デジタル処理契約

OneTake AIは、OneTake ChatのAIがあなたのビジネスに関するコンテキストを持ち、完全にカスタマイズされた回答を提供することを可能にする「コンテナ」システムを使用しています。

デジタル処理契約

  1. プロセッサーとサブプロセッサーの関係
    1. 処理者としてのプロバイダお客様がお客様の個人データの管理者である場合、プロバイダは、お客様に代わって個人データを処理する処理者とみなされます。
    2. サブプロセッサーとしてのプロバイダーお客様がお客様の個人データの処理者である場合、プロバイダはお客様の個人データのサブ処理者とみなされます。
  2. 加工
    1. 処理の詳細。表紙の付属書類I(B)には、この処理の主題、性質、目的、期間、収集された個人データの分類、およびデータ対象者の分類が記載されています。
    2. 処理指示。お客様は、プロバイダに対し、(a)本サービスを提供し、維持するため、(b)お客様の本サービスの利用を通じてさらに特定される場合、(c)本契約に文書化されたとおり、及び(d)本DPAに基づくお客様の個人データの処理についてお客様が提示し、プロバイダが承認したその他の書面による指示に文書化されたとおり、お客様の個人データを処理するよう指示するものとします。プロバイダは、適用法令により禁止されている場合を除き、これらの指示に従うものとします。プロバイダは、処理の指示に従うことができない場合、直ちにお客様に通知します。お客様は、適用法に準拠した指示のみを行い、また今後も行うものとします。
    3. プロバイダによる処理プロバイダは、表紙の詳細を含む本DPAに従ってのみ、お客様の個人データを処理します。プロバイダが本サービスを更新し、既存の製品、特徴または機能を更新し、または新しい製品、特徴または機能を追加する場合、プロバイダは、更新および変更をお客様に通知することにより、更新を反映するために、データ主体のカテゴリ、個人データのカテゴリ、特別カテゴリデータ、特別カテゴリデータの制限または保護措置、転送の頻度、処理の性質および目的、および処理の期間を必要に応じて変更することができるものとします。
    4. お客様の処理。お客様が処理者であり、プロバイダがサブ処理者である場合、お客様は、お客様によるお客様の個人データの処理に適用されるすべての適用法を遵守するものとします。お客様の管理者との契約においても同様に、お客様は、処理者としてお客様に適用されるすべての適用法を遵守するものとします。さらに、お客様は、お客様のコントローラーとの契約におけるサブプロセッサーの要件を遵守するものとします。
    5. 処理への同意。お客様は、プロバイダおよび/または本サービスへのお客様の個人データの提供に関して、適用されるデータ保護法で要求されるすべての開示、すべての同意の取得、適切な選択肢の提供、および関連する保護措置の実施を含め、適用されるデータ保護法を遵守しており、今後も遵守するものとします。
    6. サブプロセッサー。
      1. プロバイダは、お客様が承認した場合を除き、お客様の個人データをサブプロセッ サに提供、転送、または引き渡さないものとします。現在の承認サブプロセッサーリストには、サブプロセッサーの身元、所在国、および予想される処理業務が記載されています。プロバイダは、サブプロセッサの追加または交換にかかわらず、承認されたサブプロセッサの変更について、少なくとも 10 営業日前に、書面でお客様に通知します。プロバイダは、お客様が承認サブプロセサの変更に異議を唱える権利を行使するために必要な情報をお客様に提供します。お客様は、承認サブプロセッサの変更に関する通知後 30 日以内に異議を申し立てることができます。通知後30日以内にお客様が変更に異議を申し立てた場合、お客様とプロバイダは、お客様の異議または懸念を解決するために誠意をもって協力するものとします。
      2. プロバイダは、サブプロセッサーに委託する場合、サブプロセッサーとの間で、(i) サブプロセッサーに委託する義務の履行に必要な範囲で、かつ、(ii) 契約条件に合致する場合に限り、お客様の個人データにアクセスし、これを利用することを保証する書面による契約を締結するものとします。
      3. お客様の個人データの処理にGDPRが適用される場合、(i) 本DPAに記載されるデータ保護義務(適用される場合は、GDPR第28条(3)に記載されるデータ保護義務)がサブプロセッサーにも課され、(ii) プロバイダーとサブプロセッサーとの契約には、お客様の個人データの処理に関する問い合わせまたは要求に対応するためにプロバイダーとサブプロセッサーがどのように調整するかについての詳細を含め、これらの義務が組み込まれます。さらに、プロバイダは、お客様からの要求に応じて、サブプロセッサーとの契約書(修正を含む)の写しを共有します。業務上の秘密または個人データを含むその他の機密情報を保護するために必要な範囲で、プロバイダは、コピーを共有する前に、サブプロセッサーとの契約書の本文を修正することができます。
      4. プロバイダは、お客様の個人データの処理におけるサブプロセッサーの作為および不作為を含め、サブプロセッサーに下請けされたすべての義務について全責任を負うものとします。プロバイダは、プロバイダとサブプロセッサ間の契約に基づき、サブプロセッサがお客様の個人データに関する重大な義務を履行しなかった場合、お客様に通知します。
  3. 譲渡制限
    1. 許可。お客様は、プロバイダが、本サービスを提供するために必要な場合、お客様の個人データをEEA、英国またはその他の関連する地理的領域外に移転する場合があることに同意するものとします。プロバイダが、欧州委員会またはその他の関連監督当局が妥当性決定を出していない地域にお客様の個人データを移転する場合、プロバイダは、適用データ保護法に基づき、お客様の個人データを当該地域に移転するための適切な保護措置を実施します。
    2. EEA域外への移転。お客様及びプロバイダは、GDPRがお客様の個人データの移転を保護し、移転がEEA域内のお客様からEEA域外のプロバイダへの移転であり、かつ、移転が欧州委員会による適切性決定によって管理されない場合、本DPAを締結することにより、お客様及びプロバイダが、参照により組み込まれるEEA SCC及びその付属書に署名したものとみなされることに同意するものとします。このような移転は、EEA SCCに従って行われ、以下のように完了します:
      1. EEA SCCのモジュール2(管理者から処理者)は、お客様が管理者であり、プロバイダが処理者としてお客様のためにお客様の個人データを処理する場合に適用されます。
      2. EEA SCCのモジュール3(処理者からサブ処理者)は、お客様が処理者であり、プロバイダがサブ処理者としてお客様に代わってお客様の個人データを処理する場合に適用されます。
      3. 各モジュールについて、以下が適用される(該当する場合):
        1. 第7条のオプション・ドッキング条項は適用されない;
        2. 第9条では、オプション2(一般的な書面による承認)が適用され、サブプロセッサの変更に関する事前通知の最低期間は10営業日です;
        3. 第11条では、オプションの文言は適用されない;
        4. 第13節の角括弧はすべて削除される;
        5. 第17条(オプション1)では、EEA SCCは、管轄加盟国の法律に準拠する;
        6. 第18条(b)では、紛争は管轄加盟国の裁判所で解決される。
        7. 本 DPA の表紙には、EEA SCC の付属書 I、付属書 II、および付属書 III で要求される情報が記載されています。
    3. 英国外への移転。お客様及びプロバイダは、英国GDPRがお客様の個人データの移転を保護し、その移転がお客様から英国外のプロバイダへのものであり、かつ、その移転が英国国務長官による適切性決定によって管理されない場合、本DPAを締結することにより、お客様及びプロバイダは、参照により組み込まれる英国補遺及びその付属書に署名したものとみなされることに同意するものとします。かかる移転はすべて、以下のように記入された英国補遺に従って行われるものとします:
      1. 本DPAの3.2項には、英国補遺の表2で求められている情報が含まれている。
      2. 英国補遺の表4は以下のように修正される:いずれの当事者も、UK補遺第19条に定めるとおり、UK補遺を終了することはできない。ICOがUK補遺第18条に基づき改訂された承認補遺を発行する限りにおいて、当事者は、それに応じて本DPAを改訂するよう誠実に取り組む。
      3. 表紙には、UK補遺の附属書1A、附属書1B、附属書II、附属書IIIで要求される情報が記載されている。
    4. その他の国際移転。国際的な移転の性質にスイスの法律(EEA加盟国またはイギリスの法律ではなく)が適用される個人データの移転については、EEA SCCの第4項におけるGDPRへの言及は、法的に必要な範囲において、スイス連邦データ保護法またはその後継法に言及するよう修正され、監督当局の概念にはスイス連邦データ保護および情報コミッショナーが含まれます。
  4. セキュリティ・インシデント対応
    1. セキュリティ・インシデントを認識した場合、プロバイダは以下のことを行います:(b)セキュリティ・インシデントが判明した場合、またはお客様から合理的に要求された場合には、セキュリティ・インシデントに関する情報を適時に提供し、(c)セキュリティ・インシデントを封じ込め、調査するための合理的な措置を速やかに講じます。(c)セキュリティ・インシデントを速やかに封じ込め、調査すること。プロバイダが本DPAにより要求されるセキュリティ・インシデントの通知又はセキュリティ・インシデントへの対応を行うことは、プロバイダがセキュリティ・インシデントに対する過失又は責任を認めるものと解釈されません。
  5. 監査&レポート
    1. 監査権。プロバイダは、本DPAの遵守を証明するために合理的に必要な全ての情報をお客様に提供するものとし、プロバイダは、本DPAの遵守状況を評価するために、お客様による検査を含む監査を許可し、これに協力するものとします。ただし、お客様がデータ又は情報にアクセスすることにより、プロバイダの知的財産権、秘密保持義務又は適用法に基づくその他の義務に悪影響を及ぼす場合、プロバイダは、データ又は情報へのアクセスを制限することができるものとします。お客様は、以下の報告要件及びデューディリジェンス要件を遵守するようプロバイダに指示することによってのみ、本DPAに基づく監査権及び適用データ保護法により付与される監査権を行使することを認め、これに同意するものとします。プロバイダは、本DPAの終了後3年間、本DPAの遵守に関する記録を保持するものとします。
    2. セキュリティ報告。お客様は、プロバイダが独立した第三者監査人により、セキュリティ・ポリシーに定義された基準に照らして定期的に監査を受けていることを認めるものとします。書面による要求があった場合、プロバイダは、お客様がセキュリティ・ポリシーに定義された基準に対するプロバイダのコンプライアンスを確認できるように、その時点で最新のレポートの要約コピーを秘密情報としてお客様に提供します。
    3. セキュリティ・デューディリジェンス。報告書に加え、プロバイダは、情報セキュリティ、デューデリジェンス及び監査に関するアンケートへの回答、又は情報セキュリティプログラムに関する追加情報の提供を含め、プロバイダが本DPAを遵守していることを確認するためにお客様からなされる合理的な情報要求に応じるものとします。かかる要請はすべて、書面により、プロバイダのセキュ リティ連絡担当者宛に行うものとし、1年に1回のみ行うことができるものとします。
  6. 調整と協力
    1. お問い合わせへの対応プロバイダが、お客様の個人データの処理に関して他者から照会または依頼を受けた場合、プロバイダは、当該依頼についてお客様に通知し、お客様の事前の同意がない限り、プロバイダは、当該依頼に応じません。この種の照会および要請の例としては、適用法によりお客様に通知することが禁止されていないお客様の個人データに関する司法もしくは行政または監督機関の命令、またはデータ主体からの要請が挙げられます。適用法で認められている場合、プロバイダは、お客様が合理的に要求するステータスアップデートおよびその他の情報の提供を含め、これらの要求についてお客様の合理的な指示に従います。データ主体が、適用データ保護法に基づき、お客様によるお客様の個人データのプロバイダへの提供の削除またはオプトアウトを求める有効な要求を行った場合、プロバイダは、適用データ保護法に従い、お客様が当該要求を履行するのを支援します。プロバイダは、本DPAに基づくプロバイダによるお客様の個人データの処理に関する第三者からの要請に応じてお客様が行う法的対応またはその他の手続上の措置について、お客様の費用負担において、お客様に協力し、合理的な支援を提供するものとします。
    2. DPIA および DTIA。適用データ保護法により要求される場合、プロバイダは、処理およびお客様の個人データの性質を考慮し、データ保護影響評価、データ移転影響評価、および関連データ保護当局との協議の実施において、お客様を合理的に支援します。
  7. お客様の個人情報の削除
    1. お客様による削除。プロバイダは、お客様が本サービスの機能と整合性のある方法でお客様の個人データを削除できるようにします。プロバイダは、適用法によりお客様の個人データの更なる保存が要求される場合を除き、合理的に実行可能な限り速やかにこの指示に従うものとします。
    2. DPA失効時の削除。
      1. 適用法令によりお客様の個人データの更なる保存が要求され、又は許可されない限り、本PAの有効期間満了後、プロバイダは、お客様の指示により、お客様の個人データを返却又は削除します。返却または破棄が実行不可能であるか、適用法により禁止されている場合、プロバイダは、お客様の個人データの追加的な処理を防止するための合理的な努力を行い、所有、保管または管理下にあるお客様の個人データの保護を継続します。例えば、適用法は、プロバイダに対して、お客様の個人データのホスティングまたは処理を継続することを要求する場合があります。
      2. お客様とプロバイダが本DPAの一部としてEEA SCCまたはUK補遺契約を締結している場合、プロバイダは、お客様から要求があった場合に限り、EEA SCC第8.1条(d)および第8.5条に記載された個人データの削除に関する証明書をお客様に提供します。
  8. 責任の制限
    1. 責任の上限および損害賠償の放棄。適用されるデータ保護法で認められる最大限の範囲において、本DPAに起因または関連する各当事者の相手方当事者に対する累積責任総額は、本契約に記載される免責、除外、および責任制限に従うものとします。
    2. 関連当事者による請求。本DPAに起因または関連してプロバイダまたはその関連会社に対してなされる請求は、本契約の当事者であるお客様事業体のみが提起できるものとします。
    3. 例外。本DPAは、適用データ保護法に基づく個人のデータ保護権に関する個人に対する責任を制限するものではありません。また、本DPAは、EEA SCCまたはUK補遺の違反に関する当事者間の責任を制限するものではありません。
  9. 文書間の矛盾
    1. 本DPAは、本契約の一部を構成し、本契約を補完するものです。本DPA、本契約、またはそれらのいずれかの部分間に矛盾がある場合、その矛盾については、(1)EEA SCCまたはUK補遺、(2)本DPA、そして(3)本契約の順に、先に記載された部分が後に記載された部分よりも優先されます。
  10. 契約期間
    1. 本DPAは、プロバイダとお客様が本DPAのカバーページに合意し、本契約に署名または電子的に同意したときに開始され、本契約が失効または終了するまで継続するものとします。但し、プロバイダ及びお客様は、お客様がプロバイダへのお客様の個人データの移転を停止し、かつプロバイダがお客様の個人データの処理を停止するまで、本DPAの義務及び適用データ保護法の定めに従うものとします。
  11. 定義
    1. 「適用法」とは、当事者に適用される、または当事者に適用される法律、規則、規制、裁判所の命令、および関連する政府当局のその他の拘束力のある要件を意味します。
    2. 「適用されるデータ保護法」とは、本サービスが個人の個人情報、個人データ、個人を特定できる情報、またはその他の類似の用語を処理または使用する方法を規定する適用法を意味します。
    3. 「管理者」は、個人データ処理の目的および範囲を決定する会社について、適用データ保護法で規定されている意味を有します。
    4. 「カバーページ」とは、本DPA標準約款を盛り込み、プロバイダ、顧客、データ処理の主題および 詳細を特定する、当事者により署名または電子的に受理された文書を意味します。
    5. 「お客様の個人データ」とは、お客様が本サービスの一環としてプロバイダにアップロードまたは提供する個人データであって、本DPAが適用されるものをいいます。
    6. 「DPA」とは、本DPA標準約款、プロバイダとお客様との間のカバーページ、及びカバーページで参照され又はカバーページに添付されたポリシー及び文書を意味します。
    7. EEA SCCs」とは、欧州議会および欧州理事会の規則(EU)2016/679に基づく、個人データの第三国への移転に関する標準契約条項に関する2021年6月4日の欧州委員会の実施決定2021/914に付属する標準契約条項を意味します。
    8. 「欧州経済領域」または「EEA」とは、欧州連合加盟国、ノルウェー、アイスランド、リヒテンシュタインを指します。
    9. 「GDPR」とは、関連するEEA加盟国の現地法によって実施される欧州連合規則2016/679を意味します。
    10. 「個人データ」は、適用データ保護法における個人情報、個人データまたはその他の類似の用語の意味を有するものとします。
    11. 「処理」または「プロセス」は、自動的な方法を含む、個人データの使用または個人データに対するコンピュータ操作の実行について、適用データ保護法に規定される意味を有するものとします。
    12. 「処理者」は、適用されるデータ保護法において、管理者に代わって個人データを処理する会社に対して与えられる意味を有します。
    13. 「報告書」とは、プロバイダに代わって、セキュリティポリシーに定める基準に従って他社が作成した監査報告書を意味します。
    14. "制限付き移転 "とは、(a)GDPRが適用される場合、欧州委員会による適切性判断の対象とならないEEAからEEA域外の国への個人データの移転、および(b)英国GDPRが適用される場合、英国データ保護法2018年第17A条に従って採択された適切性規制の対象とならない英国からその他の国への個人データの移転を意味します。
    15. 「セキュリティインシデント」とは、GDPR第4条に定義される個人データ漏洩を意味します。
    16. 「サービス」とは、本契約に記載されている製品および/またはサービスを意味します。
    17. 「特別カテゴリーデータ」は、GDPR第9条に規定される意味を有します。
    18. 「サブプロセッサー」は、コントローラーの承認および承諾を得て、コントローラーの代理として個人データの処理においてプロセッサーを支援する企業について、適用データ保護法で規定されている意味を有します。
    19. 「英国GDPR」とは、英国における2018年欧州連合(離脱)法第3条により実施される欧州連合規則2016/679を意味します。
    20. "英国補遺 "とは、2018年データ保護法S119A(1)に基づき制限付移転を行う当事者に対して情報コミッショナーが発行するEEA SCCに対する国際データ移転補遺を意味します。