データ処理契約

この文書は、 共通ペーパーDPA標準規約（バージョン1.0） 以下の変更が行われました:

1. 準拠法および管轄裁判所 下記のセクションに含まれています Governing State 上記で特定しました。
2. サービスプロバイダーとの関係 以下のセクションとして含まれています。

1. プロセッサとしてのプロバイダー

次のような状況では お客様 顧客個人データの管理者であり、 プロバイダー 個人データを処理する処理者とみなされます。 お客様.

2. サブプロセッサーとしてのプロバイダー

次のような状況では お客様 顧客の個人データの処理者であり、 プロバイダー 顧客個人データのサブプロセッサーとみなされます。

1. 処理の詳細

表紙の付録I(B)には、この処理の主題、性質、目的、期間、および 個人データのカテゴリー 収集され、 データ主体のカテゴリー.

2. 処理命令

お客様 指示する プロバイダー 顧客の個人データを処理するため：（a）サービスを提供し、維持するため。（b）さらに指定される場合 顧客の サービスの利用（c） 契約（ｄ）その他の書面による指示に記載されているとおり お客様 そして、 プロバイダー このDPAに基づく顧客個人データの処理について。 プロバイダー 適用法により禁止されない限り、これらの指示に従います。 プロバイダー すぐにお知らせします お客様 処理指示に従うことができない場合。 お客様 適用法に準拠した指示のみを与えており、今後も与え続ける予定です。

3. プロバイダーによる処理

プロバイダー は、表紙に記載されている詳細を含め、本DPAに従ってのみ顧客の個人データを処理します。 プロバイダー 既存の製品、機能、または機能性を更新したり、新しい製品、機能、または機能性を追加したりするためにサービスを更新する。 プロバイダー 変更される可能性があります データ主体のカテゴリー, 個人データのカテゴリー, 特別カテゴリデータ, 特別なカテゴリーのデータ制限または保護, 転送頻度, 処理の性質と目的、 と 処理期間 必要に応じて更新を通知して反映させる お客様 更新と変更について。

4. 顧客処理

どこ お客様 プロセッサであり、 プロバイダー サブプロセッサーである、 お客様 適用されるすべての適用法を遵守します 顧客の 顧客の個人データの処理。 顧客の コントローラーとの合意も同様に必要となる お客様 適用されるすべての法律を遵守するため お客様 プロセッサーとして。さらに、 お客様 サブプロセッサーの要件に準拠します 顧客の コントローラーとの契約。

5. 処理への同意

お客様 当社は、顧客個人データの提供に関して適用されるすべてのデータ保護法を遵守しており、今後も遵守していきます。 プロバイダー および/またはサービスに関して、あらゆる開示を行うこと、あらゆる同意を得ること、適切な選択肢を提供すること、および適用されるデータ保護法で要求される関連する保護措置を実施することを含め、あらゆる措置を講じます。

6. サブプロセッサー

a. プロバイダー 顧客の個人データをサブプロセッサーに提供、転送、または引き渡すことはありません。 お客様 サブプロセッサーを承認しました。現在のリストは 承認されたサブプロセッサー これには、サブプロセッサーの身元、所在国、および予想される処理タスクが含まれます。 プロバイダー お知らせします お客様 少なくとも10営業日前までに書面で通知し、変更の予定がある場合は、 承認されたサブプロセッサー サブプロセッサーの追加または交換によって、 お客様 変更に異議を申し立てる十分な時間を持つために プロバイダー 新しいサブプロセッサの使用を開始します。 プロバイダー あげる お客様 許可するために必要な情報 お客様 変更に異議を申し立てる権利を行使する 承認されたサブプロセッサー. お客様 変更の通知後30日以内に 承認されたサブプロセッサー 反対する、そうでなければ お客様 変更を承諾したものとみなされます。 お客様 通知後30日以内に変更に異議を申し立てる場合、 お客様 と プロバイダー 誠意を持って解決に協力します 顧客の 異議または懸念。

b. サブプロセッサーを利用する場合、 プロバイダー 下請け業者と書面による契約を結び、下請け業者が顧客の個人データにアクセスし、使用するのは、(i)下請け業者に委託された義務を履行するために必要な範囲のみであり、(ii)下請け業者の契約条件に準拠していることを保証するものとします。 契約.

c. GDPRが顧客個人データの処理に適用される場合、(i)本DPAに記載されているデータ保護義務（該当する場合はGDPR第28条(3)項に規定）もサブプロセッサーに課され、(ii) プロバイダーの サブプロセッサーとの契約には、これらの義務が組み込まれ、 プロバイダー およびそのサブプロセッサーは、顧客の個人データの処理に関する問い合わせや要求に対応するために調整します。さらに、 プロバイダー 共有します 顧客の 要請があれば、サブプロセッサーとの契約書（修正を含む）のコピーを送付します。個人データを含む企業秘密やその他の機密情報を保護するために必要な範囲で、 プロバイダー サブプロセッサーとの契約のコピーを共有する前に、契約書のテキストを編集する場合があります。

d. プロバイダー 当社は、顧客の個人データの処理におけるサブプロセッサーの行為および不作為を含め、サブプロセッサーに下請け委託したすべての義務について、引き続き全責任を負います。 プロバイダー 下請け処理者が、お客様と下請け処理者との間の契約に基づくお客様の個人データに関する重要な義務を履行できなかった場合には、お客様に通知します。 プロバイダー およびサブプロセッサー。

1. 認可

お客様 同意する プロバイダー サービスを提供するために必要に応じて、EEA、英国、またはその他の関連する地理的領域外に顧客の個人データを転送する場合があります。 プロバイダー 欧州委員会またはその他の関連監督当局が適切性決定を発行していない地域に顧客の個人データを転送する場合、 プロバイダー 適用されるデータ保護法に準拠して、当該地域への顧客個人データの転送に対して適切な保護措置を実施します。

2. EEA外への移転

お客様 と プロバイダー GDPRが顧客個人データの移転を保護する場合、移転は お客様 EEA内から プロバイダー EEA外であり、移転が欧州委員会による適切性決定の対象とならない場合には、本DPAを締結することにより、 お客様 と プロバイダー EEA SCC およびその付属文書に署名したものとみなされ、参照により組み込まれます。このような移転は、以下のように完了する EEA SCC に従って行われます。

a. EEA SCCのモジュール2（コントローラーからプロセッサーへ）は、次の場合に適用されます。 お客様 コントローラーであり、 プロバイダー 顧客の個人データを処理しています お客様 プロセッサとして。

b. EEA SCCのモジュール3（プロセッサーからサブプロセッサーへ）は、次の場合に適用される。 お客様 プロセッサであり、 プロバイダー は、お客様の個人データを代理して処理しています。 お客様 サブプロセッサーとして。

c. 各モジュールには、次の事項が適用されます（該当する場合）。

1. 第 7 条の任意のドッキング条項は適用されません。

2. 第 9 条では、オプション 2 (一般的な書面による承認) が適用され、サブプロセッサーの変更の事前通知の最小期間は 10 営業日です。

3. 第11条では、任意の言語は適用されません。

4. 第13条の角括弧はすべて削除されます。

5. 第17条（オプション1）では、EEA SCCは、 統治加盟国;

6. 第18条(b)では、紛争は、 統治加盟国; そして

7. このDPAの表紙には、EEA SCCの付属書I、付属書II、および付属書IIIで要求される情報が記載されています。

3. 英国外への移籍

お客様 と プロバイダー 英国GDPRが顧客個人データの移転を保護する場合、移転は お客様 英国国内から プロバイダー 英国国外で、かつ移転が英国国務長官による適切性決定の対象とならない場合には、本DPAを締結することにより、 お客様 と プロバイダー 参照により組み込まれる英国補足条項およびその付属文書に署名したものとみなされます。このような譲渡は英国補足条項に従って行われ、以下のように完了します。

a. このDPAのセクション3.2には、英国補足条項の表2で要求される情報が記載されています。

b. 英国補足条項の表 4 は、次のように修正されます: いずれの当事者も、英国補足条項の第 19 条に定めるとおり英国補足条項を終了することはできません。ICO が英国補足条項の第 18 条に基づいて改訂された承認済み補足条項を発行する場合、当事者は誠意を持って本 DPA をそれに応じて改訂するものとします。

c. 表紙には、英国補遺の付録 1A、付録 1B、付録 II、および付録 III で要求される情報が記載されています。

4. その他の国際転送

個人データの移転については、移転の国際的な性質にスイスの法律（EEA 加盟国または英国の法律ではない）が適用される場合、EEA SCC の第 4 条の GDPR への言及は、法的に必要な範囲で、スイス連邦データ保護法またはその後継法に修正され、監督機関の概念にはスイス連邦データ保護および情報コミッショナーが含まれます。

1. セキュリティインシデントに気付いた場合、 プロバイダー 通知する：(a) お客様 可能な限り遅滞なく、セキュリティインシデントを認識してから72時間以内に、セキュリティインシデントに関する情報をタイムリーに提供すること。（b）セキュリティインシデントが判明した場合、またはセキュリティインシデントが合理的に要求した場合、 お客様（c）セキュリティインシデントを封じ込め、調査するために合理的な措置を速やかに講じる。 プロバイダーの 本DPAで要求されるセキュリティインシデントの通知または対応は、 プロバイダー セキュリティインシデントに関するいかなる過失または責任についても責任を負いません。

1. 監査権

プロバイダー あげる お客様 本DPAへの準拠を証明するために合理的に必要なすべての情報 プロバイダー 監査を可能にし、監査に貢献します。これには、 お客様、 評価する プロバイダーの このDPAの遵守。ただし、 プロバイダー データや情報へのアクセスを制限する場合があります 顧客の 情報へのアクセスは悪影響を及ぼす プロバイダーの 知的財産権、機密保持義務、または適用法に基づくその他の義務。 お客様 本DPAに基づく監査権および適用データ保護法によって付与された監査権は、以下の指示によってのみ行使されることを認め、同意します。 プロバイダー 以下の報告およびデューデリジェンスの要件を遵守するため。 プロバイダー DPA 終了後 3 年間、本 DPA への準拠に関する記録を保持します。

2. セキュリティレポート

お客様 認める プロバイダー に定義された基準に照らして定期的に監査される。 セキュリティポリシー 独立した第三者監査人による。書面による要請があれば、 プロバイダー あげる お客様機密扱いで、その時点の報告書の要約コピーを送付し、 お客様 確認できる プロバイダーの で定義された基準に準拠する セキュリティポリシー.

3. セキュリティデューデリジェンス

報告書に加えて、 プロバイダー 合理的な情報要求に応じます お客様 確認するために プロバイダーの 情報セキュリティ、デューデリジェンス、監査の質問票への回答を含む本DPAの遵守、または情報セキュリティプログラムに関する追加情報の提供など、すべての要求は書面で、 プロバイダーセキュリティ連絡先 1 年に 1 回のみ作成できます。

1. お問い合わせへの対応

もしも プロバイダー 顧客の個人データの処理に関して他者から問い合わせや要求を受けた場合、 プロバイダー 通知します お客様 リクエストについて プロバイダー 要求に応じない 顧客の 事前の同意。このような問い合わせや要求の例には、顧客の個人データに関する司法機関、行政機関、規制機関の命令があり、通知する場合 お客様 適用法で禁止されていない場合、またはデータ主体からの要求。適用法で許可されている場合、 プロバイダー 続く 顧客の これらの要求に関する合理的な指示、状況の更新や、合理的に要求されるその他の情報の提供など お客様データ主体が適用データ保護法に基づいて削除またはオプトアウトの有効な要求を行った場合、 顧客の 顧客の個人データの提供 プロバイダー, プロバイダー 支援します お客様 適用されるデータ保護法に従って要求を満たすため。 プロバイダー 協力し、合理的な支援を提供します お客様、 で 顧客の いかなる法的対応または他の手続き上の措置においても、 お客様 第三者からの要請に応じて プロバイダーの 本DPAに基づく顧客個人データの処理。

2. DPIA と DTIA

適用されるデータ保護法で要求される場合、 プロバイダー 合理的に支援する お客様 処理および顧客個人データの性質を考慮し、義務付けられたデータ保護影響評価またはデータ転送影響評価を実施し、関連するデータ保護当局と協議する際に。

1. お客様による削除

プロバイダー 有効になります お客様 サービスの機能と一致する方法で顧客の個人データを削除します。 プロバイダー 適用法により顧客個人データのさらなる保管が要求される場合を除き、合理的に実行可能な限り速やかにこの指示に従います。

2. DPAの有効期限切れ時の削除

a. DPAの有効期限が切れた後、 プロバイダー 顧客の個人データを返却または削除します 顧客の 適用法により顧客個人データのさらなる保管が要求または許可されている場合を除き、指示に従って返却または破棄することはできません。適用法により返却または破棄が不可能または禁止されている場合、 プロバイダー 顧客個人データの追加処理を防止するために合理的な努力を払い、保有、保管、または管理下にある顧客個人データを引き続き保護します。たとえば、適用法では、 プロバイダー 顧客の個人データのホスティングまたは処理を継続するため。

b. もし お客様 と プロバイダー このDPAの一環としてEEA SCCまたは英国補足条項を締結している、 プロバイダー 与えるだけ お客様 EEA SCCの第8.1条(d)および第8.5条に記載されている個人データの削除の証明 お客様 1つを要求します。

1. 賠償責任の上限と損害賠償の免除

適用されるデータ保護法で認められる最大限の範囲で、本DPAに起因または関連して各当事者が相手方に対して負う累積的な責任の総額は、本DPAに記載されている免責、除外、および責任の制限に従うものとします。 契約.

2. 関連当事者の請求

いかなる請求も プロバイダー またはその関連会社が本DPAに起因または関連する紛争を提起できるのは、 お客様 当事者である 契約.

3. 例外

1. 本DPAは、適用データ保護法に基づく個人のデータ保護権に関して、個人に対するいかなる責任も制限しません。また、本DPAは、EEA SCCまたは英国補足条項の違反に対する当事者間のいかなる責任も制限しません。

1. 本DPAは本契約の一部を構成し、本契約を補足するものです。本DPAと本契約の間に矛盾がある場合は、 契約、またはその一部である場合、その不一致については、先に挙げた部分が後に挙げた部分よりも優先する：（1）EEA SCCまたは英国補足条項、（2）本DPA、そして（3） 契約.

このDPAは、 プロバイダー と お客様 DPAの表紙に同意し、署名または電子的に承認する 契約 そして、 契約 期限切れまたは終了した場合。ただし、 プロバイダー と お客様 それぞれ、本DPAおよび適用可能なデータ保護法の義務に従うものとします。 お客様 顧客の個人データの転送を停止 プロバイダー と プロバイダー 顧客の個人データの処理を停止します。

準拠法または本契約の類似の条項にかかわらず、 契約このDPAに関するすべての解釈および紛争は、 統治国 抵触法の規定にかかわらず、また、裁判所の選択、管轄権、または同様の条項にかかわらず、 契約両当事者は、本DPAに関するあらゆる訴訟、訴え、手続きを、以下のいずれかの裁判所に提起することに同意し、各当事者は、以下の裁判所の専属管轄権に取消不能に服するものとします。 統治国.

カリフォルニア州消費者プライバシー法、カリフォルニア州民事法典第1798.100条以降（「CCPA」）が適用される範囲において、当事者は以下を認め、同意する。 プロバイダー サービスプロバイダーであり、個人データを受け取っています お客様 合意された通りにサービスを提供する 契約、これは事業目的を構成します。 プロバイダー 提供された個人情報を販売することはありません お客様 下 契約。 加えて、 プロバイダー 提供された個人情報を保持、使用、開示することはありません。 お客様 下 契約 サービス提供に必要な場合を除き、 お客様、に記載されているように 契約、または適用されるデータ保護法によって許可されている範囲で行います。 プロバイダー この条項の制限を理解していることを証明します。

1. 「適用法」 当事者に適用される、または当事者を規制する法律、規則、規制、裁判所命令、および関連する政府機関のその他の拘束力のある要件を意味します。

2. 「適用されるデータ保護法」 本サービスが個人の個人情報、個人データ、個人を特定できる情報、またはその他の同様の用語を処理または使用する方法を規定する適用法を意味します。

3. "コントローラ" 個人データの処理の目的と範囲を決定する会社については、適用されるデータ保護法で定義されている意味を持ちます。

4. "表紙ページ" 当事者が署名または電子的に承認した文書であり、本DPA標準規約を組み込んでおり、 プロバイダー, お客様、データ処理の主題および詳細。

5. 「顧客の個人データ」 個人データとは お客様 アップロードまたは提供する プロバイダー サービスの一部として提供され、本DPAに準拠します。

6. "DPA" これらのDPA標準規約、表紙ページ、 プロバイダー と お客様、表紙で参照または添付されているポリシーおよび文書。

7. 「EEA SCC」 欧州議会および欧州理事会の規則 (EU) 2016/679 に基づく、第三国への個人データの移転に関する標準契約条項に関する 2021 年 6 月 4 日の欧州委員会の実施決定 2021/914 に付属する標準契約条項を意味します。

8. 「欧州経済領域」 または "EEA" 欧州連合加盟国、ノルウェー、アイスランド、リヒテンシュタインを指します。

9. "GDPR" 関連する EEA 加盟国の現地法によって実施される欧州連合規則 2016/679 を意味します。

10. "個人データ" 個人情報、個人データ、またはその他の同様の用語については、適用されるデータ保護法で定義されている意味を持ちます。

11. "処理" または "プロセス" 自動的な方法によるものも含め、個人データの使用または個人データに対するコンピュータ操作の実行については、適用されるデータ保護法で定義されている意味を持ちます。

12. 「プロセッサ」 管理者に代わって個人データを処理する会社については、適用されるデータ保護法で定義されている意味を持ちます。

13. "報告" セキュリティポリシーで定義された基準に従ってプロバイダに代わって別の会社が作成した監査レポートを意味します。

14. 「制限付き譲渡」 (a) GDPRが適用される場合、EEAから欧州委員会による適正性判定の対象とならないEEA外の国への個人データの移転、および(b)英国GDPRが適用される場合、英国から2018年英国データ保護法第17A条に基づいて採択された適正性規制の対象とならないその他の国への個人データの移転を意味します。

15. 「セキュリティインシデント」 GDPR第4条に定義されている個人データ侵害を意味します。

16. "サービス" に記載されている製品および/またはサービスを意味します。 契約.

17. 「特別カテゴリデータ」 GDPR第9条に定義された意味を持ちます。

18. 「サブプロセッサー」 適用データ保護法において、コントローラーの承認と承諾を得て、コントローラーに代わってプロセッサーが個人データを処理するのを支援する会社に与えられる意味を持ちます。

19. "UK GDPR" 英国における2018年欧州連合（離脱）法第3条により施行される欧州連合規則2016/679を意味します。

20. 「英国補足条項」 2018年データ保護法第119A条(1)項に基づき制限付き移転を行う当事者に対して情報コミッショナーが発行するEEA SCCの国際データ移転補足条項を意味します。

この文書は、 共通ペーパーDPA標準規約（バージョン1.0） そしてライセンスは CC BY 4.0.