欧州 EDPB データ処理者および再処理者への依存に伴う一定の義務に関する意見

こんにちは、丸山満彦です。

欧州データ保護理事会（EDPB）が、2024.10.09 の本会議において、「データ処理者および再処理者への依存に伴う一定の義務に関する意見」、「正当な利益に関するガイドライン」、「GDPR施行のための追加的な手続き規則の策定に関する声明」、および「EDPB作業プログラム2024-2025」を採択していますね。

で、今回は最初の「データ処理者および再処理者への依存に伴う一定の義務に関する意見」の話...

まずは、プレス...

 

● EDPB

・2024.10.09 EDPB adopts Opinion on processors, Guidelines on legitimate interest, Statement on draft regulation for GDPR enforcement, and work programme 2024-2025

EDPB adopts Opinion on processors, Guidelines on legitimate interest, Statement on draft regulation for GDPR enforcement, and work programme 2024-2025	EDPB、処理者に関する意見書、正当な利益に関するガイドライン、GDPR執行のための規則草案に関する声明、および作業計画2024-2025を採択
Brussels, 09 October - During its latest plenary, the European Data Protection Board (EDPB) adopted an Opinion on certain obligations following from the reliance on processor(s) and sub-processor(s), Guidelines on legitimate interest, a Statement on laying down additional procedural rules for GDPR enforcement and the EDPB work programme 2024-2025.	ブリュッセル、10月9日 - 欧州データ保護理事会（EDPB）は、最新の本会議において、処理者およびサブ処理者への依存に伴う一定の義務に関する意見書、正当な利益に関するガイドライン、GDPR執行のための追加的な手続き規則の制定に関する声明、およびEDPB作業計画2024-2025を採択した。
First, the EDPB adopted an Opinion on certain obligations following from the reliance on processor(s) and sub-processor(s) following an Art. 64(2) GDPR request to the Board by the Danish Data Protection Authority (DPA). Art. 64(2) GDPR provides that any DPA can ask the Board to issue an opinion on matters of general application or producing effects in more than one Member State.	まず、EDPBは、GDPR第64条(2)の要請を受けた処理者および再処理者への依存から生じる一定の義務に関する意見を採択した。64(2)デンマークのデータ保護局（DPA）による理事会への要請を受けた。第64条(2)GDPRは、データ保護機関（DPA）が理事会に要請したデータ処理者（複数可）および再処理者（複数可）に依存することを規定している。64(2)GDPRは、どのDPAも理事会に対し、一般的な適用事項または複数の加盟国に影響を及ぼす事項に関する意見書の発行を求めることができると規定している。
The Opinion is about situations where controllers rely on one or more processors and sub-processors. In particular, it addresses eight questions on the interpretation of certain duties of controllers relying on processors and sub-processors, as well as the wording of controller-processor contracts, arising in particular from Art. 28 GDPR.	本意見書は、管理者が1つまたは複数の処理者および再処理者に依存している状況に関するものである。特に、GDPR第28条に起因する、処理者およびサブ処理者に依存する管理者の特定の義務の解釈や、管理者と処理者の契約の文言に関する8つの質問を取り上げている。28 GDPRに起因する。
The Opinion explains that controllers should have the information on the identity (i.e. name, address, contact person) of all processors, sub-processors etc. readily available at all times so that they can best fulfil their obligations under Art. 28 GDPR. Besides, the controller’s obligation to verify whether the (sub-)processors present ‘sufficient guarantees’ should apply regardless of the risk to the rights and freedoms of data subjects, although the extent of such verification may vary, notably on the basis of the risks associated with the processing.	本意見書は、管理者は、GDPR第28条に基づく義務を最大限に果たすことができるよう、すべての処理者、再処理者等の身元に関する情報（すなわち、氏名、住所、連絡先）を常に容易に入手できるようにしておく必要があると説明している。28 GDPRに基づく義務を最大限に果たすことができる。また、（再）処理者が「十分な保証」を提供しているかどうかを検証する管理者の義務は、データ対象者の権利と自由に対するリスクに関係なく適用されるべきであるが、その検証の程度は、特に処理に関連するリスクに基づいて異なる可能性がある。
The Opinion also states that while the initial processor should ensure that it proposes sub-processors with sufficient guarantees, the ultimate decision and responsibility on engaging a specific sub-processor remains with the controller.	また、本意見書では、最初の処理者は、十分な保証のある再処理者を提案することを保証すべきであるが、特定の再処理者との契約に関する最終的な決定と責任は管理者にあるとしている。
The EDPB considers that under the GDPR the controller does not have a duty to systematically ask for the sub-processing contracts to check if data protection obligations have been passed down the processing chain. The controller should assess whether requesting a copy of such contracts or reviewing them is necessary for it to be able to demonstrate compliance with the GDPR.	EDPBは、GDPRの下では、管理者は、データ保護義務が処理連鎖の下流に受け継がれているかどうかを確認するために、体系的に再処理契約を求める義務はないと考えている。管理者は、GDPRの遵守を証明するために、そのような契約書のコピーを要求したり、契約書を見直したりすることが必要かどうかをアセスメントすべきである。
In addition, where transfers of personal data outside of the European Economic Area take place between two (sub-)processors, the processor as data exporter should prepare the relevant documentation, such as relating to the ground of transfer used, the transfer impact assessment and the possible supplementary measures. However, as the controller is still subject to the duties stemming from Art. 28(1) GDPR on ‘sufficient guarantees’, besides the ones under Art. 44 to ensure that the level of protection is not undermined by transfers of personal data, it should assess this documentation and be able to show it to the competent Data Protection Authority.	さらに、欧州経済地域外への個人データの移転が2つの（再）処理者間で行われる場合、データ移転者としての処理者は、使用される移転理由、移転影響アセスメント、可能な補足措置などに関する関連文書を準備する必要がある。ただし、管理者は依然としてGDPR第28条第1項に基づく義務を負う。第28条(1)の「十分な保証」に起因する義務に従う。第44条に基づき、個人データの移転によって保護水準が損なわれないことを保証する義務を負うため、管理者はこの文書を評価し、管轄のデータ保護当局に提示できるようにしなければならない。
Next, the Board adopted Guidelines on the processing of personal data based on legitimate interest.	次に、理事会は正当な利益に基づくパーソナルデータの処理に関するガイドラインを採択した。
Data controllers need a legal basis to process personal data lawfully. Legitimate interest is one of the six possible legal bases.	データ管理者が個人データを合法的に処理するには法的根拠が必要である。正当な利益は6つの法的根拠のうちの1つである。
These Guidelines analyse the criteria set down in Art. 6(1) (f) GDPR that controllers must meet to lawfully process personal data on the basis of legitimate interest. It also takes into consideration the recent ECJ ruling on this matter (C-621/22, 4 October 2024).	本ガイドラインは、GDPR第6条1項(f)の規準を分析するものである。6(1)(f)GDPRに規定された基準を分析し、管理者が正当な利益に基づいて個人データを合法的に処理するために満たさなければならない基準を示す。また、この件に関する最近のECJ判決（C-621/22、2024年10月4日）も考慮している。
In order to rely on legitimate interest, the controller needs to fulfil three cumulative conditions:	正当な利益に依拠するためには、管理者は3つの累積的条件を満たす必要がある：
The pursuit of a legitimate interest by the controller or by a third party;	管理者または第三者による正当な利益の追求、
The necessity to process personal data for the purposes of  pursuing the legitimate interest;	正当な利益の追求を目的としたパーソナルデータの処理の必要性、
The interests or fundamental freedoms and rights of individuals do not take precedence over the legitimate interest(s) of the controller or of a third party (balancing exercise).	個人の利益または基本的自由および権利が、管理者または第三者の正当な利益（複数可）に優先しないこと（均衡行使）。
First of all, only the interests that are lawful, clearly and precisely articulated, real and present may be considered legitimate. For example, such legitimate interests could exist in a situation where the individual is a client or in the service of the controller.	第一に、合法的で、明確かつ正確に明示され、現実に存在する利益のみが正当な利益とみなされる。例えば、そのような正当な利益は、個人が顧客である状況や、管理者にサービスを提供している状況において存在する可能性がある。
Second, if there are reasonable, just as effective, but less intrusive alternatives for achieving the interests pursued, the processing may not be considered to be necessary. The necessity of a processing should also be examined with the principle of data minimisation.	第二に、追求される利益を達成するために、合理的で、同等の効果があるが、より侵入的でない代替手段がある場合、その処理は必要であるとはみなされない。処理の必要性は、データ最小化の原則とも照らし合わせて検討されなければならない。
Third, the controller must ensure that its legitimate interest is not overridden by the individual's interests, fundamental rights or freedoms. In this balancing exercise, the controller needs to take into account the interests of the individuals, the impact of the processing and their reasonable expectations, as well as the existence of additional safeguards which could limit the impact on the individual.	第三に、管理者は、その正当な利益が個人の利益、基本的権利または自由によって優先されないことを保証しなければならない。この均衡をとるために、管理者は、個人の利益、処理の影響および合理的な期待、さらに個人への影響を制限しうる追加的な保護措置の存在を考慮する必要がある。
In addition, these Guidelines explain how this assessment should be carried out in practice, including in a number of specific contexts such as fraud prevention, direct marketing and information security. The document also explains the relationship between this legal basis and a number of data subject rights under the GDPR.	さらに、本ガイドラインでは、詐欺防止、ダイレクトマーケティング、情報セキュリティなど、多くの具体的な状況を含め、このアセスメントを実際にどのように実施すべきかを説明している。また、この文書は、この法的根拠とGDPRに基づく多くのデータ対象者の権利との関係についても説明している。
The Guidelines will be subject to public consultation until 20 November 2024.	ガイドラインは、2024年11月20日までパブリックコンサルテーションの対象となる。
Next, the Board adopted a Statement following the amendments made by the European Parliament and the Council to the European Commission’s proposal for a Regulation laying down additional procedural rules relating to the enforcement of the GDPR.	次に、GDPRの施行に関する追加的な手続き規則を定めた欧州委員会の規則案に対して欧州議会と理事会が修正を加えたことを受け、理事会は声明を採択した。
The Statement generally welcomes the modifications introduced by the European Parliament and the Council, and recommends further addressing specific elements in order for the new regulation to achieve the objectives of streamlining cooperation between authorities and improving the enforcement of the GDPR.	声明は、欧州議会と欧州理事会により導入された修正を概ね歓迎し、新規則が当局間の協力を合理化し、GDPRの執行を改善するという目的を達成するために、特定の要素にさらに対処することを推奨している。
The Statement makes practical recommendations that may be used in the context of the upcoming trilogues. In particular, the EDPB reiterates the need for a legal basis and harmonised procedure for amicable settlements and it makes recommendations in view of ensuring that consensus on the summary of key issues is reached in the most efficient manner. The Board also welcomes the inclusion of additional deadlines while recalling that they need to be realistic and urges the co-legislators to remove the provisions related to the relevant and reasoned objections and the ‘statement of reasons’ in the dispute resolution procedure.	本ステートメントは、今後予定されている3カ国協議の文脈で使用される可能性のある実践的な提言を行っている。特に、EDPBは、友好的解決のための法的根拠と調和された手続きの必要性を再確認し、重要事項の要約に関するコンセンサスが最も効率的な方法で得られるようにする観点から提言を行っている。理事会はまた、追加的な期限を盛り込んだことを歓迎するが、その期限は現実的なものである必要があることを想起し、共同立法者に対し、紛争解決手続きにおける関連性のある理由付き異議申し立てと「理由書」に関連する規定を削除するよう求める。
While the Statement welcomes the objective of achieving increased transparency, the introduction of a joint case file, as proposed by the European Parliament, would require complex changes to the document management and communication systems used at European and national levels. The technical solutions for its implementation should be carefully assessed, and the modalities for granting access to it should be further clarified.	序文は、透明性の向上を達成するという目的を歓迎するが、欧州議会が提案する共同事件ファイルの導入は、欧州および各国レベルで使用されている文書管理およびコミュニケーションシステムに複雑な変更を必要とする。その導入のための技術的な解決策を慎重に評価し、アクセス許可の方法をさらに明確にすべきである。
The EDPB welcomes the Council’s amendment allowing the lead DPA to opt-out from the so-called enhanced cooperation in simple and straightforward cases, but it highlights the need to clarify further the scope of this opt-out.	EDPBは、単純で分かりやすいケースにおいて、主管DPAがいわゆる強化された協力からオプトアウトすることを認める理事会の修正を歓迎するが、このオプトアウトの範囲をさらに明確にする必要性を強調する。
EDPB Chair Anu Talus said: “The draft regulation has the potential to greatly streamline GDPR enforcement by increasing the efficiency of case handling. More harmonisation is needed at EU level, in order to maximise the full effectiveness of the GDPR’s cooperation and consistency mechanisms.”	EDPBのアヌ・タルス委員長は次のように述べた： 「ドラフト規則は、ケース処理の効率性を高めることにより、GDPRの執行を大幅に合理化する可能性を秘めている。GDPRの協力と一貫性のメカニズムの効果を最大化するためには、EUレベルでさらなる調和が必要である。
During its latest plenary, the Board adopted its work programme for 2024-2025. This is the first one of two work programmes which will implement the EDPB strategy for 2024-2027 adopted in April 2024. It is based on the priorities set in the EDPB strategy and it also takes into account the needs identified as most important for stakeholders .	最新の本会議で、理事会は2024-2025年の作業計画を採択した。これは、2024年4月に採択された2024-2027年のEDPB戦略を実施するための2つの作業計画のうち、最初のものである。これは、EDPB戦略で設定された優先事項に基づいており、また、ステークホルダーにとって最も重要であると特定されたニーズも考慮されている。
Finally, the EDPB members agreed to grant the status of observer to the EDPB’s activities to the Kosovan Information and Privacy Agency (Kosovan DPA), in line with Art. 8 EDPB Rules of Procedure.	最後に、EDPBメンバーは、コソボ情報・プライバシー庁（Kosovan DPA）に対し、EDPBの活動に対するオブザーバーの地位を付与することに合意した。第8条 EDPB手続規則に基づき、コソボのDPAにEDPB活動のオブザーバーの地位を与えることに合意した。

 

最初の話は、管理者と（再）処理者（日本風にいうと（再）委託先ですかね...）との関係の話ですね...

デンマークの個人データ保護機関の依頼により、管理者と処理者に関するガイドラインが公表されていますね...

・2024.10.09 Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s)

・[PDF]

・[DOCX][PDF] 仮訳

 

エグゼクティブサマリー...

Executive summary	エグゼクティブ・サマリー
The Danish SA requested the EDPB to issue an opinion on matters of general application pursuant to Article 64(2) GDPR. The opinion contributes to a harmonised interpretation by the national supervisory authorities of certain aspects of Article 28 GDPR, where appropriate in conjunction with Chapter V GDPR. In particular, the opinion addresses questions on the interpretation of certain duties of controllers relying on processors and sub-processors, arising in particular from Article 28 GDPR, as well as the wording of controller-processor contracts. The questions address processing of personal data in the EEA as well processing following a transfer to a third country.	デンマークのSAはEDPBに対し、GDPR第64条 (2)に従い、一般的な適用事項に関する意見書の発行を要請した。本意見書は、GDPR第5章との関連で適切な場合、GDPR第28条の特定の側面について、各国の監督当局による調和のとれた解釈に資するものである。特に、本意見書は、特にGDPR第28条から生じる、処理者および再処理者に依存する管理者の特定の義務の解釈、ならびに管理者と処理者の契約の文言に関する問題を取り上げている。質問は、EEA内での個人データの処理と、第三国への移転後の処理に対応している。
The Board concludes in this opinion that controllers should have the information on the identity (i.e. name, address, contact person) of all processors, sub-processors etc. readily available at all times so that they can best fulfil their obligations under Article 28 GDPR, regardless of the risk associated with the processing activity. To this end, the processor should proactively provide to the controller all this information and should keep them up to date at all times.	管理者は、処理活動に関連するリスクにかかわらず、GDPR第28条に基づく義務を最大限に果たすことができるよう、すべての処理者、再処理者等の身元に関する情報（すなわち、氏名、住所、連絡先）を常に容易に入手できるようにしておくべきである、と当委員会は本意見書の中で結論付けている。このため、処理者は、管理者にこれらすべての情報を積極的に提供し、常に最新の状態に保つべきである。
Article 28(1) GDPR provides that controllers have the obligation to engage processors providing ‘sufficient guarantees’ to implement ‘appropriate’ measures in such a manner that the processing will meet the requirements of the GDPR and ensure the protection of the rights of data subjects. The EDPB considers, in its opinion, that when assessing compliance of controllers with this obligation and with the accountability principle (Article 24(1) GDPR), SAs should consider that the engagement of processors should not lower the level of protection for the rights of data subjects. The controller’s obligation to verify whether the (sub-)processors present ‘sufficient guarantees’ to implement the appropriate measures determined by the controller should apply regardless of the risk to the rights and freedoms of data subjects. However, the extent of such verification will in practice vary depending on the nature of these technical and organisational measures, which may be stricter or more extensive depending on the level of such risk.	GDPR第28条 (1)は、管理者は、処理がGDPRの要求事項を満たし、データ主体の権利保護を確実にするような「適切な」措置を実施する「十分な保証」を提供する処理者に委託する義務を負うと規定している。EDPBの見解では、管理者がこの義務および説明責任の原則（GDPR第24条 (1)）を遵守しているかどうかを評価する際、SAは、処理者の関与がデータ主体の権利保護のレベルを低下させるべきではないと考えるべきである。データ主体の権利および自由に対するリスクに関係なく、（再）処理者が管理者の決定した適切な措置を実施する「十分な保証」を提示しているかどうかを検証する管理者の義務は適用されるべきである。ただし、このような検証の程度は、実際には、これらの技術的および組織的措置の性質によって異なり、このようなリスクのレベルに応じて、より厳格になる場合もあれば、より広範囲になる場合もある。
The EDPB further specifies in the opinion that while the initial processor should ensure that it proposes sub-processors providing sufficient guarantees, the ultimate decision on whether to engage a specific sub-processor and the pertaining responsibility, including with respect to verifying the guarantees, remains with the controller. SAs should assess whether the controller is able to demonstrate that the verification of the sufficiency of the guarantees provided by its (sub-)processors has taken place to the controller’s satisfaction. The controller may choose to rely on the information received from its processor and build on it if needed (for example, where it seems incomplete, inaccurate or raises questions). More specifically, for processing presenting a high risk to the rights and freedoms of data subjects, the controller should increase its level of verification in terms of checking the information provided. In that regard, the EDPB considers that under the GDPR the controller does not have a duty to systematically ask for the sub-processing contracts to check whether the data protection obligations provided for in the initial contract have been passed down the processing chain. The controller should assess, on a case-by-case basis, whether requesting a copy of such contracts or reviewing them at any time is necessary for it to be able to demonstrate compliance in light of the principle of accountability.	EDPBはさらに、最初の処理者は、十分な保証を提供する再処理者を提案することを保証すべきであるが、特定の再処理者に従事させるかどうかの最終的な決定、および保証の検証を含む関連する責任は、管理者にあることを意見書に明記している。SAは、管理者が、（再）処理者が提供する保証の十分性の検証が、管理者が満足するように行われたことを証明できるかどうかを評価する必要がある。管理者は、処理者から受領した情報に依拠することを選択し、必要な場合（例えば、不完全、不正確、または疑問があると思われる場合）、その情報を基に構築することができる。より具体的には、データ主体の権利および自由に対するリスクが高い処理については、管理者は、提供された情報のチェックという点で、検証のレベルを高めるべきである。この点に関して、EDPBは、GDPRの下では、管理者は、最初の契約において規定されたデータ保護義務が処理連鎖の下層に受け継がれているかどうかを確認するために、サブ処理契約を体系的に求める義務はないと考えている。管理者は、説明責任の原則に照らして遵守を証明するために、そのような契約書のコピーを要求すること、またはそれらを随時確認することが必要かどうかを、ケースバイケースで評価すべきである。
Where transfers of personal data outside of the EEA take place between two (sub-)processors, in accordance with the controller’s instructions, the controller is still subject to the duties stemming from Article 28(1) GDPR on ‘sufficient guarantees’, besides the ones under Article 44 to ensure that the level of protection guaranteed by the GDPR is not undermined by transfers of personal data. The processor/exporter should prepare the relevant documentation, in line with the case-law and as explained in EDPB Recommendations 01/2020. The controller should assess and be able to show to the competent SA such documentation. The controller may rely on the documentation or information received from the processor/exporter and if necessary build on it. The extent and nature of the controller’s duty to assess this documentation may depend on the ground used for the transfer and whether the transfer constitutes an initial or onward transfer.	EEA域外への個人データの移転が、管理者の指示に従い、2つの（再）処理者間で行われる場合、管理者は、GDPRが保証する保護レベルが個人データの移転によって損なわれないことを保証するための第44条に基づく義務に加え、「十分な保証」に関するGDPR第28条第 (1)に由来する義務にも依然として服する。処理者／輸出者は、判例に従い、またEDPB勧告01/2020で説明されているように、関連文書を準備すべきである。管理者は、当該文書を評価し、管轄SAに提示できるようにしなければならない。管理者は、加工業者／輸出業者から受領した文書または情報に依拠し、必要に応じてそれを基にすることができる。この文書を評価する管理者の義務の範囲および性質は、移転に使用される根拠、および移転が初回移転にあたるか、またはオンワード移転にあたるかによって異なる場合がある。
The EDPB also addressed, in the opinion, a question on the wording of controller-processor contracts. In this respect, a basic element is the commitment for the processor to process personal data only on documented instructions from the controller, unless the processor is “required to [process] by Union or Member State law to which the processor is subject” (Article 28(3)(a) GDPR) - recalling the general principle that contracts cannot override the law. In light of the contractual freedom afforded to the parties to tailor their controller-processor contract to their circumstances, within the limits of Article 28(3) GDPR, the EDPB takes the view that including the words “unless required to do so by Union or Member State law to which the processor is subject” (either verbatim or in very similar terms) is highly recommended but not mandatory.	EDPBはまた、意見書の中で、管理者と処理者の契約の文言に関する問題にも言及している。この点に関して、基本的な要素は、処理者が「処理者が従う連合国または加盟国の法律により（処理を）要求された」場合を除き、処理者が管理者からの文書化された指示にのみ基づき個人データを処理することを約束することである（GDPR28条(3)（a））。EDPBは、GDPR第28条(3)の制限の範囲内で、管理者と処理者の契約をそれぞれの状況に合わせて調整する契約上の自由が当事者に与えられていることを考慮し、「処理者が従う連邦法または加盟国の法律によって要求されない限り」という文言（逐語的または非常に類似した表現）を含めることを強く推奨するが、強制ではないとの見解を示している。
As to variants similar to “unless required to do so by law or binding order of a governmental body” the EDPB takes the view that this remains within prerogative of the contractual freedom of the parties and does not infringe Article 28(3)(a) GDPR per se. At the same time the EDPB identifies a number of issues in its opinion, as such a clause does not exonerate the processor from complying with its obligations under the GDPR.	EDPBは、「法律または政府機関の拘束力のある命令によって要求されない限り」と類似した条項については、これは当事者の契約自由の特権の範囲内にとどまり、それ自体がGDPR第28条(3)(a)を侵害するものではないとの見解を示している。同時にEDPBは、このような条項がGDPRに基づく義務の遵守から処理者を免責するものではないとして、その意見において多くの問題点を指摘している。
For personal data transferred outside of the EEA, the EDPB considers it unlikely that the wording “unless required to do so by law or binding order of a governmental body”, in itself, suffice to achieve compliance with Article 28(3)(a) GDPR in conjunction with Chapter V. As is illustrated by the European Commission’s International Transfer SCCs and the BCR-C recommendations, Article 28(3)(a) GDPR does not prevent - on principle - the inclusion in the contract of provisions that address third country law requirements to process transferred personal data. However, as is the case in these documents, a distinction should be made between the third country law(s) which would undermine the level of protection guaranteed by the GDPR and those that would not. Finally, the EDPB recalls that the possibility of third country law impeding compliance with the GDPR should be a factor considered by the parties before entering into the contract (between controller and processor or between processor and sub-processor).	EEA域外に移転される個人データについて、EDPBは、「法律または政府機関の拘束力のある命令によって要求されない限り」という文言それ自体で、第5章と合わせてGDPR第28条(3)(a)の遵守を達成するのに十分であるとは考えにくいと考える。欧州委員会の国際移転SCCおよびBCR-C勧告に示されているように、GDPR第28条(3)(a)は、原則として、移転される個人データを処理するための第三国法の要件に対処する条項を契約に含めることを妨げるものではない。ただし、これらの文書にあるように、GDPRが保証する保護レベルを損なうことになる第三国の法律と、そうでない法律とを区別すべきである。最後に、EDPBは、第三国法がGDPRの遵守を阻害する可能性は、契約締結前（管理者と処理者間または処理者と再処理者間）に当事者が考慮すべき要素であることを想起する。
Where the processor is processing personal data within the EEA, it may still be faced with third country law, in certain circumstances. The EDPB underlines that the addition in the contract of wording similar to “unless required to do so by law or binding order of a governmental body” does not release the processor from its obligations under the GDPR.	処理者がEEA域内で個人データを処理している場合でも、状況によっては第三国の法律に直面する可能性がある。EDPBは、契約書に「法律または政府機関の拘束力のある命令によって要求されない限り」という文言を追加しても、GDPRに基づく義務から処理者が解放されるわけではないことを強調している。
Finally, the EDPB is of the opinion that following up the commitment of the processor to only process on documented instructions with “unless required to do so by law or binding order of a governmental body” (either verbatim or in very similar terms) cannot be construed as a documented instruction by the controller.	最後に、EDPBは、文書化された指示に基づく処理のみを行うという処理者のコミットメントを、「法律または政府機関の拘束力のある命令によって要求されない限り」（逐語的または非常に類似した表現）でフォローすることは、管理者による文書化された指示とは解釈できないという見解を持っている。

 

 

目次...

Executive summary	エグゼクティブ・サマリー
1 INTRODUCTION	1 はじめに
1.1 Summary of facts	1.1 事実の概要
1.2 Admissibility of the request for an Article 64(2) GDPR Opinion	1.2 GDPR第64条(2)意見書の請求の可否
2 ON THE MERITS OF THE REQUESTERROR	2 要求事項のメリット
2.1 On the interpretation of Articles 28(1), 28(2) and 28(4) GDPR combined with Article 5(2) and Article 24(1) (questions 1.1 and 1.3)	2.1 GDPR第28条 (1)、28条 (2)、28条4項と、第5条 (2)および第24条 (1)の組み合わせの解釈について（質問1.1および1.3）
2.1.1 Identification of the actors in the processing chain	2.1.1 処理チェーンの関係者の特定
2.1.2 Verification and documentation by the controller of the sufficiency of the guarantees provided by all the processors in the processing chain	2.1.2 管理者による、処理チェーン内のすべての処理者が提供する保証の十分性の検証と文書化
2.1.3 Verification of the contract between the initial processor and the additional processors	2.1.3 最初の処理者と追加処理者間の契約の検証
2.2 On the interpretation of Article 28(1) GDPR in conjunction with Article 44 GDPR (transfers in the processing chain - questions 1.2 and 1.3)	2.2 GDPR第28条 (1)とGDPR第44条（処理連鎖における移転-質問1.2および1.3）の解釈について
2.3 On the interpretation of Article 28(3)(a) GDPR (question 2)	2.3 GDPR第28条(3)(a)の解釈について（質問2）

 

 

---

話題となっているGDPR第24条（管理者の責任）と第28条（処理者）は次のようになっています...

訳は個人情報保護委員会の[PDF]仮訳...

Article 24 Responsibility of the controller	第24 条 管理者の責任
1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organizational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.	1. 取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者は、本規則に従って取扱いが遂行されることを確保し、かつ、そのことを説明できるようにするための適切な技術上及び組織上の措置を実装するものとする。それらの措置は、レビューされ、また、必要があるときは、最新のものに改められるものとする。
2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.	2. 取扱活動と関連して比例的である場合、第1 項に規定する措置は、管理者による適切なデータ保護方針の実装を含むものとする。
3. Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller.	3. 第 40 条に規定する承認された行動規範及び第 42 条に規定する承認された認証方法の遵守は、管理者の義務が履行されていることを証明するための要素として用いることができる。
Article 28 Processor	第28 条 処理者
1. Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.	1. 管理者の代わりの者によって取扱いが行われる場合、その管理者は、当該取扱いが本規則に定める義務に適合するような態様で適切な技術上及び組織上の保護措置を実装することについて十分な保証を提供する処理者のみを用いるものとし、かつ、データ主体の権利の保護を確保するものとする。
2. The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes.	2. 処理者は、管理者から事前に個別的又は一般的な書面による承認を得ないで、別の処理者を業務に従事させてはならない。一般的な書面による承認の場合、処理者は、管理者に対し、別の処理者の追加又は交代に関る変更の予定を通知し、それによって、管理者に、そのような変更に対して異議を述べる機会を与えるものとする。
3. Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor:	3. 処理者による取扱いは、管理者との関係に関して処理者を拘束し、かつ、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型、並びに、管理者の義務及び権利を定める、契約又はその他のEU法若しくは加盟国の国内法に基づく法律行為によって規律される。契約又はその他の法律行為は、特に、処理者が、以下のとおり行うことを定める：
(a) processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;	(a) 処理者が服する EU 又は加盟国の国内法がそのようにすることを要求する場合を除き、個人データの第三国又は国際機関に対する移転と関連するものを含め、管理者からの文書化された指示のみに基づいて個人データを取扱うこと。そのような場合、当該の法律がそのような公共の利益上の重要な法的根拠に関する情報提供を禁止しない限り、処理者は、管理者に対し、取扱いの前に、当該法律上の要件について情報提供するものとする。
(b) ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;	(b) 個人データの取扱いを承認された者が自ら守秘義務を課し、又は、適切な法律上の守秘義務の下にあることを確保すること。
(c) takes all measures required pursuant to Article 32;	(c) 第32 条によって求められる全ての措置を講ずること。
(d) respects the conditions referred to in paragraphs 2 and 4 for engaging another processor;	(d) 別の処理者を業務に従事させるために、第2 項及び第4 項に規定する要件を尊重すること。
(e) taking into account the nature of the processing, assists the controller by appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of the controller's obligation to respond to requests for exercising the data subject's rights laid down in Chapter III;	(e) 第 3 章に定めるデータ主体の権利を行使するための要求に対処すべき管理者の義務を充足させるために、それが可能な範囲内で、取扱いの性質を考慮に入れた上で、適切な技術上及び組織上の措置によって、管理者を支援すること。
(f) assists the controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 taking into account the nature of processing and the information available to the processor;	(f) 取扱いの性質及び処理者が利用可能な情報を考慮に入れた上で、第 32 条から第 36 条による義務の遵守の確保において、管理者を支援すること。
(g) at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data;	(g) 取扱いと関係するサービスの提供が終了した後、EU 法又は加盟国の国内法が個人データの記録保存を要求していない限り、管理者の選択により、全ての個人データを消去し、又は、これを管理者に返却すること、並びに、存在している複製物を消去すること。
(h) makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller.	(h) 本条に定める義務の遵守を説明するため、及び、管理者によって行われる検査若しくは管理者から委任された別の監査人によって行われる検査を含め、監査を受け入れ、若しくは、監査に資するようにするために必要な全ての情報を、管理者が利用できるようにすること。
With regard to point (h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions.	第1 副項(h)に関し、処理者は、その見解において、指示が本規則又はその他のEU 又は加盟国のデータ保護の条項に違反する場合、直ちに、そのことを管理者に通知するものとする。
4. Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 3 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Regulation. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor's obligations.	4. 管理者の代わりの特定の取扱活動を行うために、処理者が別の処理者を業務に従事させる場合、当該別の処理者に対し、契約によって、又は、EU 法若しくは加盟国の国内法に基づくその他の法律行為によって、特に、その取扱いが本規則の要件に適合するような態様で適切な技術上及び組織上の措置を実装する十分な保証を提供することによって、第3 項に規定する管理者及び処理者間の契約又はその他の法律行為に定めるのと同じデータ保護上の義務が課されなければならない。当該別の処理者がそのデータ保護の義務を充足しない場合、当初の処理者は、当該別の処理者の義務の履行について、その管理者に対する法的責任を全面的に負うものとする。
5. Adherence of a processor to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate sufficient guarantees as referred to in paragraphs 1 and 4 of this Article.	5. 第 40 条に規定する承認された行動規範又は第 42 条に規定する承認された認証方法を処理者が遵守することは、本条の第1 項及び第4 項に規定する十分な保証を証明するための要素として用いることができる。
6. Without prejudice to an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraphs 3 and 4 of this Article may be based, in whole or in part, on standard contractual clauses referred to in paragraphs 7 and 8 of this Article, including when they are part of a certification granted to the controller or processor pursuant to Articles 42 and 43.	6. 管理者と処理者との間の個別の契約を妨げることなく、第 3 項若しくは第 4 項に規定する契約又はその他の法律行為は、それが第42 条及び第43 条により管理者又は処理者に対して与えられる認証の一部分である場合を含め、その全部又は一部について、本条の第7 項及び第8 項に規定する標準契約条項に基づくものとすることができる。
7. The Commission may lay down standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the examination procedure referred to in Article 93(2).	7. 欧州委員会は、本条の第3 項及び第4 項に規定する事項に関して、第93 条第2 項に規定する審議手続に従い、標準契約条項を定めることができる。
8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.	8. 監督機関は、本条の第3 項及び第4 項に規定する事項に関して、第63 条に規定する一貫性メカニズムに従い、標準契約条項を採択できる。
9. The contract or the other legal act referred to in paragraphs 3 and 4 shall be in writing, including in electronic form.	9. 第3 項及び第4 項に規定する契約その他の法律行為は、電子的な方式による場合を含め、書面によるものとする。
10. Without prejudice to Articles 82, 83 and 84, if a processor infringes this Regulation by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing.	10. 第 82 条、第 83 条及び第 84 条を妨げることなく、処理者が取扱いの目的及び方法を決定することにより本規則に違反する場合、その処理者は、当該取扱いとの関係においては、管理者として扱われる。