調達・入札支援
リスク・コストの削減
GDPR第28条に基づき、サービスプロバイダー(データ管理者)と個人データを共有する企業は、処理者によるデータ保護違反に対する法的責任を負い続けます。インシデントが発生した場合、企業は、そのようなインシデントを監視・防止するためにあらゆる手段を講じたことを証明することが求められます。
「管理者は、当該取扱いが本規則に定める義務に適 合するような態様で適切な技術上及び組織上の保護措置を実装することについて十分な保証を提供する処理 者のみを用いるものとし、かつ、データ主体の権利の保護を確保するものとする。」(GDPR第28条)
第28条第5項は、データ処理者のGDPR認証が「十分な保証を証明するため」に使用できることを明確にしています。したがって、GDPR認証は、双方のリスク、並びに、監視の労力及びコストの大幅な削減に貢献します。また、データ処理者の認証を受けたサービスの競争優位性を構築します。
この利点は、ユーロプライバシーなど、GDPRの第42条に基づいて正式に認められた認証にのみ適用されます。ISO 27701など、非GDPR認証には適用されません。
調達方針の強化
- データ処理者に連絡を取り、サービスのユーロプライバシー認証取得を促してください。手続完了のための期限(例:12ヶ月)を設定し、その期限を過ぎた場合、認証の有無がサービス契約の継続に考慮される旨を明示することができます。
- 調達方針を適応させ、入札募集書類又は申請書に、「GDPR第42条に基づき認められた認証制度によるサービス認証に関する情報を提供してください。」という要件を追加してください。要求されたサービスの有効なGDPR認証の存在を(1) 厳格な失格要件、又は、 (2) 受領した提案を採点する際に提案スコアに専用のポイントを加算する選定要素として組み込んでください。
大規模なデータ管理者向け特別プログラム
ECCPは、20社以上のサービスプロバイダーを利用し、相当な売上高を有する企業に対して、無料の特別サポートプログラムを提供しています。このプログラムには、無料のウェルカムパックと個別ガイダンスが含まれます。本プログラムは、公的機関及び公共契約法の適用を受ける民間団体は対象外となります。詳細については、専用お問い合わせフォームをご利用ください。
以下の条件を満たす民間企業:
年間売上高3,000万€超
データ処理者20社超