シナリオ
次の質問に答えるには、以下を使用してください。
従業員数が急速に増加したため、A 社は給与計算業務を B 社にアウトソーシングすることを決定しました。B 社は、業界でかなりの顧客基盤と確固たる評判を持つ、定評のある給与計算サービス プロバイダーです。
会社 B が会社 A 向けに提供する給与計算ソリューションは、会社 A の各工場に設置された生体認証入力システムから取得される勤怠データの収集に依存しています。会社 B は生体認証データ自体を保持しませんが、関連データは会社 B の英国サーバーにアップロードされ、給与計算サービスの提供に使用されます。会社 B のライブ システムには、会社 A の各従業員に関する次の情報が含まれます。
名前
住所
生年月日
給与番号
国民保険番号
病気手当の受給資格
出産手当/育児手当の受給資格
休暇の権利
年金および給付金拠出
労働組合の寄付
ジェニーは A 社のコンプライアンス担当者です。彼女はまず、A 社が新しい勤怠システムに関連してデータ保護影響評価を実施する必要があるかどうかを検討しましたが、これが必須かどうかはわかりません。
しかし、ジェニーは、GDPR では、会社 B が勤怠データを給与計算サービスの提供目的にのみ使用し、データを保護するために適切な技術的および組織的セキュリティ対策を適用することを義務付ける正式な書面による契約が必要であることを知っています。ジェニーは、会社 B がデータ保護責任者からアドバイスを受けることを提案します。会社には DPO がいませんが、契約を締結するために、条項に全面的に同意することに同意します。会社 A は契約を締結します。
数週間後、会社 A との契約がまだ続いている間に、会社 B は給与計算サービスの機能を強化するための別のプロジェクトに着手し、会社 C に協力を依頼しました。会社 C は、会社 B の新しいデータベースを作成するために、会社 B のライブ システムからすべての個人データを抽出することに同意しました。
このデータベースは、C 社の米国サーバーでホストされているテスト環境に保存されます。データは IT テストの目的でのみ使用されるため、両社はサービス契約にデータ処理条項を含めないことに同意します。
残念ながら、C 社の米国サーバーは時代遅れの IT セキュリティ システムでしか保護されておらず、C 社がプロジェクトに着手してすぐにサイバー セキュリティ インシデントに見舞われました。その結果、C 社の Web サイトにアクセスすると、A 社の従業員に関するデータがすべて閲覧可能になりました。A 社は、その後の調査に関連してジェニーが監督当局から手紙を受け取るまで、このことに気づいていませんでした。ジェニーは、侵害に気付くとすぐに、影響を受ける従業員全員に通知しました。
GDPR では、B 社のどの行為が強制措置の引き金となる可能性が低いでしょうか?