直接取得のケースで、EU域外の管理者として、取るべき措置

質問

弊社実施のオンラインサービス等の携帯の提供サービスにおいて、EU域内の管理者相当の組織等を介さずに、EU域内のデータ主体から直接個人データを取得するケースがあります。そのような直接取得のケースで、EU域外（日本）に所在する管理者として、取るべき対応措置はどのようなものがありますでしょうか？
（この欄で紹介するQ&Aはこれまで多くのお客様からお寄せいただきました代表的な質問です。）

回答

提供サービスの内容にもよりますが、一般的に考えて、同意のほか、契約履行上の必要を適法根拠として域外管理者が個人データを取得することも可能であると考えます。基本的に、EU域内の管理者がデータ主体から個人データを取得する場合と同じ手続をとれば、GDPRを遵守していることになると考えます。
具体的には…

コンテンツをご覧になるにはログインが必要です

ログイン