- (1) 取扱いが管理者の代わりに行われる場合、その管理者は、適切な技術上及び組織上の保護措置を実装することについて十分な保証を提供する処理者のみを用いるものとし、かつ、取扱いが本規則の要件を満たし、データ主体の権利の保護を確保するようにしなければならない。
- (2) 処理者は、管理者から事前に個別的又は一般的な書面による承認を得ないで、別の処理者を業務に従事させてはならない。 一般的な書面による承認の場合、処理者は、管理者に対し、他の処理者の追加又は交代に関する変更の予定を通知し、それによって、管理者に、そのような変更に対して異議を述べる機会を与えるものとする。
-
(3)
取扱いは、処理者による場合、管理者との関係に関して処理者を拘束し、かつ、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型、並びに、管理者の義務及び権利を定める、EU法又は加盟国の国内法に基づく契約又はその他の法律行為によって規律される。
当該契約又はその他の法律行為は、特に、処理者が次のとおり行うことを定める:
- EU又は加盟国の国内法に基づき処理者が服する法がそのようにすることを要求する場合を除き、第三国又は国際機関への移転に関するものを含め、管理者からの文書化された指示のみに基づいて個人データを取扱うこと。そのような場合、当該法が重要な公共の利益上の理由によりその情報提供を禁止しない限り、処理者は取扱いの前に当該法的要件について管理者に通知すること。
- 個人データの取扱いを承認された者が守秘義務にコミットしていること、又は適切な法定の守秘義務の下にあることを確保すること。
- 第32条に従って要求される全ての措置を講ずること。
- 別の処理者を業務に従事させるために、第2項及び第4項に規定する要件を尊重すること。
- 取扱いの性質を考慮に入れた上で、可能な範囲内で、適切な技術上及び組織上の措置により、管理者が第3章に定めるデータ主体の権利行使の要求に応答する義務を履行できるよう支援すること。
- 取扱いの性質及び処理者に利用可能な情報を考慮に入れた上で、管理者が第32条から第36条による義務の遵守を確保することを支援すること。
- 管理者の選択により、取扱いに関するサービスの提供が終了した後、全ての個人データを消去し、又はこれを管理者に返却し、現存する複製物を消去すること。ただし、EU法又は加盟国の国内法が個人データの保存を要求する場合を除く。
- 管理者が本条に定める義務の遵守を説明するために必要な全ての情報を利用できるようにし、また、管理者によって行われる検査、又は管理者から委任された別の監査人によって行われる検査を含む監査を受け入れ、かつ監査に資するようにすること。
- (4) 処理者が、管理者の代わりに特定の取扱活動を行うために別の処理者を業務に従事させる場合には、当該別の処理者に対し、EU法又は加盟国の国内法に基づく契約又はその他の法律行為によって、段落3にいう管理者と処理者との間の契約又はその他の法律行為に定めるのと同じデータ保護上の義務を課さなければならない。特に、本規則の要件を満たすような態様で適切な技術上及び組織上の措置を実装する十分な保証を提供すること。 当該別の処理者がそのデータ保護の義務を履行しない場合、当初の処理者は、当該別の処理者の義務の履行について、管理者に対して全面的に責任を負うものとする。
- (5) 処理者が第40条に規定する承認された行動規範又は第42条に規定する承認された認証方法に従うことは、本条の第1項及び第4項にいう十分な保証を証明するための要素として用いることができる。
- (6) 管理者と処理者との間の個別の契約を妨げることなく、本条の第3項及び第4項にいう契約又はその他の法律行為は、その全部又は一部について、本条の第7項及び第8項に規定する標準契約条項に基づくことができる。これには、第42条及び第43条に基づき管理者又は処理者に付与される認証の一部分である場合を含む。
- (7) 欧州委員会は、本条の第3項及び第4項に規定する事項に関して、第93条第2項に規定する審議手続に従い、標準契約条項を定めることができる。
- (8) 監督機関は、本条の第3項及び第4項に規定する事項に関して、第63条に規定する一貫性メカニズムに従い、標準契約条項を採択できる。
- (9) 第3項及び第4項に規定する契約又はその他の法律行為は、電子的な方式による場合を含め、書面によるものとする。
- (10) 第82条、第83条及び第84条を妨げることなく、処理者が取扱いの目的及び方法を決定することにより本規則に違反する場合、当該処理者は、当該取扱いに関しては管理者として扱われる。
一般データ保護規則(GDPR)条項
第28条