個人データを、ビジネスを守る、IIJ

処理者への指示


  • 2018年7月26日

04.1. 管理者及び処理者/一般的義務

GDPR29条において「処理者、及び、管理者または処理者の下で行動し個人データにアクセスする全ての者は、管理者の指示なしには、これらのデータ処理を行ってはならない」とありますが、「指示に基づく」ということはどのようにして判断するのでしょうか?
例えば、情報サービス事業において、お客様から預かったデータのバックアップをとることは、サービスの仕様としてご説明し、それに基づいた契約を結んでおります。しかし、個々のバックアップ作業につき顧客から指示をもらっているわけではありませんし、バックアップ作業を特出しした同意をとっているものではありません。これで指示をもらっているとしてよいのでしょうか?
(この欄で紹介するQ&Aはこれまで多くのお客様からお寄せいただきました代表的な質問です。)

続きは有料会員様にご覧いただけます

ログイン 有料会員登録情報を見る

関連する記事