データ管理者はデータ処理者に対しての責任を負います。データ処理者は、管理者の指示にしたがった処理のみを行わなければならない旨を書面で手順化しておかなければなりません。処理者はデータ主体の権利行使やDPAへのデータ侵害通知 […]
「サード・パーティー・リスクを日常的に管理する」の記事一覧(17 / 18ページ目)
【処分事例】トルコ: 明確な同意のない健康データ移転に制裁
lock2019年3月7日の報告です。トルコの薬局が患者の健康データ(外科医の薬の処方)を明確な同意無しにサード・パーティーに移転していました。トルコでは健康データはデータ主体から同意を得ることなく移転、処理することは許されませ […]
【報告】スウェーデン: 管理者は処理者に法的責任を押し付けることはできない
lockスウェーデンの監督機関がGDPRにおける管理者と処理者の責任について明確化しました。2019年2月26日の報告です。管理者は処理者に個人データ処理業務を委託することはできますが、個人データの保護はあくまでも管理者の責任で […]
【報告】アメリカ: ハワイ州でCCPAに近い法案提出
lockGDPRの影響が他の法域に広がるように、CCPAはアメリカの中で少しずつ広まりつつあります。アメリカのハワイ州でCCPAに類似の法案が提出されました。2019年2月11日の報告です。この法案がもし通過したら、取得・共有さ […]
【報告】アメリカ: ワシントン州でGDPRに近い法案提出
lockアメリカのワシントン州でGDPRに類似の法案が提出されました。2019年2月1日の報告です。この法案がもし通過したらワシントン州でビジネスを行っている企業、ワシントン州に在住する人に製品またはサービスを提供する企業はCP […]
【報告】サイバーセキュリティ:リスクに応じた対策を
lockイギリスのナショナル・セキュリティ・センターがサイバーセキュリティに関するガイドラインを出しました。2019年1月31日の報告です。 [yuryowaku] 有料会員になって頂くと、以下のコンテンツをご覧いただけます。 […]
【処分事例】ドイツ:契約のないデータ移転への制裁
lockドイツのハンブルグDPAが処理者契約を締結無しでベンダーに個人データを移転していた会社に対して制裁金を課しました。処理者を適切に管理するのは管理者の義務であり、「サインしてくれない」というのは認められないことがわかります […]
【報告】オランダ:監督機関が処理者契約のチェック
lockオランダの監督機関が30社の企業に対し、処理者契約がGDPR第28条の処理者契約に適合しているかを確認すると発表しました。処理者契約の更新は時間がかかる作業の一つですが、GDPR施行後半年を経て十分時間を与えたということ […]
【処分事例】シンガポール:過去最大のデータ侵害に100万Sドルの制裁金
lock2019年1月21日に報告された事例です。シンガポールのデータ保護当局(PDPC)が150万人分の健康データ漏洩を発生させた保険機関とその外注先に対して100万シンガポールドル(約8,000万円)の制裁金を課しました。サ […]
【報告】シンガポール:プライバシー認証スキーム立ち上げ
lock
有用情報
ガバナンス体制を整える
個人データ台帳の保守、データ移転メカニズムの保守
内部のデータ・プライバシー・ポリシーを保守
日常業務にデータ・プライバシーの考え方を統合する
従業員トレーニングとプライバシーについての認知活動を実施
情報セキュリティ・リスクを日常的に管理する
サード・パーティー・リスクを日常的に管理する
プライバシー・ノーティスを実情に合ったものとする
個人からの要求や苦情に対応する
新規業務を開始する際、プライバシーへの取組みを反映させる
データ侵害マネジメント・プログラムを定常的に更新する
日常業務でのデータの取扱いとルール遵守を監視する
外部情報を日常的にモニターする
シンガポールがプライバシー認証スキームの立ち上げを発表しました。2019年1月18日の報告です。認証は、組織が健全なデータ保護体制を持ち、アカウンタビリティを担保できていることを示すものとなります。社内にデータ保護ポリシ […]
