GDPR 規則 (EU) 2016/679

第28条

処理者

  1. (1) 管理者の代わりの者によって取扱いが行われる場合、その管理者は、当該取扱いが本規則に定める義務に適合するような態様で適切な技術上及び組織上の保護措置を実装することについて十分な保証を提供する処理者のみを用いるものとし、かつ、データ主体の権利の保護を確保するものとする。
  2. (2) 処理者は、管理者から事前に個別的又は一般的な書面による承認を得ないで、別の処理者を業務に従事させてはならない。一般的な書面による承認の場合、処理者は、管理者に対し、別の処理者の追加又は交代に関する変更の予定を通知し、それによって、管理者に、そのような変更に対して異議を述べる機会を与えるものとする。
  3. (3) 処理者による取扱いは、管理者との関係に関して処理者を拘束し、かつ、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型、並びに、管理者の義務及び権利を定める、契約又はその他のEU 法若しくは加盟国の国内法に基づく法律行為によって規律される。契約又はその他の法律行為は、特に、処理者が、以下のとおり行うことを定める:
    1. 処理者が服する EU 又は加盟国の国内法がそのようにすることを要求する場合を除き、個人データの第三国又は国際機関に対する移転と関連するものを含め、管理者からの文書化された指示のみに基づいて個人データ取扱うこと。そのような場合、当該の法律がそのような公共の利益上の重要な法的根拠に関する情報提供を禁止しない限り、処理者は、管理者に対し、取扱いの前に、当該法律上の要件について情報提供するものとする。
    2. 個人データ取扱いを承認された者が自ら守秘義務を課し、又は、適切な法律上の守秘義務の下にあることを確保すること。
    3. 第32 条によって求められる全ての措置を講ずること。
    4. 別の処理者を業務に従事させるために、第 2 項及び第 4 項に規定する要件を尊重すること。
    5. 第3 章に定めるデータ主体の権利を行使するための要求に対処すべき管理者の義務を充足させるために、それが可能な範囲内で、取扱いの性質を考慮に入れた上で、適切な技術上及び組織上の措置によって、管理者を支援すること。
    6. 取扱いの性質及び処理者が利用可能な情報を考慮に入れた上で、第32 条から第36 条による義務の遵守の確保において、管理者を支援すること。
    7. 取扱いと関係するサービスの提供が終了した後、EU 法又は加盟国の国内法が個人データの記録保存を要求していない限り、管理者の選択により、全ての個人データを消去し、又は、これを管理者に返却すること、並びに、存在している複製物を消去すること。
    8. 本条に定める義務の遵守を説明するため、及び、管理者によって行われる検査若しくは管理者から委任された別の監査人によって行われる検査を含め、監査を受け入れ、若しくは、監査に資するようにするために必要な全ての情報を、管理者が利用できるようにすること。

    第 1 副項(h)に関し、処理者は、その見解において、指示が本規則又はその他の EUのデータ保護の条項 又は加盟国のデータ保護の条項のデータ保護の条項に違反する場合、直ちに、そのことを管理者に通知するものとする。
  4. (4) 管理者の代わりの特定の取扱活動を行うために、処理者が別の処理者を業務に従事させる場合、当該別の処理者に対し、契約によって、又は、EU 法若しくは加盟国の国内法に基づくその他の法律行為によって、特に、その取扱いが本規則の要件に適合するような態様で適切な技術上及び組織上の措置を実装する十分な保証を提供することによって、第 3 項に規定する管理者及び処理者間の契約又はその他の法律行為に定めるのと同じデータ保護上の義務が課されなければならない。当該別の処理者がそのデータ保護の義務を充足しない場合、当初の処理者は、当該別の処理者の義務の履行について、その管理者に対する法的責任を全面的に負うものとする。
  5. (5) 第40 条に規定する承認された行動規範又は第42 条に規定する承認された認証方法を処理者が遵守することは、本条の第 1 項及び第 4 項に規定する十分な保証を証明するための要素として用いることができる。
  6. (6) 管理者処理者との間の個別の契約を妨げることなく、第 3 項若しくは第 4 項に規定する契約又はその他の法律行為は、それが第42 条及び第43 条により管理者又は処理者に対して与えられる認証の一部分である場合を含め、その全部又は一部について、本条の第 7 項及び第 8 項に規定する標準契約条項に基づくものとすることができる。
  7. (7) 欧州委員会は、本条の第 3 項及び第 4 項に規定する事項に関して、第93 条第 2 項に規定する審議手続に従い、標準契約条項を定めることができる。
  8. (8) 監督機関は、本条の第 3 項及び第 4 項に規定する事項に関して、第63 条に規定する一貫性メカニズムに従い、標準契約条項を採択できる。
  9. (9) 第 3 項及び第 4 項に規定する契約その他の法律行為は、電子的な方式による場合を含め、書面によるものとする。
  10. (10) 第82 条第83 条及び第84 条を妨げることなく、処理者取扱いの目的及び方法を決定することにより本規則に違反する場合、その処理者は、当該取扱いとの関係においては、管理者として扱われる。