EUデータ保護規則(GDPR)ー処理者の選定、処理者との契約、処理者の義務
EUデータ保護規則(GDPR)は、管理者だけではなく、管理者が個人データの処理を委託する処理者にも直接義務を負わせています。EU指令と異なる大きな変更点です。
Contents
処理者の義務の新設
EU指令では、個人データの保護に関する義務と責任は管理者に課せられていました。個人データの違法な処理が行われた場合、法的な責任を負うのは管理者であり、処理者は、管理者との間の契約に定める義務に違反したとしても、管理者に対して責任を負うだけでした。
もっともEU指令が何も手当していなかったわけではありません。EU指令では、管理者が処理者と結ぶ契約の中に、処理者が管理者の指示に従うこと、技術的・組織的保護措置を講じることを書くことを求めていました(第17条第3項)。つまり、管理者と処理者との間の契約を通じて、処理者による個人データの処理を適正化する枠組みが取られていたわけです。
しかし、EUデータ保護規則は、この契約を通じた処理の適正化に加えて、処理者にも直接一定の規則の遵守義務を負わせています。この義務に違反すれば、監督機関は権限を発動することができ、処理者は責任を追及されることになります。
個人データの処理を管理者から委託されている処理者にとっては、大きな変更となりますので注意が必要です。
また、管理者の側でも、管理者と処理者の間の契約に盛り込むべき事項が詳細になったことから、現在結んでいる契約の見直しが必要となります。
管理者による処理者の選定:どのような処理者と契約すべきか
個人データの処理は、それを保有する管理者のみが行うわけではありません。EUデータ保護規則では、処理は「自動化された手段によるか否かを問わず、収集、記録、組織化、構造化、保管、修正もしくは変更、復旧、参照、利用、伝送による開示、周知あるいはその他の方法による提供、整列若しくは結合、制限、消去または破棄といった個人データもしくは個人データの集合に関して行われる操作もしくは操作の集合をいう。」と定義されています(第4条第2号)。非常に広範な定義になっており、処理にあたる操作は極めて広いというわけです。
たとえば顧客のデータを保管するために、管理者が外部企業のクラウドサービスを利用すれば、クラウドでのデータ保管はEUデータ保護規則の「保管」にあたるため「処理」に該当し、クラウドサービスを提供している会社は「処理者」になるでしょう。
また、個人データの分析等の外部委託はよく行われています。
しかし、もしその外部委託先が適正に個人データを処理しなかったならば、どうなるでしょうか。管理者の個人データ保護に対する顧客の信頼が損なわれ、ビジネスに大きな影響が起きることは間違いありません。
管理者は委託先である処理者を慎重に選定する必要があります。
EUデータ保護規則は、この点についても対応しています。第28条第1項は次のように定めています。同種の規定がEU指令にもありました(第17条第2項)。
Article 28 Processor
1.Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.
つまり、管理者は、処理者が、①本規則の要件を充たすような方法で処理が行われるような技術的及び組織的措置を講じ、かつ②データ主体の権利保護を確保しているかどうかを、処理者を選ぶ際に見極めなければなりません。
管理者と処理者の契約:何を盛り込むべきか
管理者と処理者の契約には、次の事項を盛り込まなければなりません(第28条第3項)。一覧表にするために条文の細かい内容は省略しています。正確な内容については、EUデータ保護規則の原文をご覧下さい。
管理者からの書面による指示にのみ基づき個人データを処理すること | §28Ⅲ(a),§29 |
処理を行う従業員に守秘義務を課すこと | §28Ⅲ(b) |
処理の安全性に関する技術的および組織的措置を講じること | §28Ⅲ(c),§32 |
他の処理者を用いる場合に、事前に管理者の許可を得、処理者と同種の義務を負わせること | §28Ⅲ(d),Ⅱ,Ⅳ |
データ主体の権利行使の要求に対応する管理者の義務の履行を支援すること | §28Ⅲ(e) 第3章 |
管理者の負う処理の安全性、個人データ侵害の監督機関に対する通知、個人データ侵害のデータ主体に対する連絡、データ保護影響評価、事前の諮問に関する義務の遵守の確保を支援すること | §28Ⅲ(f),§32 §33,§34,§35 §36 |
業務終了後、個人データを削除または管理者に返還すること | §28Ⅲ(g) |
管理者または管理者の委任する監査人の監査に必要な情報を利用できるようにすること | §28Ⅲ(h) |
EUデータ保護規則第28条が定めているのは上記の事項ですが、これは限定列挙ではありませんので、個人データの処理の内容や性質に応じて、さらに処理者の義務を書き入れる必要が生じるでしょう。
標準契約条項が、欧州委員会または監督機関によって策定され公表されることが見込まれています(第28条第7項、第8項)。
処理者の義務
さて、EUデータ保護規則が新設した”処理者が負う義務”にはどのようなものがあるでしょうか。一覧表にしてみました。
管理者の指示に従った処理 | §29 |
処理行為の記録の保存 | §30Ⅱ-Ⅴ |
監督機関との協力 | §31 |
処理の安全性 | §32 |
個人データ侵害の管理者への通知 | §33Ⅱ |
データ保護担当者の指名 | §37 |
第三国への移転に関する義務 | §44,§46 |
個々の義務の一部はこれまで本サイトで書いてきたことと重なるところがありますが、ごく簡単に説明します。
管理者の指示に従った処理
処理者は、EU法または構成国法で求められない限り、管理者の指示に基づかずに個人データを処理してはいけません。この義務は、処理者だけではなく、管理者または処理者の権限の下で行動し個人データにアクセスする者も負担します。
処理行為の記録の保存
処理行為の記録の保存とは、処理者が行った個人データの処理行為の記録を保存し、必要に応じ監督機関が利用できるようにする義務のことです。
この義務は、従業員が250人未満の企業または組織には適用されません。しかし、その個人データの処理がデータ主体の権利および自由に危険を生じさせるか、処理が一時的なものでないか、または特別な種類の個人データもしくは有罪判決・犯罪に関する個人データを処理している場合には、処理行為の記録の保存義務が生じます(第30条第5項)。
監督機関との協力
監督機関との協力とは、監督機関の職務遂行について、要請があれば監督機関に協力するという一般的な義務のことを指しています。
処理の安全性
処理の安全性とは、個人データを安全に処理するために、技術的・組織的な措置を講じる一般的な義務を指しています。
個人データ侵害の管理者への通知
個人データ侵害があった場合、処理者がそれに気づいたならば、遅滞なく管理者に通知しなければなりません。
個人データ保護担当者の指名
一定の場合、処理者は個人データ保護担当者を指名しなければなりません。
第三国への移転に関する義務
個人データをEU域外の第三国に移転することが許されるのは、管理者のみならず処理者が適切な保護措置を提供している場合です。適切な保護措置は、拘束的企業準則、標準データ保護条項、行動規範などです。
処理者が義務に違反した場合
処理者が上記の義務に違反した場合は、データ主体の不服申立て(第77条)または司法的救済(第79条)の対象となり、損害賠償を負うこともあります(第82条)。ただし、取扱者の義務の範囲は、管理者のそれとは異なりますので、義務違反の責任も限定されています。責任を負うのは、EUデータ保護規則に定められた具体的な義務に違反しているか、または管理者の適法な指示の範囲外の処理を行ったり、その指示に違反する行為をした場合などです(たとえば第82条第2項)。
さらに、義務違反により処理者も、監督機関による過料の制裁を受ける可能性があります。過料の額は、違反した義務の種類によって、上限が2つに分けられており(第83条4項・5項、10万ユーロまたは20万ユーロ)、種々の要素を考慮して決定されます(第83条第2項)。
どの義務がどの過料にあたるのは、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済”で詳しく説明しています。
まとめ
処理者については、3つポイントがありました。
①管理者は、データ主体の権利および自由を保護し、技術的・組織的保護措置を講じている処理者を選定すること
②管理者と処理者の契約に必要な事項を盛り込むこと
③処理者は、処理者の負う義務をよく理解すること
新設された規定が多いので、十分に確認する必要があるでしょう。