ドイツ バーデン・ヴュルテンべルク州GDPR第28条に基づく処理契約モデル


処理契約モデルの公表

2020年4月9日、ドイツバーデン・ヴュルテンべルク州のデータ保護監督機関(LfDI-BW)は「新型コロナウイルスによる異例な状況により、データ保護のために新しく確立された管理プロセスが多くの場所でテストされ、たとえば、個人データを処理するためにドイツ国外の企業に注文する場合など、データ処理の合法性について多くの質問を受けている。」として、GDPR第28条に適合する、欧州連合(EU)および欧州経済地域(EEA)内での処理契約モデル(英語版及びドイツ語版)を公表した。
個人データの管理者(controller)が、個人データの処理の一部または全部について第三者に委託する場合、第三者はGDPR第4条第8項の「処理者(Processor)」に該当する。そして、管理者と処理者はGDPR第28条第3項の要件を満たす契約を締結しなければならない。

処理契約モデルの内容

処理契約モデルは、管理者と処理者の間に基本契約(Principal Agreement)が存在することを前提に、GDPR第28条第3項で規定された要件を網羅するものとなっている。

具体的に指摘すると、まず第23条第3項柱書では「処理者による取扱いは、管理者との関係に関して処理者を拘束し、かつ、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型、並びに、管理者の義務及び権利を定める、契約又は その他のEU法若しくは加盟国の国内法に基づく法律行為によって規律される。契約又はその他の法律行為は、 特に、処理者が、以下のとおり行うことを定める」として、まずは当該個人データの取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型を定める必要がある。この点、処理契約モデルでは、個人データの種類及びデータ主体の類型は添付書類(Annex)で列挙することを求めている。もっとも、処理契約モデルでは、取り扱いの対象及び期間、取り扱いの性質及び目的は、「基本契約(のサービス説明)で規定しているとおり」と簡易に済ませている。基本契約が何であれ、通常基本契約を締結すれば、取り扱いの対象及び期間、取り扱いの性質及び目的は明確かもしれないが、明確かどうか疑問がある場合は、添付書類のデータ主体の類型と共に記載する方が無難であろう。

次に、第28条第3項 (a)は、「処理者が服する EU 又は加盟国の国内法がそのようにすることを要求する場合を除き、個人データの 第三国又は国際機関に対する移転と関連するものを含め、管理者からの文書化された指示のみに基づいて個人データを取扱うこと。そのような場合、当該の法律がそのような公共の利益上の重要な法的根拠に関する情報提供を禁止しない限り、処理者は、管理者に対し、取扱いの前に、当該法律上の要件について情報提供するものとする」としている。この点、処理契約モデルでは§5において条文の規定に加えて、管理者の側で指示を担当する人物、処理者の側で指示を受け取る人物、指示の伝達方法、指示文書の保管期間(有効期間終了後3年としている)も定めている。他方で、処理者には、管理者の指示がデータ保護要件に反する疑いがある場合に一時停止権限を、不法な管理者の指示に対しては拒否権限を認め、処理者の保護も図っている。

また、第28条第3項(b)は「個人データの取扱いを承認された者が自ら守秘義務を課し、又は、適切な法律上の守秘義務の下にあることを確保すること」としていることを受け、処理契約モデルでは§6(4)において同内容の規定を定めるとともに、確保する方法として個人データを取り扱う担当者を教育すること、担当者に退職後も守秘義務を課すこと、を挙げている。さらに§6(5)では、担当者が自宅で個人データの処理を行う場合についても言及している。新型コロナウイルスのパンデミックを受け、在宅勤務が激増したことを反映したのであろう。

次に、第28条第3項(c)は「第32条によって求められる全ての措置を講ずること」を受け、処理契約モデル§6(2)では添付書類に第32条に基づく技術的及び組織的措置を具体的に記載する必要がある。やはり、処理者によるデータ漏洩等を防止するために、どのような技術的及び組織的措置を講じるべきか処理契約において具体的に定めることは、契約の要となる。

さらに、第28条第3項(d)は「別の処理者を業務に従事させるために、第2項及び第 4項に規定する要件を尊重すること」としている。この点、処理契約モデルでは、3パターンを提示している。

また、第28条第3項(e)は「第3章に定めるデータ主体の権利を行使するための要求に対処すべき管理者の義務を充足させるために、それが可能な範囲内で、取扱いの性質を考慮に入れた上で、適切な技術上及び組織上の措置によって、 管理者を支援すること」とし、さらに(f) では「取扱いの性質及び処理者が利用可能な情報を考慮に入れた上で、第 32 条から第36 条による義務の遵守の確保において、管理者を支援すること」としている。この点、処理契約モデル§7(4)では、処理者は第33条及び第34条の義務(管理者の監督機関やデータ主体への通知義務)を支援するだけではなく、「管理者の指示がなければ管理者に代わって第33条や第34条の通知をしてはならない」と処理者の行為に制限をかけている。その他、GDPR第3章及び第32条から第36条に規定された管理者の義務は、処理契約モデルの中に分散して網羅されている。

次に、第28条第3項(g)や(h)の内容も処理契約モデルでは網羅されているが、さらに、処理契約モデルでは、GDPR上に規定された処理者自身の義務(記録義務やデータ保護オフィサーの選任等)も内容としている規定がある。契約に載せれば、処理者自身の法律上の義務であると同時に、契約上の義務となるので、管理者にとっては有利となる。

やはり、契約書で一番問題となるのは、問題が生じた場合の損害賠償・責任の項目である。この点、GDPR第82条では損害賠償や法的責任について規定しているが、処理契約モデルでは「第82条に従って責任を負う」とし、責任が免除される例外を規定し、「その他は基本契約の責任に対応するものとする」としか規定されていない。万が一問題が生じた場合に賠償額がどうなるのか、基本契約と勘案して、規定を加えることも必要であろう。

処理契約モデルの対象

今回公表された処理契約モデルは、処理者がEU及びEEA域内に活動拠点がある場合を対象としている。もっとも、処理者がEU及びEEA域内に活動拠点がない場合であっても、管理者がGDPR の適用を受ける場合には、GDPR第28 条に基づく契約の締結が必要となる。その場合、EU及びEEA域外の処理者も、処理契約を締結することにより間接的にGDPR上の義務を課されることになる。処理者がEU及びEEA域内に活動拠点がない場合であっても、今回の処理契約モデルは大いに参考になるものとなっている。

 

【LfDI-BWのWebページ】
https://www.baden-wuerttemberg.datenschutz.de/datenschutz-in-zeiten-der-krise-handreichungen-des-lfdi-helfen-bei-auftragsverarbeitung-innerhalb-der-eu-und-des-ewr/

< IIJは、近日中に本契約書の和訳資料を会員様向けに公開する予定です >

関連記事