CNIL、データ処理委託契約モデル条項を公開


フランスのデータ保護監督機関CNIL (Commission Nationale de l’Informatique et des Libertés) が個人データ処理外注のガイドラインとともにGDPR第28条に準拠した処理委託契約のモデル条項案を公開した。

2018年5月25日に施行されるEU一般データ保護規則(GDPR)により、管理者と管理者に代わってデータ処理を実施する処理者との関係に関する法律が旧EUデータ保護指令 (95/46/EC) に比べて大幅に強化される。

9月29日、CNILは、処理委託関係に関するGDPR解釈運用のガイダンスと併せ、他のEU加盟各国に先駆けて、処理委託契約条項例 (Example de clauses contractuelles de sous-traitance) と題するモデル条項を公表した。このモデル条項は、現在のところGDPR第28条第8項に基づく正式な採択手続を経ていないが、GDPR第28条が要求する法定記載事項を網羅しており、EU主要国のデータ保護監督機関が作成・公表したものであることから、実際に管理者と処理者との間で締結する処理契約の雛形として実用に堪えるものだと考えられる。

IIJではこのモデル条項を日本語及び英語に仮訳し、当サイトでホワイトペーパーとして公開した。

ホワイトペーパー:
https://www.bizrisk.iij.jp/GDPR/_link.do?i=wpaper_summary&p=185
CNILガイドライン及びモデル条項原文:
https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

関連記事