contract-law
業務委託条項に関するプライバシー法の影響
Table of Contents
業務委託条項に関するプライバシー法の影響
プライバシーに関する規定は、基本的に、ビジネス契約の地形を変えてきました。組織は、個人データを処理する際に、義務の複雑なWebに直面しています。これらの義務は、個人情報の収集、処理、または個人情報共有を含むほぼすべての商用契約に編まれる必要があります。契約のプライバシー要件に違反すると、厳しい罰則、訴訟、および永続的な評判の損傷につながることができます。 ]]によると、データ侵害報告の疑い [FLT:ALT] および関連法規制: [FALT] および [FALT] 法規制: [F] GDPR [F] 法規制: [F] および [F] 規制: [F] 規制: [F] 規制: [FALT 規制: [F] 規制: [F] 規制: [F] 規制: [FALT 規制: [F] 規制: [F] 規制: [F] 規制: [F] 規制: [F] 規制: [F] 規制: [F] 規制: [F] 規制: [F] 規制: [F] 規制: [F] 規制: [F]
プライバシーに関する法令の遵守
過去10年間に、データ保護に関する懸念は、厳格なプライバシー法の制定のために、世界中で規制当局に要請されています。GDPRは、2018年5月に有効で、年間世界的売上高の4%、特異的範囲、厳格な会計基準要件の罰金を導入することにより、世界的な基準を設定しました。米国では、CCPA(2020年有効な)およびその後、そのようなCalifornia Privacy Act(CPRA)は、さらに、米国政府機関(FLT)および規制当局(FLT)が、および規制当局(F)に従ったことを宣言しました。 [FLTF] および、その他の規制は、米国政府機関(F) [F] および国: [FLTF] または国: [F] 欧州委員会は、または国間法(F] または国間法(F] または国間法(F) [F] または国間法(F) [F] または国間法(F] または国間法(F) [F) [F] 法(F) [F] 法(F) [F] 法(F] 法(F) [F) [
これらの法律は、データ処理のための責任を問う、透明性を必要とする個人をより大きな制御とすることを共有しています。企業にとって、結果は劇的に契約環境を変えています。ベンダー、顧客、またはパートナーとの間で、個人データを含むすべての合意は、現在、責任を割り当て、セキュリティ基準を定義し、侵害対応プロトコルを概説する条項を含みます。 連邦取引委員会は、また、企業が、その約束を侵害するという約束に対して、その行動に対して執行を強化しました。
プライバシー法の侵害契約条項
プライバシー法は、複数の事業契約の寸法に影響を及ぼします。以下では、最も影響を受けた特定の条項を詳しく説明し、調査および交渉のための実用的な検討を行います。
1. データ処理条件
たとえば、クラウドサービスプロバイダ、給与処理プロセッサ、またはマーケティングエージェンシーの代わりに、別の代理で1つのパーティ処理データを関与する契約は、処理の規模、目的、および期間を明確に定義します。 GDPRの下で、データ処理契約(DPA)[)は必須であり、処理の性質と目的、データの種類、データ主体のカテゴリ、および管理者の義務および権利が、特定の第三者の契約を制限するものではありません。 これらは、CCPAが、これらに限定される第三者の契約を制限するものではありません。
DPA に含まれるキー要素:
- []処理活動の説明 - どのようなデータが処理されるか、どのような目的のために、誰であるかを明確に記述します。 これは、規制のスルーチに抗するのに十分な特定のはずです。
- []]処理の手順[] - データ管理者は、プロセッサが従わなければならない文書化された指示を提供する必要があります。 あいまいな指示は、責任ギャップを作成します。
- データミニマライゼーション – 合意された目的のために厳密に必要なものを限定し、プロセッサが自分の利益のためにデータを使用して禁止する条項。
- []サブコントラクターを従事させる前に、事前の承諾または通知を必要とするサブコントラクターを結合するフローダウン義務と共に、サブプロセッサを同じ基準に結合する。
- []データ保持と削除[] - 契約終了後の個人データの返送または安全に削除のスケジュール、削除の認定。
実用的なヒント: 多くの組織が、規制が変更されたときに自動的に更新する動的 DPA を組み込んでいます。例えば、] GDPR は、処理が始まる前に DPA が書き込み、実行される必要がある。
2. 保安対策
プライバシー法は、個人データを保護するために適切な技術的および組織的な対策を実施するために法的義務を課します。 契約は、各当事者が維持することに同意するセキュリティ慣行を指定することによって、この義務を反映しなければなりません。 GDPRは、例えば、管理者およびプロセッサが、偽造、暗号化、セキュリティシステムの定期的なテストなどの措置を実施する必要があります。 CCPAは、セキュリティ対策を明示的に規定するものではありませんが、合理的なセキュリティを維持するために失敗から生じるデータ侵害のための行動のプライベートな権利を作成します。 このセキュリティ対策を延長することによって、このセキュリティ対策を実践し、合理的なセキュリティ対策を実施します。
契約条項は、次のものでなければなりません:
- ISO27001認証、SOC 2 Type IIレポート、NISTフレームワークなど、最小限のセキュリティ基準を定義します。
- 定期的なリスク評価とペネトレーションテストが必要です。結果はリクエストに応じて共有されます。
- 特定の時間枠内で、各セキュリティインシデントを通知する当事者を義務付けます。通常24〜48時間。
- コンプライアンスの検証、合理的な通知と範囲制限を含む監査権限。
- データを暗号化するのは、残りとトランジットで、アルゴリズムとキー管理を指定して行います。
- プロセッサーが包括的なインシデント対応プランを維持する必要があります。
成長する契約の数には、セキュリティのためのサービスレベルの合意(SLA)も含まれ、非コンプライアンスのための罰則があります。これは、チェックリスト項目から、測定可能な契約義務にセキュリティをシフトします。
3. ブリーチ通知
データの侵害のタイムリーな通知は、現代のプライバシー法の礎です。GDPRは、限られた例外を除いて、72時間以内に監督当局に通知を通知します。 CCPAは、個人情報侵害を発見した後、カリフォルニアの住民に不当な遅延をすることなく通知する企業が必要です。 米国の州の侵害通知法は、すべての50州の州の州の州の州のあらゆる州で、それぞれ独自のタイムラインとコンテンツ要件を追加します。 これらの法的義務は、各締約国が、通知および通知を適切に理解し、各締約国が、通知を理解できるようにするために、契約条項にミラー化する必要があります。
契約違反通知条項には、以下が含まれます。
- [] 侵害の定義[] – 適用される法律と整列し、トリガーイベントとして疑わしい違反を含む検討。
- [通知タイムライン] - 多くの場合、他の契約者に初期通知のための24〜48時間、長期(72時間〜7日)内の詳細な情報で続きます。
- []通知のコンテンツ - どのような情報を提供する必要があります:侵害の性質、影響を受けるデータのカテゴリ、影響を受けた個人の数、影響を受けた是正措置、および連絡先のポイント。
- 協力義務] – 規制当局の提出に対する違反を調査、軽減、および文書化を支援する義務。
- Cost allocation - 通知、クレジット監視、および是正の費用を負担します。 多くの契約は、侵害の責任のある当事者にこれらの費用をシフトします。
慣行では、事前承認された通知テンプレートの確立と契約への付録として推奨します。これは実際の事件の遅延を低減します。
4. コンプライアンスの責任と免責
契約は、適用されるプライバシー法を遵守するために責任を割り当てなければなりません。これは、当事者が「データ管理者」または「ビジネス」の定義と関連する政令に基づく「データプロセッサ」または「サービスプロバイダー」を意味します。分類は、データ主体のアクセス要求に対応するなどの主要な義務を持つ誰が決定し、データ保護の影響評価(DPIAs)を行い、処理の記録を維持します。分類は、両方の当事者に対する直接責任につながることができます。
補償条項も進化しています。 多くの組織は、カウンターパーティのプライバシー法違反や契約上のデータ保護条件を遵守することができない問題から生じる損失に対して、対比を補償するために、対比を必要とするようになりました。 しかし、これらの条項は、補償に関する法的制限の競合を避けるために慎重に草案する必要があります。 例えば、CCPAの下で、サービスプロバイダは、独自の違反に対する責任をシフトすることはできません。 同様に、GDPRの共同管理者は、相互の決定を防止するために、適切な措置を講じることが保証されます。
補償当事者がデータ処理に関連する規制調査または第三者の要求の他の通知を要求する条項を含む検討。これにより、補償された当事者が独自の防衛および決済戦略を管理することができます。
5. データ転送機構
国際データ転送は、最も困難な契約の問題の一つとなっています。 プライバシーシールドフレームワーク(Schrems II決定)の無効化に続いて、企業が 標準契約条項(SCC)または[]]]に基づいている必要があります。 企業の規則(BCR)を欧州経済領域(EEA)から第三国に個人データを転送する必要があります。 欧州委員会は、各々の規制対象者および規制者に対して、規制当局の措置を含む。
国境を越えてのデータフローを含む契約は、これらのメカニズムを明示的に参照し、必要な補助的な対策を含む必要があります。 []] 補助措置に関するEDPBの推奨事項]は、第三国の保護の妥当性を評価するためのロードマップを提供します。
クロースはカバーする必要があります:
- 移転メカニズム(SCC、BCR、欧州委員会による不適切性の決定)の特定。
- 転送開始前と定期的に転送前の転送衝撃評価(TIA)を実施する義務。
- SCC の義務のフローダウンを含む、上方転送のための要件。
- 転送機構が無効になったり、受取者が「サンセット条項」と呼ばれる同等の保護レベルを確保できない場合は、終了の権利。
多治験契約における課題
複数の管轄区域が関与する場合、プライバシー・コンプリート契約は、指数関数的に複雑になります。 紛争の要件は発生する可能性があります。 たとえば、GDPRのデータ最小化の原則は、特定の国におけるローカルデータ保持法に衝突する可能性があります。 CCPAは、データから引き出されたインフェレンスを含むために「個人情報」を広く定義し、他の法律は、より非識別されたデータをより有利に引き出す。 さらに、優先順位は異なります。 規制当局は、特にダークアウト保護機構(DPA)が適用されています。
境界線を横断するビジネスは、[]のレイヤードアプローチを採用しなければなりません。
- 契約を述べた「補助条項」を使用して、最も制限可能なプライバシー法を遵守するために解釈されます。これは、競合を防ぎますが、訴訟において不確実性を生む可能性があります。
- 規制が変更されるたびに完全な交渉を避け、自動的に法律の変化を反映して更新する条項が含まれています。例えば、条項はプライバシー法への言及が最も現在のバージョンを意味する可能性があると述べているかもしれません。
- 現地の弁護士に、契約条件が各管轄区域で強制可能であることを確認するために、特に補償およびデータ転送条項。
- SCCやその他転送メカニズムを必要に応じて組み込むグローバルデータ保護アドオンを採用することを検討し、地方の法令遵守のための一般的な規定を上書きする管轄区域固有のスケジュールと共に。
プライバシー・コンプライアンス契約の解除のためのベストプラクティス
固定子を与えられた組織は、契約にプライバシーを統合するための体系的なアプローチを採用する必要があります。次の慣行はリスクを減らし、コンプライアンスを改善することができます。
- :データマッピング演習[を行ないます。各契約関係の個人データが流れ、そして、どのように変化するかを理解します。この基礎的なステップは、他のすべての契約条項に通知します。
- 標準化されたテンプレートを使用する - DPA、セキュリティ対策、および侵害通知のためのボイラープレートの節を開発するが、特定のデータ処理活動に基づいてカスタマイズを可能にする。実際の処理に合わないかもしれないワンサイズのフィットオール言語を避けてください。
- [] 初期の交渉中にプライバシー規定が議論されるべきで、その後に追加されない。 これは、取引のタイムラインを脱線し、保護を弱めることができる句の上に最後の分がハグリングを防ぐ。
- []将来の規制変更のための柔軟性 - 締約国が完全なレゴットをトリガーすることなく、新しい法律を遵守するために合意を更新することに協力する必要がある場合の条項を追加します。 例えば、自動的にSCCを呼び出した「規制変更」改正プロセス。
- []内部の経理を割り当てる] - 実行前に個人データを含むすべての契約を見直し、プライバシー役員または法的チームメンバーを指定します。 この人は、非準拠契約をブロックする権限を持つべきです。
- [モニターと監査[]] - 定期的にベンダーとサービスプロバイダが契約上のプライバシーとセキュリティ義務を満たしていることを確認します。 是正措置計画および繰り返し故障の終了の権利のための規定を含みます。
今後の動向
プライバシー法は、急速なペースで進化し続けています。 []の包括的な状態法の制定は、バージニア州、コネチカット州、ウタ州、イオワ州、およびその他の米国州 - と称される「mini-CCPA」のいくつかの時間は、すぐに、より詳細なおよび適応可能な契約条項の必要性を高める、要件のパッチワークを作成します。 これらの法律の多くは、データ保護評価、消費者の権利に関する規定、およびCCPA(CCPA)を強制する。 [F]とCCPAを強制する。 [F]
一方、欧州委員会は、Cookieの同意とダイレクトマーケティング契約に影響を与える提案されたePrivacy規則を含むGDPRへのさらなる妥当性決定と潜在的な更新に取り組んでいます。 の自動化された意思決定とAI]の使用は、新しい契約課題を提示します。 締約国は、説明とオプトアウトの権利を含む、機械学習モデルにおける個人データの使用を規制する方法を決定しなければなりません。 EUのAI法は、最終的に完了すると、追加のAIプロセスが、より高いAIプロセスに必要な要件を満たします。
規制当局は、契約条項の執行にますますます集中しています。 2022年、オランダのデータ保護局は、プロセッサを持つDPAが漠然とした特定のセキュリティ対策を欠いているため、同社を一部細断しました。 2023年、アイルランドのデータ保護委員会は、その契約の調整がGDPR基準を満たしていることを確認するために失敗する主要な技術会社を罰金を科しました。 これらの傾向は、ボイラー言語がもはや十分ではないことを強調しています。 契約は、正確で実用的、および実際の作業を整列する必要があります。
コンテンツ
プライバシー法は、ビジネス契約の起草と交渉の状況を根本的に変更しました。データ処理の定義から、通知のタイムラインとクロスボーダー転送メカニズムに違反し、すべての条項は、今、データ保護の法的現実性を反映しなければなりません。堅牢でプライバシー準拠の契約に投資する組織は、規制違反を回避するだけでなく、クライアント、パートナー、および消費者との信頼を築くだけでなく、規制違反を回避します。プライバシー規制の乗合算と継続的な見直しと契約条項の更新は不可欠です。 競争上の責任は、企業から、妥当性を保証することができます。
さらなる読書については、【】GDPR]の公式テキスト、CCPA、およびデータセキュリティに関する[[連邦取引委員会[]]のガイダンスを参照してください。さらに、]]EDPBガイドラインは、クロスボーダーのコンプライアンス転送のための重要な解釈を提供します。