および Synology
データ処理契約
当事者お客様
(以降「管理者」)
および Synology
(以降「処理者」)。
この翻訳は情報提供のためのものです。差異がある場合は、英語版を有効とします。
1. 定義
契約とはこのデータ処理契約を意味します。
データ主体の同意とは、データ主体が、声明または明確な肯定的な行動によって、データ主体の希望を自由に、特定、情報に基づいて明確に示すことを意味し、そのデータに関する個人データの処理に同意することを意味します。
管理者とは、単独または他者と共同で、個人データを処理する目的と手段を決定する自然人または法人、公的機関、代理店またはその他の団体を意味します。そのような処理の目的および手段が連合または加盟国法によって決定される場合、管理者またはその任命のための具体的な基準は、連合または加盟国法によって提供される場合があります。
クロスボーダー処理とは次のいずれかを意味します。
1. 管理者または処理者が複数の加盟国に確立されている連合内の管理者または処理者の複数のメンバー状態における施設の活動のコンテキストで行われる個人データの処理、または
2. 連合内の管理者または処理者の単一の設立の活動のコンテキストで行われる個人データの処理が、複数の加盟国のデータ主体に実質的に影響を与えるか、または実質的に影響を与える可能性があります。
データ保護担当者 (Data Protection Officer) とは、データプライバシーの専門家で、企業が GDPR に定められたポリシーと手順を遵守していることを確認するため
に独立して作業する人を意味します。
データ主体とは、個人データが管理者または処理者によって処理される自然人を意味します。
暗号化されたデータとは、特定のアクセス権を持つデータのみがアクセス可能/読み取り可能であることを保証するための技術的な手段によって保護される個人データを意味します。
GDPR とは、欧州議会および2016年4月27日の理事会の規制(EU)2016/679で、個人データの処理およびそのようなデータの自由な移動に関する自然人の保護、および指令95/46/ECの廃止に関するものを意味します。
個人データとは、特定されたまたは識別可能な自然人 (「データ主体」) に関連す る情報を意味します。識別可能な自然人とは、特に名前、識別番号、位置データ、オンライン識別子、またはその自然人の物理的、生理的、遺伝的、精神的、経済的、文化的または社会的アイデンティティに固有の1つ以上の要因などの識別子を参照することによって、直接的または間接的に識別できる人物です。
個人データの侵害とは、送信、保存、またはその他の方法で処理された個人データ の偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ違反を意味します。
プライバシーバイデザインとは、追加ではなく、システムの設計の始めからデータ保護を含めることを求める原則です。
プライバシー影響評価とは、処理される個人データとデータを保護するためのポリ シーを分析することにより、エンティティのプライバシーリスクを特定し、軽減するために使用されるツールを意味します。
処理とは、個人データまたは個人データのセットに対して実行される操作または一連 の操作を意味し、自動化された手段かどうかに関わらず、収集、記録、組織、構造化、ストレージ、適応または改変、検索、相談、使用、送信、普及またはその他の方法で 利用可能な、アライメントまたは組み合わせ、制限、消去または破壊による開示など が含まれます。
処理者とは、管理者に代わって個人データを処理する自然人または法人、公的機関、代理店、またはその他の団体を意味します。
プロファイリングとは、データ主体の行動を評価、分析、または予測することを目的とした個人データの自動処理を意味します。
仮名化とは、追加情報を使用せずに特定のデータ主体に帰属することができなくなる方法で個人データを処理することを意味します。個人データが特定または識別可能な自然人に起因しないことを保証するため、そのような追加情報が別々に保持され、技術的および組織的措置の対象であることが条件です。
受信者とは、第三者かどうかに関わらず、個人データが開示される自然人または法人、公的機関、代理店、またはその他の団体を意味します。ただし、連合または加
盟国法に従い、特定の照会の枠組みの中で個人データを受け取る可能性のある公的機関は、受信者とみなされません。これらの公的機関によるこれらのデータの処理は、処理の目的に従って適用されるデータ保護規則に従うものとします。
代表者とは、第27条に基づいて書面で管理者または処理者によって指定された、GDP R に基づくそれぞれの義務に関して、管理者または処理者が指定する、連合に設立された自然または法人を意味します。
代理店とは、Synology C2 サービスをサブスクライブし、管理者に代わって処理者に直接そのサービスの報酬を支払う第三者のサービス プロバイダを意味します。
規制とは、GDPR およびその他の一般的に個人データ保護の分野に関する法的規制を意味します。
第三者とは、データ主体、管理者、処理者、および管理者または処理者の直接権限の下で個人データを処理する権限を有する人物、公的機関、代理店または団体を意味します。
監督機関とは、GDPR 第51条に基づき、加盟国によって設立された独立した公的機関を意味します。
2. 本契約の主題と期間
(1) 主題
本契約の主題は、xxxxx://x0.xxxxxxxx.xxx/xx-xxxxxx/xxxxx/xxxxx_xxxxxxxxxx (以降「サービス契約」) で利用可能な Synology C2 サービス契約に基づいています。
(2) 期間
本契約の期間は、サービス契約の期間に対応します。
3. 本契約の性質と目的
(1) 意図されたデータ処理の性質と目的
管理者に対する処理者による個人データの処理の性質と目的は、サービス契約で正確に定義されます。
(2) データの種類
個人データの処理の主題は、以下のデータタイプ/カテゴリで構成されます。
o 個人の主なデータ:管理者は、任意の種類のデータを自分の裁量でレンタルサーバーに保存することができます。Synology は影響を受けず、これにアクセスしません。
o 契約請求および支払データ:Synology C2 サービス契約の実行の枠組みの中で、 Synology は、連絡先住所、支払い方法に関する情報、連絡担当者を含む個人契約データを収集するものとします。
(3) データ主体のカテゴリ
データ主体のカテゴリは、販売店の顧客および連絡担当者で構成されます。
4. 処理者の義務
(1) 処理者は、個人データを単独で、管理者の規則および指示、または本契約の要求に完全に準拠して処理します。この義務は、処理者が対象となる規則または法律によって処理者に要求されている場合を除き、個人データの処理者による第三国または国際機関への転送にも適用されます。その場合、処理者は、処理前にかかる法的要件を管理者に通知するものとします。ただし、公共の利益上の重要な理由でそのような情報を禁止する場合は除きます。
(2) 処理者と管理者は、本契約および Synology C2 サービス契約が、処理者に対する管理者の完全かつ最終的な指示を表することに同意します。本契約の範囲外での処理(ある場合)は、処理のための追加の指示に関する両当事者間の書面による事前の合意が必要です。本契約の範囲外で管理者が要求した指示に従うことを処理者が拒否した場合、管理者は本契約を終了することができます。
(3) 本契約の履行において、管理者は直ちに書面による口頭指示を確認するものとします。
(4) 管理者に代わって処理されたデータのコピーまたは複製は、管理者の知識なしに作成されてはなりません。ただし、秩序あるデータ処理を確実にするために必要な限り、バックアップデータおよび規制の下でデータを保持し、規制要件を満たすのに必要なデータは例外とします。
(5) 処理者は、管理者に代わって処理されるデータの処理を、独自の権限で修正、消去、または制限したり、そのようなデータを第三者に移植/転送したりしてはなりません。ただし、管理者からの文書で指示された場合は除きます。データ主体が処理の修正、消去、または制限または移植性の権利を行使することに関して処理者に直接連絡した場合、処理者は直ちにデータ主体の要求を管理者に伝えるものとします。サービスの範囲に含まれる限り、消去ポリシー、「忘れ去られる権利」、修正、データの移植性およびアクセスは、過度の遅延なしに管理者からの書面の指示に従って、処理者によって保証されるものとします。
(6) 処理者は、管理者の指示が GDPR (第28条 第3項 3号) または規則に違反していると考える場合、直ちに管理者に通知しなければなりません。処理者は、管理者がそれらを確認または変更するまで、関連する命令の実行を一時停止する権利を有するものとします。
(7) 本契約に定める規則の遵守に加えて、処理者は、GDPR の第28条から第33条に記されている法定要件を遵守するものとします。したがって、処理者は、特に次の要件に準拠していることを保証します。
a) 処理者は、本契約に記載されているデータ処理を、守秘義務を遵守し、職務に関連して事前にデータ保護規定に精通している従業員にのみ委託します。本契約に付与された権限を含む管理者からの指示がない限り、処理者およびその権限の下
で行動する人物は、そのデータを処理してはなりません。ただし、法律(GDPRの第28条 第3項 第2号(b)、第29条および第32条 第4項)で要求された場合は除きます。
b) 処理者は、個人データの処理にアクセス、修正、移植、消去、または異議を申し立てる権利を行使する個人からの要求に従うよう、管理者を支援する必要があります。
c) 処理者は、管理者が監督機関からの要求に準拠するのを支援する必要があります。管理者と処理者は、要求に応じて、そのタスクの実行において監督機関と協力し なければなりません。
d) データ保護担当者/連絡担当者/代表者の指定
Synology のデータ保護チームには xxxxx://xxx.xxxxxxxx.xxx/xxxx/xxxxxxx
_issue で問い合わせることができます。管理者は、データ保護担当者の変更を直ちに通知するものとします。
e) 管理者は、本契約の9項に記されるすべての検査および監督機関が行った検査および措置について、本契約の処理に関連する限り、直ちに通知されるものとします。
f) 管理者が監督機関または行政による検査、または略式起訴犯罪または刑事手続きの対象である限り、処理者による契約データ処理に関連してデータ主体、または第三者またはその他の請求による賠償請求について、処理者は、管理者をサポートするためにあらゆる努力をするものとします。詳しい支援については、本契約の項目8に説明があります。
g) 処理者は、本契約の項目9の説明に従い、第32条から第36条に従う義務の遵守を確実にする上で、管理者を支援するものとします。
h) GDPR の第28条第3項第2号項目c、第32条に従って本契約に必要なすべての技術的および組織的措置の実施および遵守の詳細は、付録を参照してください。
5. 通知義務
(1) 処理者は、個人データの侵害を直ちに管理者に通知するものとします。正当性が疑われる事象も報告します。通知には、少なくとも、GDPR の第33条第3項に記載されている情報が含まれている必要があります。
(2) また、タスク実行時に重大な中断が生じた、あるいは処理者またはその雇用する個人によって行われた法的データ保護規定または本契約の規定への違反も、直ちに管理者に通知する必要があります。
(3) 処理者は、委託されたデータ処理に関連する場合、監督機関またはその他の第三者が行った検査または措置について直ちに管理者に通知するものとします。
(4) 処理者は、GDPR の第33条および第34条に従って、必要な範囲で、管理者がこれらの義務においてサポートされることを保証するものとします。
6. 技術的および組織的な対策とデータセキュリティ
(1) 処理の開始前および本契約の締結前に、処理者は、GDPR 第28条 第3項(c)、第32条に基づき、特に GDPR 第5条 第1項および第2項と併せて、技術的および組織的措置 (以下
「技術的および組織的措置」) を実施および遵守しなければなりません。取られる措置は、データセキュリティの対策であり、技術的および組織的な措置によって適切なレベルの保護を確保するための措置とします。この措置は、処理の状況と目的、ならびにセキュリティの脆弱性の結果として法律の侵害の可能性が予測される確率と重大度を考慮し、関連する侵害イベントの即時の検出を可能にします。取られる措置は、システムの機密性、完全性、可用性および回復力に関するリスクに適した保護レベルを保証するものとします。最先端の技術、実装コスト、性質、範囲、処理目的、および GDPR 第32条第1項の意味の範囲内で自然人の権利と自由に対するリスクの発生の確率と重大性を考慮する必要があります。
(2) 技術的および組織的措置は、技術的な進歩とさらなる発展の対象となります。したがって、処理者は、定期的に内部プロセスと技術的および組織的措置を監視し、その責任範囲内での処理が、規制の要件およびデータ主体の権利の保護に従っていることを保証する必要があります。この点において、処理者は、最新の技術を実装するか、適切な措置を変更する義務があります。大幅な変更は文書化する必要があります。
(3) 技術的および組織的措置は、本契約の付録1に詳しく記載されています。
7. 業務委託
(1) 本契約の目的での業務委託は、本サービスの提供に直接関係するサービスとして理解するものとします。これには、電気通信サービス、郵便・運輸サービス、保守・ユーザー支援サービス、データ通信事業者の処理などの補助サービス、さらにはデータ処理機器のハードウェアおよびソフトウェアの機密性、可用性、完全性、および復元性を確保するためのその他の措置は含まれません。ただし、処理者は、補助サービスを委託した場合であっても、適切かつ法的拘束力のある契約上の取り決めを行い、管理者のデータの保護とデータのセキュリティを確保するための適切な検査措置を講じる義務を負うものとします。
(2) 処理者は、管理者から事前に明示的に書面または文書で同意を得た後にのみ、下請け業者を承認することができます。前述にかかわらず、管理者は、客観的に正当化された理由なしに、その同意を保留してはなりません。
(3) 下請け業者への業務委託または既存の下請け業者の変更は、次の場合に許可されます。
o 処理者は、そのような下請け業者への業務委託について、書面またはテキスト形式による適切な事前通知で管理者に提出する。
o 管理者は、処理者にデータを引き渡す日付までに、書面またはテキスト形式で計画された業務委託に異議を唱えていない。
o 本契約に定めるのと同じデータ保護義務が、契約/同意という方法で、その他の処理者(下請け業者)に課される。あるいは、下請けは、GDPR 第28条第2-4項に基づく契約上の合意に基づいている。
(4) 処理者は、本契約または GDPR が定める法的要件と同じ保護を受ける下請け業者に対して、書面による適切な契約上の義務を課すものとします。これには、機密性、データ保護、データセキュリティ、監査権に関する関連する契約上の義務が含まれます。
(5) 管理者から下請け業者への個人データの転送、および下請け業者によるデータ処理の開始は、すべてのコンプライアンス要件が達成された後にのみ行われるものとします。
(6) 処理者は、下請け業者のデータへのアクセスを、下請け業者のサービスを維持するために必要なものにのみ制限し、下請け業者が他の目的でデータにアクセスすることを禁止します。
(7) 処理者は、本契約の義務を遵守し、本契約に基づく処理者の義務に違反する原因となる下請け業者の行為または不作為に対して引き続き責任を負います。
(8) 下請け業者が EU/EEA 外で合意されたサービスを提供する場合、処理者は適切な措置により規制の遵守を確保する必要があります。サービス プロバイダが GDPR の第1条第2項の意味内で使用される場合も同様とします。
(9) 下請け業者によるさらなる業務委託は、処理者の明示的な同意が必要です (少なくともテキスト形式)。本契約のすべての契約上の規定は、各追加の下請け業者に通知され、合意されるものとします。
8. 管理者の義務、権利、監督
(1) 管理者は、要求された処理の受容性と影響を受ける当事者の権利を評価する責任を負うものとします。
(2) 管理者は、処理者に対する検査を実施するか、各ケースで監査人を指定して実行する権利を有します。管理者は、通常、合理的な時間内に発表されるランダムチェックによって、その業務時間中に処理者による本契約の遵守を確認する権利を有します。
(3)処理者の敷地内での検査は、処理者の業務に対する回避可能な妨害なしに行わなければなりません。特に緊急の理由がない限り、管理者が文書化する必要がある場合を除き、検査は、適切な事前通知後および処理者の営業時間中に実施され、12ヶ月ごとより頻繁に行われるものとします。本契約の第8章(5)に規定されているように、処理者が合意されたデータ保護義務が正しく実施されているという証拠を提供する場合、検査はサンプルに限定されるものとします。
(4) 処理者は、GDPR 第28条に従って、管理者が処理者の義務の遵守を確認できることを保証するものとします。処理者は、技術的および組織的措置の実行を実証するために、要求に応じて管理者に必要な情報を提供することを保証するものとします。
(5) 本契約のみならず、当該措置の証拠は、現在の監査役の証明書、報告書、または独立機関(監査役、データ保護責任者、ITセキュリティ部門、データプライバシー監査人、品質監査人など)が提供する報告書からの抜粋によって提供される場合があります。
(6) 処理者は、管理者検査を有効にするための報酬を請求することができます。
9. 処理者の支援と情報業務
(1) 処理者は、個人データのセキュリティに関する義務、データ侵害に関する要件の報告、データ保護の影響評価および事前の協議に関する義務の遵守で管理者を支援するものとします。GDPR の第 32 条から 36 条に言及されています。これには以下が含まれます。
a. 技術的および組織的措置による適切な保護レベルの確保。処理の状況と目的、ならびにセキュリティの脆弱性の結果として法律の侵害の可能性が予測される確率と重大度を考慮し、関連する侵害イベントの即時の検出を可能にします。
b. 個人データの侵害を直ちに管理者に報告する義務。
c. 関係するデータ主体に情報を提供する管理者の義務に関して、管理者を支援し、この点に関するすべての関連情報を直ちに管理者に提供する義務。
d. 監督機関に情報を提供する管理者の義務に関して、管理者を支援する義務。管理者は、要求に応じて、そのタスクの実行において監督機関と協力する。
e. データ保護影響評価で管理者をサポートする。
f. 監督機関の事前協議に関して管理者をサポートする。
(2) 管理者は、本契約に関連するデータの処理に関する限り、監督機関が行った検査および措置について直ちに通知を受けるものとします。これは、本契約の処理に関連するデータの処理に関する法令または行政規則または規制の違反に関連して、処理者が調査中であるか、または管轄当局による調査の当事者である限り適用されます。管理者が監督機関または行政による検査、または略式起訴犯罪または刑事手続きの対象である限り、処理者によるデータ処理に関連してデータ主体、または第三者またはその他の請求による賠償請求について、処理者は、管理者をサポートするためにあらゆる努力をし、管理者が必要とする場合、すべてのドキュメント、リソース、およびサポートを提供するものとします。本契約に関するデータが破産または破産手続き中に没収される場合、または処理者によって処理されている間に第三者による同様の措置の対象となる場合、処理者は過度の遅滞なく管理者に通知します。処理者は、過度の遅延なしに、そのようなアクションのすべての開発および更新を過度に遅らせることなく管理者に通知し、更新し、管理者が要求するそのようなアクションに応じてすべての措置を講じるものとします。
(3) 処理者は、ここでのサービスの説明に含まれていない、処理者の障害に起因しないものは、サポートサービスの補償を請求する場合があります。ただし、そのような補償が管理者によって書面で事前に承認された場合に限ります。
10. 報酬
本契約に基づくサービスに対する処理者の報酬は、サービス契約に定められます。本契約に記されている以外の報酬または払い戻しはありません。
11. 責任と補償
(1) 管理者および処理者は、許可のない当事者によって生じた損害、または適用される法律に従って本契約の範囲内で行われた誤ったデータ処理に対して、それぞれ責任を負うものとします。
(2) 処理者は、関連データが本契約に基づいて処理された場合、いかなる損害も、処理者が責任を負う状況の結果ではないことを証明しなければなりません。この証明が提供されていない場合、処理者は、最初に要求された時点で、本契約に基づくデータ処理に関連して後者に対して課せられるすべての申し立てから管理者を解放するものとします。
(3) 処理者は、管理者に対して責任を負い、管理者が持続するすべての直接的損害について管理者を完全に補償し、本契約に基づく処理者によるサービスのレンダリングに関連して、処理者、処理者の従業員または任命された下請け業者によって引き起こされた直接的な損害に対して、管理者に損害を与えないようにしなければなりません。
(4) いかなる場合においても、本契約に関連する間接的、懲罰的、特別、付随的、または結果的な損害 (利益の損失、使用、データ、またはその他の経済的優位性を含む) について、本契約の違反に関わらず、保証の違反や不法行為など、当事者がそのような損害の可能性について以前に助言された場合でも、当事者が他方に対して責任を負うものとします。
(5) 第11条および第11条(3)は、管理者が要求または指示した方法でサービスを正しく実装した結果として損害が生じた範囲には適用されないものとします。
12. 特別終了の権利
(1) 本契約の規定に対する重大な違反が処理者の一部に存在する場合、本契約に違反して、管理者の法的指示を実行できない、または実行しない場合、または処理者が本契約に違反して管理者の監督権の受け入れを拒否した場合、管理者は、いつでも予告なしにサービス契約および/または本契約を終了することができます(「特別終了」)。
(2) 重大な違反は、特に、処理者が本契約に定められた義務、特に技術的および組織的措置を実質的に履行していない場合に発生したものとみなされます。
(3) 重要でない違反の場合、管理者は、状況を改善するために、30日を超えない合理的な期間を処理者に提供するものとします。このような期間内に状況が是正されない場合、管理者は、ここに規定されている特別終了を行使する権利を有するものとします。
13. データの終了、返却、削除
(1) 本契約の終了または基礎となるサービス契約の終了後、または管理者の要求に応じて、処理者は、管理者に引き渡すか、または管理者との事前の同意に従って、本契約または規制に準拠したデータ保護方法で、処理者の所有となったサービス契約に関連するすべてのデータ、処理および使用結果、およびデータセットを破棄するものとします。関連するすべてのテスト、廃棄物、冗長および廃棄された材料にも同様に適用されます。破棄または削除の実施記録は、破棄または削除の完了時に、または管理者の要求に応じていつでも管理者に提供されるものとします。
(2) 本契約に従って秩序あるデータ処理を実証するために使用される文書は、規制に基づくそれぞれの保存期間に従って、本契約の期間を超えて処理者によって保存されるものとします。処理者は、本契約の期間の終了時、または管理者の要求に応じて、いつでも管理者にそのようなドキュメントを引き渡すものとします。
(3) 処理者は、下請け業者からのデータの返品または削除を直ちに保証する義務があります。
(4) 処理者は、処理者または下請け業者によって適切に破壊されたデータの証明を提供し、直ちにこの証明を管理者に提出しなければなりません。
14. 雑則
(1) 両当事者は、本契約の期限が切れた後も、契約関係の範囲内で相手方が得た企業秘密およびデータセキュリティ対策に関するすべての知識を秘密に扱う義務があります。情報が機密の対象となるかどうか疑問がある場合は、相手方からの書面による承認を受けるまで、秘密に扱うものとします。知的財産権に関する所有権は、本契約に基づき、管理者から処理者に譲渡しません。
(2) 本契約の修正は書面で行われ、両当事者が合意するものとします。
(3) 適用法に基づく保持権の免除は、処理されたデータおよび関連するデータキャリアに関して、ここに除外されます。
(4) 本契約のいずれかの部分が無効な場合、これは本契約の残りの部分の有効性に影響を与えません。
(5) 本契約は、法令の抵触を支配する法律の機関に関わらず、[処理者が所在する国]の法律に準拠し、解釈されるものとします。
(6) 本契約に起因または関連して生じるすべての紛争は、ドイツ連邦共和国の所管に属すものとし、国際物品売買契約に関する国際連合条約 (UN Convention on Contracts for th e International Sale of Goods) を除き国際私法の義務を有します。本顧客が German Commercial Code (HGB) の § 1 paragraph 1、公法による事業者、または公法による特別基金で規定される取引者である場合、デュッセルドルフに所在する裁判所がこの契約関係により、あるいはそれに関連して生じる紛争に対する管轄権を有します。
付録 - 技術的および組織的な対策
1. 機密性(GDPR 第32条 第1項(b))
• 物理的アクセス制御
データ処理施設(磁気カードまたはチップカード、キー、電子ドアオープナー、施設セキュリティサービスおよび/または入口セキュリティスタッフ、アラームシステム、ビデオ/CCTVシステムなど)への不正がアクセスがないこと
• 電子アクセス制御
データ処理およびデータ ストレージ システムへの不正使用なきこと((セキュリティ保護された)パスワード、自動ブロッキング/ロックメカニズム、2要素認証、データキャリア/ストレージメディアの暗号化など)
• 内部アクセス制御 (データへのアクセスおよび変更に対するユーザーに対するアクセス許可)
システム内のデータの不正な読み取り、コピー、変更、削除は行わないこと(アクセスの必要性に基づく権利、システムへのアクセス イベントのログなど)
• 分離制御
異なる目的で収集されるデータを分離制御する(サンドボックス、
• 仮名化(GDPR 第32条 第1項(a)、第25条 第1項)など)
このような手法/方法で個人データを処理する場合、追加情報を使用することなくデータから特定のデータ主体が関連付けできないこと。この追加情報は個別に保存され、適切な技術的および組織的措置が適用されることを前提とする。
2. 完全性(GDPR第32条 第1項 第b号)
• データ転送制御
電子転送または転送によるデータの不正な読み取り、コピー、変更、削除のないこと(暗号化、仮想プライベート ネットワーク (VPN)、電子署名など)
• データ入力制御
個人データがデータ処理システムに入力されているかどうか、および誰がデータ処理システムに入力したか、変更または削除されるかどうかを検証する(ログ記録、ドキュメント管理など)
3. 可用性および回復力(GDPR第32条 第1項 第b号)
• 可用性制御
偶発的または巧妙な破壊または損失の防止(バックアップ戦略 (オンライン/オフライン、オンサイト/オフサイト)、無停電電源装置 (UPS)、ウイルス対策、ファイアウォール、報告手順、危機管理計画など)
• 迅速な復旧(GDPR 第32条 第1項(c))
4. 定期的なテスト、評価、評価の手順(GDPR 第32条 第1項(d)、第25条 第1項)
• データ保護管理
• インシデント対応管理
• データ保護バイデザイン及びデータ保護バイデフォルト(GDPR 第25条 第2項)
• 注文または契約管理
GDPR 第28条に従い、処理者からの対応指示なしに、第三者がデータ処理を行っては ならない(明確で明白な契約上の取り決め、正式な注文管理、サービスプロバイダ の選択に関する厳格な管理、事前評価の義務、監督フォローアップチェックなど)。