GDPRに基づくプロセッサーとコントローラーの義務:チートシート

公開: 2021-08-18

今後の一般データ保護規則(GDPR)に関するブログシリーズの続きとして、GDPRがデータコントローラーデータプロセッサー課すさまざまな義務について説明するために数分を費やします。その後、いくつかの簡単なチートシートを残します。具体的には、コンプライアンスのために適切な場所にいることを確認するために必要となる可能性のあるタスクを特定するのに役立つアクションポイント。

しかし、最初に、いくつかの定義。

GDPRは、第4条(6)のデータ管理者を次のように定義しています

個人データの処理の目的と手段を単独でまたは他者と共同で決定する、自然人または法人、公的機関、機関、またはその他の機関」

一方、データプロセッサ(第4条(7))は次のとおりです。

「管理者に代わって個人データを処理する自然人または法人、公的機関、機関、またはその他の機関」

より具体的な例を挙げると、ウィジェットのオンライン小売業者であり、Jane Doeがウィジェットの詳細を知りたい(またはセールが始まるまで潜んでいる)ことを期待してメーリングリストにサインアップした場合、彼女がサインアップするときに、彼女の電子メールアドレス(およびおそらく他の連絡先情報)を収集します。 おめでとう! あなたはJaneDoeの個人データの管理者になりました。 彼女はあなたからマーケティングメッセージを受け取ることに同意し、データ管理者としてのあなたはそれらの電子メールをいつどのように送信するかを決定できます。

ここで、実際に独自のマーケティングメールを送信しないとしましょう。コンテンツの作成、メールのスケジュール設定、配信の追跡とレポート作成を支援するメールサービスプロバイダー(ESP)を雇うこともできます。 ESPには、ジェーンのデータを使ってやりたいことを何でもする権利はありません。彼らは、あなたの要求に応じて、キャンペーンの草案作成、電子メールの送信などを支援する権利しかありません。 この場合、ESPはデータプロセッサです。

将来的には、あなたの親しいパートナーAと共同ブランドのマーケティング活動を行うことにします(この場合は問題ありません。ジェーンがサインアップしたときに、この目的でパートナーAとデータを共有することに同意したからです)。 交渉プロセスを通じて、キャンペーンの送信に自分のESPではなくパートナーAのESPを使用することにしました。 したがって、サブスクライバーリスト(ジェーンのデータを含む)をパートナーに送信し、パートナーはそれをESPにアップロードします。 メールが送信されます。

共同マーケティング活動のためにパートナーAとジェーンのデータを共有することにより、パートナーAをジェーンのデータの共同管理者にしました。 パートナーAは、ジェーンとの関係の範囲外でジェーンのデータを引き続き使用します。 パートナーAのESPは依然としてデータ処理者であり、パートナーAとパートナーAの両方の要件に準拠する必要がありますが、ジェーンとの関係にいくつかの複雑さを導入したため、GDPRで追跡する必要があります。

GDPRの下では、データの所有者として、データ主体には次のような権利が付与されます(これは完全なリストではないことに注意してください)。

  • 第15条(アクセス権):ジェーンはあなたに手紙を書き、あなたが彼女から収集した個人データのコピーを要求する可能性があります。 あなたは、データ管理者として、彼女の要求を受け取ってから30日以内にこの要求に応じる必要があります。
  • 第16条(修正の権利):ジェーンは、あなたが彼女に持っているデータが不正確または不完全であると判断した場合、それを更新するように依頼することができます(メールアドレスの変更、データベース内の名前のスペルの変更など)。
  • 第17条(消去する権利):ジェーンはあなたに彼女のデータを完全に削除するように頼むことができます。 彼女はあなたからの将来のメッセージを受け取ることに同意を撤回しているのかもしれません。あるいは、あなたがターゲットにしているキャンペーンが間違った方向に向かっていると思って、最初から始めたいと思っているのかもしれません。
  • 第18条(処理の制限の権利):ジェーンのオープンとクリックの追跡を開始した可能性があります(行動ベースの追跡)が、ジェーンはそれを許可することに同意したとは思わない(GDPRによると、行動ベースの追跡)同意が必要になります。それができると思い込むことはできません)。 ジェーンは、2人が実際に同意した内容を整理するまで、彼女の開封とクリックの追跡を停止するように依頼できます。
  • 第20条(データの移植性に対する権利):場合によっては、ジェーンはデータを圧縮して競合他社の1つに転送するように依頼する権利があります。 (はい!本当に。これは、ジェーンがデータをある携帯電話プロバイダーから別のプロバイダーに移動したり、ソーシャルメディアのプレゼンスをあるアプリから別のアプリに簡単に移動したりするのに役立つことを目的としています。契約の」または「同意に基づく」場合、この規定はお客様に適用される可能性があります。

ジェーンが自分の権利を行使することを決定し、データを削除するように依頼した場合、単一のコントローラーとプロセッサーのパラダイムでは、それはかなり簡単です。 あなたは彼女のデータをあなたのシステムから削除し、あなたのプロセッサ(あなたのESP)に彼らのデータも削除するように頼みます。

ただし、ジョイントコントローラーモデルでは、第17条(2)に従って、ユーザーとプロセッサーのインフラストラクチャから削除するだけでなく、次のことも行う必要があります。

「データ主体が消去を要求したことを個人データを処理している管理者に通知するために、技術的措置を含む合理的な措置を講じる」

つまり、ジェーンのデータを送信した場所を非常に注意深く記録し、ジェーンに代わって、ジェーンのデータを持っている可能性のある他の共同管理者にデータ削除要求を開始する必要があります。 これらの共同コントローラーは、使用するプロセッサーに連絡し、それらのシステムからJaneのデータも削除する必要があります。

そして、それはジェーンの情報のデータ処理者および管理者としてのあなたの義務の始まりにすぎません。 GDPRで必要となるもののクイックリストと、GDPRの詳細については、以下をご覧ください。

データセキュリティ
管理者の義務:データのセキュリティを保護するために、適切な技術的および組織的対策を実施します。

  • 暗号化、必要に応じてデータの仮名化
  • データの機密性、整合性、および復元力を確保する機能
  • セキュリティを定期的にテスト、評価、評価するためのプロセス
  • あなたの努力を文書化します。

処理者の義務:データのセキュリティを保護するために、適切な技術的および組織的対策を実施します。

  • 暗号化、必要に応じてデータの仮名化
  • データの機密性、整合性、および復元力を確保する機能
  • セキュリティを定期的にテスト、評価、評価するためのプロセス
  • あなたの努力を文書化します。

GDPR記事:美術。 32処理のセキュリティ

違反通知
管理者の義務:

  • データ主体にリスクが高い可能性がある場合は、違反から72時間以内に監督当局に通知してください
  • 必要に応じて、データ主体の通知

処理者の義務:

  • 違反を知ったときに過度の遅延なしにコントローラーに通知する

GDPRの記事:美術。 33データ侵害の通知
美術。 34データ主体へのデータ侵害の伝達

データ処理の原則
管理者の義務:

  • データが合法的に、データ主体に対して透過的な方法で処理されることを確認します
  • 元の目的と互換性のない方法ではなく、特定の目的のために収集および処理されたデータを確認します。
  • 収集されたデータが正確で最新であることを確認します
  • コンプライアンスを実証できることを確認します

GDPRの記事:美術。 個人データの処理に関する5つの原則
美術。 6処理の合法性

プライバシー通知
管理者の義務:

  • データ主体が利用できる必要があります。
  • どのデータがどのような目的で収集されるかを説明してください。
  • EEA外に転送されるかどうか、データが今後の転送でどのように保護されるかなど、データを受信する受信者について詳しく説明します。
  • データの収集および/または処理に正当な利益が存在する場合。
  • データの保持期間や保存期間、または保持期間を決定するために使用される基準について説明してください。
  • データ主体の権利、およびデータ主体が自分の権利を行使する方法を説明します。
  • 自動化された意思決定の使用に関する詳細。

GDPRの記事:美術。 12データ主体の権利を行使するための透明性のある情報、コミュニケーション、およびモダリティ
美術。 13データ主体から個人データが収集される場合に提供される情報
美術。 14データ主体から個人データが取得されていない場合に提供される情報

プロセッサーとの契約要件
管理者の義務:

  • GDPR規制を満たすことができるプロセッサーのみを採用してください。
  • データ主体データを適切に保護できるプロセッサのみを使用してください。
  • 処理活動の主題、期間、および性質を説明してください。
  • 処理の性質と目的を説明してください。
  • 処理される個人データの種類を説明してください。
  • 処理されているデータ主体のカテゴリーを説明してください。

処理者の義務:

  • コントローラからの文書化された命令のデータのみを処理します
  • データの処理を許可されたすべての個人が機密保持契約を締結していることを確認します
  • データ主体のアクセス権要求を処理する際にコントローラーを支援する
  • セキュリティに関する義務と監督当局からの要求で管理者を支援します。
  • コンプライアンス義務についてコントローラーを支援できるようにする
  • コントローラの要求または要件に応じて、すべてのデータを削除または返す
  • EEA外でのデータ転送の概要を説明し、データを保護するセーフガードについて説明します
  • 管理者またはその他の必要な機関によって実施される監査に貢献する
  • サブプロセッサの関与が、コントローラが要求するのと同じ義務を果たしていることを確認します。
  • コントローラーの承認があった場合にのみ、サブプロセッサーを使用します。

GDPRの記事:美術。 24コントローラーの責任
美術。 28プロセッサー
美術。 29コントローラーまたはプロセッサーの権限の下での処理

データ保護慣行を採用する
管理者の義務:

  • データ最小化の原則を示すことができ、必要に応じて、設計および/またはデフォルトによるデータ保護が使用されます
  • データ主体にリスクをもたらす可能性のある処理活動についてプライバシー影響評価を実施する

GDPRの記事:美術。 個人データの処理に関する5つの原則
美術。 25設計とデフォルトによるデータ保護
美術。 35データ保護の影響評価

処理活動の記録を保持する
管理者の義務:

  • データ管理者とDPO、またはEUの代表者の名前/連絡先情報
  • データ主体のカテゴリー、個人データのカテゴリー、およびデータの受信者を文書化します
  • EEA外へのデータ転送の法的根拠を文書化し、データを保護するセーフガードについて説明します
  • データ保持期間
  • データ処理活動の合法的な根拠を文書化する

処理者の義務:

  • データ管理者とDPOの名前/連絡先情報
  • コントローラに対して実行される処理のカテゴリ

GDPR記事:美術。 30処理活動の記録

これは多くのことを取り入れることであり、多くの作業のように思えるかもしれません。 しかし、長期的には、それはあなたとあなたのパートナーをヨーロッパの法律に準拠させ、あなたのデータ主体の権利を保護し続けるでしょう GDPRに関するより多くの洞察をお探しですか? 詳細については、ブログのGDPRカテゴリとオンデマンドウェビナー「GDPRへの道」をご覧ください。