条の「処理者」でした。

GDPRのお勉強:一覧
医療データや治験データなどの健康医療関連データの取り扱いに特に注意を払いながらGDPRを勉強していきます。
jibun-no.work
タイトルとURLをコピーしました