調達および入札支援
リスクとコストを削減する
GDPR第28条に基づき、サービスプロバイダー(データ管理者)と個人データを共有する企業は、処理業者によるデータ保護違反に対して法的責任を負い続けます。インシデントが発生した場合、企業はそのような事態を監視・防止するためにあらゆる手段を講じたことを証明する必要があります。
「管理者は、本規則の要件を満たす方法で処理が行われ、データ主体の権利の保護が確保されるよう、適切な技術的・組織的措置を実施するための十分な保証を提供する処理業者のみを利用しなければならない。」GDPR第28条
GDPR第28条(5)は、データ処理業者のGDPR認証が「十分な保証を示す」ために利用できることを明確にしています。したがって、GDPR認証はリスクを大幅に削減するとともに、双方の監視努力とコストの削減にも貢献します。また、データ処理業者の認証済みサービスに対する競争優位性をもたらします。
この利点は、EuroprivacyのようにGDPR第42条に基づいて正式に認められた認証にのみ適用されます。ISO 27701のような非GDPR認証には適用されません。
調達ポリシーを強化する
- データ処理業者に連絡し、Europrivacyでサービスの認証取得を促しましょう。プロセス完了のための期限(例:12か月)を設定し、その期限を過ぎた場合、認証の有無がサービス契約の継続判断に考慮される旨を伝えることができます。
- 調達ポリシーを見直し、入札書類や申請フォームに以下の要件を追加してください:「GDPR第42条に基づいて認められた認証スキームによるサービスの認証に関する情報を提供すること。」要求サービスの有効なGDPR認証の有無を、(1) 厳格な排除要件として、または (2) 受領した提案の評価時に申請スコアに所定のポイントを加算する選考基準として追加してください。
大規模データ管理者向け特別プログラム
ECCPは、20社以上のサービスプロバイダーを利用し、相当の売上高を持つ企業を対象に、特別サポートプログラムを無料で提供しています。プログラムには無料のウェルカムパックと個別指導が含まれます。このプログラムは、公的機関および公共契約法の適用を受ける民間団体は対象外です。詳細については、専用お問い合わせフォームをご利用ください。
対象となる民間企業:
>売上高3,000万円以上
>データ処理業者20社以上