- 2024年10月30日
質問
GDPRでは、EUに所在するデータ主体の個人データを保管しているIaaSのクラウドベンダーについて、個人データへのアクセスができないが保管をしているのでデータ処理をしていることにあたり、EU個人データの処理者として、GDPRが適用されると認識しておりました。ところが、IaaSのクラウドベンダーとはデータ処理契約は必要だが、GDPR適用はされないという話を聞きました。どのような解釈なのでしょうか? 前提は以下の通りです。管理者は日本の事業者で、EU域外(例えば米国)のIaaSのクラウドに個人データを保管している。クラウドベンダー自身は GDPR3条2項記載の商品・サービスの提供、行動監視は行っていない。
回答
前提でお示しのように、GDPRの適用を受ける管理者が、米国からサービスを提供しているIaaSにGDPR適用対象データを保存し、IaaSベンダーがGDPRの域外適用を受けない場合を想定します。