データ処理契約

キーワード

学期 価値
合意 このDPAはTerms of Serviceを補足するものである。
承認されたサブプロセッサー Cloudflare (米国; DNS、ネットワーク、およびセキュリティ プロバイダー)、DataPacket (米国/英国; ホスティング プロバイダー)、Digital Ocean (米国; ホスティング プロバイダー)、Vultr (米国; ホスティング プロバイダー)、Stripe (米国; 決済処理業者)、PayPal (米国; 決済処理業者)
プロバイダーのセキュリティ連絡先 security@forwardemail.net
セキュリティポリシー our Security Policy on GitHub を表示
統治国 アメリカ合衆国デラウェア州

契約の変更

このドキュメントは 共通ペーパーDPA標準規約(バージョン1.0) の派生であり、次の変更が加えられています。

  1. 準拠法および裁判所の選択 は、上記で特定された Governing State とともに、以下のセクションとして含まれています。
  2. サービスプロバイダーとの関係 は、以下のセクションとして含まれています。

1. プロセッサーとサブプロセッサーの関係

1. プロバイダー(プロセッサー)

顧客が顧客個人データの管理者である場合、プロバイダー顧客に代わって個人データを処理する処理者とみなされます。

2. サブプロセッサーとしてのプロバイダー

顧客が顧客個人データの処理者である場合、プロバイダーは顧客個人データのサブプロセッサーとみなされます。

2. 処理中

1. 処理の詳細

表紙の付録 I(B) には、この処理の主題、性質、目的、期間、および収集される個人データのカテゴリデータ主体のカテゴリが記載されています。

2. 処理命令

顧客は、プロバイダに対して、(a) サービスを提供および維持するため、(b) 顧客によるサービスの使用を通じてさらに指定される場合、(c) 契約に記載されているとおり、および (d) 本DPAに基づく顧客個人データの処理に関して顧客から提供され、プロバイダが承認したその他の書面による指示に記載されているとおり、顧客の個人データを処理するよう指示します。プロバイダは、適用法によって禁止されない限り、これらの指示に従います。プロバイダは、処理指示に従えない場合は、直ちに顧客に通知します。顧客は、適用法に準拠した指示のみを与えており、今後も与え続ける予定です。

3. プロバイダーによる処理

プロバイダは、表紙に記載されている詳細を含め、本DPAに従ってのみ顧客の個人データを処理します。プロバイダが既存の製品、機能、または新機能を更新するためにサービスを更新する場合、プロバイダは、更新を反映するために必要なデータ主体のカテゴリ個人データのカテゴリ特別なカテゴリのデータ特別なカテゴリのデータに関する制限または保護策転送頻度処理の性質と目的、および処理の期間を変更し、顧客に更新と変更を通知します。

4. 顧客処理

お客様が処理者であり、プロバイダーが復処理者である場合、お客様は、お客様による顧客個人データの処理に適用されるすべての適用法を遵守するものとします。お客様とコントローラーとの契約においても、同様に、お客様は、処理者としてのお客様に適用されるすべての適用法を遵守することが求められます。さらに、お客様は、お客様とコントローラーとの契約における復処理者に関する要件を遵守するものとします。

顧客は、すべての開示を行うこと、すべての同意を得ること、十分な選択肢を提供すること、および適用データ保護法で求められる関連する保護措置を実施することを含め、プロバイダーおよび/またはサービスへの顧客個人データの提供に関して、適用データ保護法のすべてを遵守しており、今後も遵守し続けます。

6. サブプロセッサー

a. プロバイダは、顧客がサブプロセッサーを承認しない限り、顧客の個人データをサブプロセッサーに提供、転送、または引き渡すことはありません。承認サブプロセッサーの現在のリストには、サブプロセッサーの身元、所在国、および予想される処理タスクが含まれています。プロバイダは、サブプロセッサーの追加または交換による承認サブプロセッサーの変更を少なくとも10営業日前までに書面で顧客に通知します。これにより、プロバイダが新しいサブプロセッサーの使用を開始する前に、顧客は変更に異議を申し立てる十分な時間を持つことができます。プロバイダは、顧客承認サブプロセッサーの変更に異議を申し立てる権利を行使できるようにするために必要な情報を顧客に提供します。 お客様は、承認サブプロセッサーの変更通知後30日以内に異議を申し立てることができます。異議を申し立てない場合、お客様は変更を承諾したものとみなされます。お客様が通知後30日以内に変更に異議を申し立てた場合、お客様プロバイダーは誠意をもって協力し、お客様の異議または懸念事項を解決するものとします。

b. サブプロセッサーを利用する場合、プロバイダーはサブプロセッサーと書面による契約を締結し、サブプロセッサーが (i) 下請けした義務を履行するために必要な範囲内で、かつ (ii) 契約の条件に従ってのみ顧客個人データにアクセスし、使用することを保証します。

c. GDPRが顧客個人データの処理に適用される場合、(i)本DPAに規定するデータ保護義務(該当する場合、GDPR第28条(3)項に言及)も復処理者に課され、(ii)プロバイダと復処理者が顧客個人データの処理に関する問い合わせや要望に対応するためにどのように連携するかについての詳細を含め、これらの義務が復処理者とプロバイダの契約に組み込まれます。さらに、プロバイダ顧客の要請に応じて、契約書(修正を含む)のコピーを復処理者と共有します。個人データを含む企業秘密やその他の機密情報を保護するために必要な範囲で、プロバイダは復処理者との契約書の文面を、コピーを共有する前に編集することができます。

d. プロバイダは、顧客個人データの処理におけるサブプロセッサーの作為および不作為を含め、サブプロセッサーに下請け委託したすべての義務について全責任を負います。プロバイダは、サブプロセッサーが プロバイダとサブプロセッサー間の契約に基づき顧客個人データに関する重要な義務を履行しなかった場合、顧客に通知します。

3. 制限付き転送

1. 承認

お客様は、プロバイダが本サービスを提供するために必要な場合、EEA、英国、またはその他の関連地域外にお客様の個人データを転送することに同意します。プロバイダが、欧州委員会またはその他の関連監督当局が十分性認定を行っていない地域にお客様の個人データを転送する場合、プロバイダは、適用されるデータ保護法に準拠し、当該地域へのお客様の個人データの転送に関して適切な保護措置を講じます。

2. EEA域外への移転

お客様プロバイダーは、GDPRがお客様の個人データの移転を保護し、その移転がEEA域内からEEA域外のお客様からプロバイダーへのものであり、かつ当該移転が欧州委員会による適切性決定の対象とならない場合には、本DPAを締結することにより、お客様プロバイダーは参照により本DPAに組み込まれるEEA SCCおよびその付属文書に署名したものとみなされることに同意するものとします。かかる移転はすべてEEA SCCに従って行われ、EEA SCCは以下の手順で完了します。

a. EEA SCC のモジュール 2 (コントローラーからプロセッサーへ) は、顧客がコントローラーであり、プロバイダーがプロセッサーとして 顧客のために顧客の個人データを処理する場合に適用されます。

b. EEA SCC のモジュール 3 (プロセッサーからサブプロセッサーへ) は、顧客がプロセッサーであり、プロバイダーがサブプロセッサーとして 顧客に代わって顧客の個人データを処理する場合に適用されます。

c. 各モジュールには、以下が適用されます(該当する場合)。

  1. 第7条の任意のドッキング条項は適用されません。

  2. 第 9 条ではオプション 2 (一般的な書面による承認) が適用され、サブプロセッサーの変更を事前に通知するための最短期間は 10 営業日です。

  3. 第11条では、任意の言語は適用されません。

  4. 第13条の角括弧はすべて削除されます。

  5. 第 17 条(オプション 1)では、EEA SCC は 管轄加盟国の法律に準拠します。

  6. 第18条(b)において、紛争は統治加盟国の裁判所で解決されるものとする。

  7. 本DPAの表紙には、EEA SCCの付属書I、付属書II、および付属書IIIで要求される情報が記載されています。

3. 英国外への送金

お客様プロバイダーは、英国GDPRが顧客個人データの移転を保護し、移転が英国国内のお客様から英国外のプロバイダーへ行われ、かつ当該移転が英国国務長官による適切性決定の対象外である場合、本DPAを締結することにより、お客様プロバイダーは参照により組み込まれる英国補足条項およびその付属文書に署名したものとみなされることに同意します。かかる移転はすべて、以下の手順で完了する英国補足条項に従って行われます。

a. 本DPAのセクション3.2には、英国補足条項の表2で要求される情報が記載されています。

b. 英国補足条項の表 4 は次のように修正されます: いずれの当事者も、英国補足条項の第 19 条に定めるとおり英国補足条項を終了することはできません。ICO が英国補足条項の第 18 条に基づいて改訂された承認済み補足条項を発行する場合、当事者は誠意を持って本 DPA をそれに応じて改訂するものとします。

c. 表紙には、英国補足文書の付録 1A、付録 1B、付録 II、および付録 III で要求される情報が記載されています。

4. その他の国際送金

個人データの転送については、転送の国際的な性質にスイス法(EEA 加盟国または英国の法律ではない)が適用される場合、EEA SCC の第 4 条の GDPR への言及は、法的に必要な範囲で、スイス連邦データ保護法またはその後継法に言及するように修正され、監督機関の概念にはスイス連邦データ保護および情報コミッショナーが含まれます。

4. セキュリティインシデント対応

  1. セキュリティ インシデントを認識した場合、プロバイダは、(a) 実行可能な場合は不当な遅延なく、ただしセキュリティ インシデントを認識してから 72 時間以内に 顧客に通知し、(b) セキュリティ インシデントが判明したとき、または 顧客から合理的に要求されたときに、セキュリティ インシデントに関する情報を適時に提供し、(c) セキュリティ インシデントの抑制と調査のために合理的な措置を速やかに講じるものとします。本 DPA の規定に従って プロバイダがセキュリティ インシデントを通知または対応したとしても、それは プロバイダがセキュリティ インシデントに関する過失または責任を認めたことを意味するものではありません。

5. 監査とレポート

1. 監査権限

プロバイダは、本DPAの遵守を証明するために合理的に必要なすべての情報を顧客に提供し、プロバイダは、本DPAへのプロバイダの遵守状況を評価するために、顧客による検査を含む監査を許可し、これに協力するものとします。ただし、顧客による情報へのアクセスがプロバイダの知的財産権、守秘義務、または適用法に基づくその他の義務に悪影響を与える場合、プロバイダはデータまたは情報へのアクセスを制限することがあります。顧客は、本DPAに基づく監査権および適用データ保護法によって付与される監査権を、以下の報告およびデューデリジェンス要件の遵守をプロバイダに指示することによってのみ行使することを認め、同意するものとします。プロバイダは、本DPAの終了後3年間、本DPAの遵守状況の記録を保管します。

2. セキュリティレポート

顧客は、プロバイダセキュリティポリシーに定められた基準に基づき、独立した第三者監査機関によって定期的に監査を受けていることを承認します。プロバイダは、書面による要求があった場合、顧客プロバイダによるセキュリティポリシーに定められた基準の遵守を確認できるよう、その時点のレポートの要約を機密扱いで顧客に提供します。

3. セキュリティデューデリジェンス

報告書に加えて、プロバイダは、情報セキュリティ、デューデリジェンス、監査に関するアンケートへの回答、または情報セキュリティプログラムに関する追加情報の提供など、本DPAへのプロバイダの遵守状況を確認するために顧客から提出される合理的な情報要求に応じます。これらの要求はすべて書面でプロバイダのセキュリティ担当者宛に提出する必要があり、提出は年に1回のみ可能です。

6. 調整と協力

1. お問い合わせへの対応

プロバイダが顧客の個人データの処理に関して他者から問い合わせや要求を受けた場合、プロバイダ顧客にその要求を通知し、プロバイダ顧客の事前の同意なしにその要求に応じません。このような問い合わせや要求の例には、適用法によって顧客への通知が禁止されていない場合の顧客の個人データに関する司法機関、行政機関、または規制機関の命令、またはデータ主体からの要求が含まれます。適用法で許可されている場合、プロバイダはこれらの要求に関する顧客の合理的な指示に従い、ステータスの更新や顧客が合理的に要求するその他の情報を提供します。データ主体が適用データ保護法に基づき、顧客による顧客個人データのプロバイダへの提供の削除またはオプトアウトの有効な要求を行った場合、プロバイダは適用データ保護法に従い、顧客の要求の履行を支援します。プロバイダは、本DPAに基づくプロバイダによる顧客個人データの処理に関する第三者からの要求に応じて顧客が行う法的対応またはその他の手続きにおいて、顧客の費用負担で協力し、合理的な支援を提供します。

2. DPIA と DTIA

適用可能なデータ保護法で義務付けられている場合、プロバイダは、処理および顧客の個人データの性質を考慮し、義務付けられたデータ保護影響評価またはデータ転送影響評価の実施、および関連するデータ保護当局との協議において顧客を合理的に支援します。

7. 顧客個人データの削除

1. 顧客による削除

プロバイダは、サービスの機能性と一致する方法で、顧客が顧客個人データを削除できるようにします。プロバイダは、適用法により顧客個人データのさらなる保管が要求されている場合を除き、合理的に実行可能な限り速やかにこの指示に従います。

2. DPA有効期限切れ時の削除

a. DPAの有効期限が切れた後、適用法により顧客個人データのさらなる保管が要求または許可されている場合を除き、プロバイダ顧客の指示に従って顧客個人データを返却または削除します。返却または破棄が実行不可能であるか、適用法により禁止されている場合、プロバイダは顧客個人データの追加処理を防止するために合理的な努力を行い、保有、保管、または管理下にある顧客個人データの保護を継続します。例えば、適用法により、プロバイダは顧客個人データのホスティングまたは処理を継続することが求められる場合があります。

b. 顧客プロバイダが本DPAの一環としてEEA SCCまたは英国補足契約を締結している場合、プロバイダは、顧客が要求した場合にのみ、EEA SCCの第8.1条(d)および第8.5条に記載されている個人データの削除証明書を顧客に発行します。

8. 責任の制限

1. 賠償責任の上限と損害賠償の放棄

適用可能なデータ保護法で認められる最大限の範囲で、本DPAに起因または関連する各当事者の相手方当事者に対する累積責任の総額は、契約に記載されている権利放棄、除外、および責任の制限に従うものとします。

本DPAに起因または関連してプロバイダまたはその関連会社に対してなされる請求は、契約の当事者である顧客エンティティによってのみ提起できます。

3. 例外

  1. 本DPAは、適用データ保護法に基づく個人のデータ保護権に関する個人に対するいかなる責任も制限するものではありません。また、本DPAは、EEA SCCまたは英国補足条項の違反に関する当事者間のいかなる責任も制限するものではありません。

9. ドキュメント間の競合

  1. 本DPAは本契約の一部を構成し、本契約を補足するものです。本DPA、本契約、またはそのいずれかの部分との間に矛盾が生じた場合、当該矛盾については、(1) EEA標準契約条項または英国補足条項、(2) 本DPA、そして(3) 本本契約の順で、先に列挙された部分が後に列挙された部分に優先します。

10. 契約条件

本DPAは、プロバイダ顧客がDPAの表紙に同意し、契約に署名または電子的に同意した時点で開始され、契約が満了または終了するまで継続します。ただし、顧客プロバイダへの顧客個人データの転送を停止し、プロバイダが顧客個人データの処理を停止するまで、プロバイダ顧客はそれぞれ、本DPAおよび適用されるデータ保護法の義務を負います。

11. 準拠法および裁判所の選択

本契約の準拠法または類似の条項にかかわらず、本DPAに関するすべての解釈および紛争は、抵触法の規定にかかわらず、準拠国の法律に準拠するものとします。さらに、本契約の裁判地選択、管轄権、または類似の条項にかかわらず、両当事者は、本DPAに関するあらゆる訴訟、訴え、または法的手続きを準拠国の裁判所に提起することに同意し、各当事者は、その専属管轄権に取消不能に服するものとします。

12. サービスプロバイダー関係

カリフォルニア州消費者プライバシー法(Cal. Civ. Code § 1798.100 et seq.、以下「CCPA」)が適用される範囲において、両当事者は、プロバイダがサービスプロバイダであり、契約で合意されたとおりにサービスを提供するために顧客から個人データを受け取っており、これが事業目的であることを承認し、同意します。プロバイダは、契約に基づき顧客から提供された個人データを販売しません。また、プロバイダは、契約に記載されているとおり、顧客にサービスを提供するために必要な場合、または適用されるデータ保護法で許可されている場合を除き、契約に基づき顧客から提供された個人データを保持、使用、または開示しません。プロバイダは、本条項の制限を理解していることを証明します。

13. 定義

  1. 「適用法」 とは、当事者に適用される、または当事者を規制する法律、規則、規制、裁判所命令、および関連する政府機関のその他の拘束力のある要件を意味します。

  2. 「適用データ保護法」 とは、本サービスが個人の個人情報、個人データ、個人を特定できる情報、またはその他の同様の用語を処理または使用する方法を規定する適用法を意味します。

  3. 「管理者」 とは、個人データの処理の目的と範囲を決定する会社について適用されるデータ保護法で定義されている意味を持ちます。

  4. 「表紙」 とは、当事者により署名または電子的に承諾され、本 DPA 標準規約を組み込み、プロバイダー顧客、およびデータ処理の主題と詳細を特定する文書を意味します。

  5. 「顧客個人データ」 とは、顧客がサービスの一環としてプロバイダーにアップロードまたは提供する個人データであり、本DPAの対象となるものを意味します。

  6. 「DPA」 とは、本 DPA 標準規約、プロバイダ顧客間の表紙、および表紙で参照または添付されているポリシーと文書を意味します。

  7. 「EEA SCC」 とは、欧州議会および欧州理事会の規則 (EU) 2016/679 に基づく第三国への個人データの移転に関する標準契約条項に関する 2021 年 6 月 4 日付欧州委員会の実施決定 2021/914 に付属する標準契約条項を意味します。

  8. 「欧州経済領域」 または 「EEA」 とは、欧州連合加盟国、ノルウェー、アイスランド、リヒテンシュタインを意味します。

  9. 「GDPR」 とは、関連する EEA 加盟国の現地法によって実施される欧州連合規則 2016/679 を意味します。

  10. 「個人データ」 とは、個人情報、個人データ、またはその他の同様の用語について適用されるデータ保護法で定義されている意味を持ちます。

  11. 「処理」 または 「プロセス」 は、自動的な方法を含む、個人データの使用またはコンピューター操作の実行に関して適用されるデータ保護法で定義されている意味を持ちます。

  12. 「処理者」 とは、管理者に代わって個人データを処理する会社について適用されるデータ保護法に定義されている意味を持ちます。

  13. 「レポート」 とは、プロバイダに代わってセキュリティ ポリシーで定義された基準に従って別の会社が作成した監査レポートを意味します。

  14. 「制限付き転送」 とは、(a) GDPR が適用される場合、EEA から欧州委員会による適切性決定の対象とならない EEA 域外の国への個人データの転送、および (b) 英国 GDPR が適用される場合、英国から 2018 年英国データ保護法第 17A 条に基づいて採択された適切性規制の対象とならないその他の国への個人データの転送を意味します。

  15. 「セキュリティインシデント」 とは、GDPR 第 4 条に定義されている個人データ侵害を意味します。

  16. 「サービス」 とは、本契約に記載されている製品および/またはサービスを意味します。

  17. 「特別カテゴリーのデータ」 は、GDPR 第 9 条に定義されている意味を持ちます。

  18. 「サブプロセッサー」 とは、コントローラーの承認および承諾を得て、コントローラーに代わってプロセッサーによる個人データの処理を支援する会社を指し、適用データ保護法に定義されている意味を持ちます。

  19. 「英国 GDPR」 とは、英国の 2018 年欧州連合(離脱)法第 3 条に基づいて英国で実施される欧州連合規則 2016/679 を意味します。

  20. **「英国補足条項」**とは、2018年データ保護法第119A条(1)項に基づき制限付き移転を行う当事者向けに情報コミッショナーが発行するEEA SCCの国際データ移転補足条項を意味します。

クレジット

このドキュメントは 共通ペーパーDPA標準規約(バージョン1.0) の派生であり、CC BY 4.0 に基づいてライセンスされます。