EUデータ保護規則(GDPR)ー処理者の選定、処理者との契約、処理者の義務

EUデータ保護規則(GDPR)は、管理者だけではなく、管理者が個人データの処理を委託する処理者にも直接義務を負わせています。EU指令と異なる大きな変更点です。

処理者の義務の新設

EU指令では、個人データの保護に関する義務と責任は管理者に課せられていました。個人データの違法な処理が行われた場合、法的な責任を負うのは管理者であり、処理者は、管理者との間の契約に定める義務に違反したとしても、管理者に対して責任を負うだけでした。
もっともEU指令が何も手当していなかったわけではありません。EU指令では、管理者が処理者と結ぶ契約の中に、処理者が管理者の指示に従うこと、技術的・組織的保護措置を講じることを書くことを求めていました(第17条第3項)。つまり、管理者と処理者との間の契約を通じて、処理者による個人データの処理を適正化する枠組みが取られていたわけです。

しかし、EUデータ保護規則は、この契約を通じた処理の適正化に加えて、処理者にも直接一定の規則の遵守義務を負わせています。この義務に違反すれば、監督機関は権限を発動することができ、処理者は責任を追及されることになります。
個人データの処理を管理者から委託されている処理者にとっては、大きな変更となりますので注意が必要です。
また、管理者の側でも、管理者と処理者の間の契約に盛り込むべき事項が詳細になったことから、現在結んでいる契約の見直しが必要となります。 続きを読む →