処理者（委託先）との契約

質問

Webサイト上でのIPアドレス、Cookie等の機器識別子の自動収集を行う場合、個人情報として取扱い、プライバシーノーティスやCookie Policy等で通知することが必要と認識しておりますが、例えば、移転対応（委託先との移転契約の締結、データ処理契約の締結、または本人同意取得等）も必要になりますでしょうか？
通常の個人情報の委託先に対しては移転契約の締結などの対応が必要と認識しておりますが、例えば、Google AnalyticsでCookieの分析をしている際に、Googleとそのような対応が本当に必要でしょうか？
（この欄で紹介するQ&Aはこれまで多くのお客様からお寄せいただきました代表的な質問です。）

回答

cookieは特定個人が利用する特定のブラウザを識別でき、また機器識別子は特定個人が利用する特定のモバイルデバイスを識別できるので、GDPR前文第30項で個人データとして扱うこととされています。
cookieの処理を外部委託する場合、例えば…

コンテンツをご覧になるにはログインが必要です

ログイン