Skip to main content

データ処理契約(DPA)

TL; DR

データ処理契約(略してDPA)は、GDPRコンプライアンスに関してデータのプライバシーを規制することを目的とした、企業とサードパーティのデータ処理者との間の法的拘束力のある契約です。

データ処理契約(DPA)とは何ですか?

オンラインで存在するビジネスは、適切に機能するためにサードパーティに依存しています。これらのサードパーティは、電子メールプロバイダーから、Webサイト分析ツールやチャットツールなど、何でもかまいません。基本的に、ユーザーの個人データを処理するツール。データが適切に保存され、悪用、販売、または攻撃に対して脆弱でないことを確認するために、そのビジネス(コントローラー)と各サードパーティ(プロセッサー)の間でデータ処理契約に署名する必要があります。これは、GDPRに準拠するための最も基本的な手順の1つです。

これらのサードパーティツールの大部分は、DPAをWebサイトでダウンロードして署名できるようにします。たとえば、Visitor Analytics DPAは次のとおりです: https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/。署名されたDPAは、通常、電子メールで要求することもできます。

独自のデータ処理契約を作成する必要がある場合は、公式テンプレートをhttps://gdpr.eu/data-processing-agreement/からダウンロードできます。 GDPRに準拠し、高額の罰金を回避するために、どの組織でもこのドキュメントを使用できます。

データ処理契約は、欧州連合からのデータを保存および/または処理する企業に適用され、処理者に関する次の問題に対処します。

  • 適切な情報セキュリティが実施されている必要があります。
  • サブプロセッサは、コントローラの同意なしにデータを使用することはできません。
  • 必要に応じて、データ保護当局との協力を提供する必要があります。
  • データ侵害は直ちにコントローラーに報告する必要があります。
  • すべての処理アクティビティの記録を保持する必要があります。
  • EUデータ転送ルールへの準拠;
  • 起こりうるデータ侵害を管理する際のコントローラーの支援。

これに関するより詳細な情報は、 https://gdpr.eu/article-28-processor/にあります。