国際的
Content
データ処理契約
前文
当事者は、プロセッサーがコントローラーのソフトウェアおよびサービスの使用を含む彼のサービスを提供することに関するソフトウェアサービス契約を締結しました(「メイン契約」)。メイン契約に従ってこれらのサービス(「サービス」)を提供する過程で、プロセッサーがコントローラーが責任を負っている個人データを処理する必要があります(「適用されるデータ保護法」)。適用されるデータ保護法の要件を満たすために、当事者は以下のDPAを締結します:
1. 定義
本DPAの目的のため、文脈に特に別段の指示がない限り、本契約で使用される用語は、適用されるデータ保護法に従って与えられた意味を持つものとします。本DPAの重要な用語は以下に定義されています:
「個人データ」とは、識別されたまたは識別可能な自然人(「データ主体」)に関連する任意の情報を意味します。識別可能な自然人とは、名前、識別番号、位置データ、オンライン識別子、または当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的または社会的アイデンティティに特有の一つ以上の要素に基づいて直接または間接的に特定できる者を指します。
「処理」は、個人データまたは個人データの集合に対して、手動または自動的手段によるかを問わず、収集、記録、整理、構造化、保存、適応または変更、取得、照会、使用、伝達による開示、配布またはその他の形での提供、整列または結合、制限、抹消または破壊など、行われる任意の操作または一連の操作を意味します。
「管理者」とは、個人データの処理の目的および手段を単独または他の者と共同で決定する自然人または法人、公的機関、機関または他の団体を指します。このような処理の目的および手段がEUまたは加盟国法によって決定される場合、管理者またはその指名のための特定の基準はEUまたは加盟国法によって規定されることがあります。
「処理者」とは、管理者の代理で個人データを処理する自然人または法人、公的機関、機関または他の団体を指します。
2. 範囲 / 期間
2.1 このDPAは、コントローラーの代理としてプロセッサーによって処理されるすべての個人データ(以下「データ」とも呼ばれます)に適用されます。処理の範囲、性質、目的およびさらなる説明は、主要契約によって決定され、そしてこのDPAの附属書1(「データ処理の説明」)に記載されています。
2.2 このDPAに別途規定がない限り、このDPAの期間および終了は主要契約の期間および終了の規定に従うものとします。主要契約の終了は自動的にこのDPAの終了をもたらします。このDPAの単独の終了は除外されます。
2.3 このDPAに別途指定がない限り、主要契約に提供されるすべての定義はこのDPAにも適用されるものとします。
3. プロセッサの指示を出す責任と権限 / 保護措置
3.1 当事者は、適用されるデータ保護法の規定の遵守について責任を負うものとします。コントローラーは、いつでもプロセッサーに、DPAの下で処理されたデータを開放、修正、適応、削除、および制限するよう指示することができます。
3.2 プロセッサーは、適用されるデータ保護法に従って、コントローラーの指示に従って、データを代理で処理します。コントローラーは、適用されるデータ保護法の観点からコントローラーとしての地位を保持します。
3.3 データ主体の権利の保護を確保するために、プロセッサーはコントローラーに適切な支援を提供し、特に、適切な技術的および組織的措置を確保します(セクション6参照)。データ主体が直接プロセッサーに連絡し、そのデータ主体の権利に従って行動するよう求めた場合、プロセッサーはその要求を遅滞なくコントローラーに転送します。
3.4 プロセッサーが指示を適用されるデータ保護法の違反と考える場合、プロセッサーは遅滞なくコントローラーに通知します。プロセッサーは、その指示がコントローラーによって確認または修正されるまで、関連する指示の実行を一時停止する権利を有します。
3.5 プロセッサーは、コントローラーの指示に従ってのみデータを処理できます。ただし、プロセッサーが被拘束者の法の下で異なる方法でデータを処理することを義務付けられている場合(例:法執行機関または国家安全保障機関による調査など)、その場合、プロセッサーは処理前にこれらの法的要件についてコントローラーに通知しなければなりません。ただし、当該法が公共の重要な利益の理由でそのような情報を禁止している場合は、この限りではありません。コントローラーの指示は、原則として、このDPAの規定において確定的に規制および文書化されています。このDPAの規定から逸脱する個別の指示や追加要件を課す場合、プロセッサーの同意が必要であり、文書化されなければなりません。その結果、プロセッサーが負担する追加費用はコントローラーが負担します。
3.6 処理対象に対する変更は共同で合意され、文書化されなければなりません。プロセッサーはデータを他の目的で使用することはできず、特に第三者にそのようなデータを開示する権利はありません。プロセッサーはコントローラーの承知なしにデータをコピーまたは複製する権利もありません。
3.7 コントローラーは、適用されるデータ保護法に従って処理活動の記録について責任を負います。コントローラーの要請に応じて、プロセッサーはその処理活動の記録に関する情報をコントローラーに提供します。プロセッサーは、適用されるデータ保護法に従ってコントローラーの代理として実施されたすべてのカテゴリの処理活動に関する記録を保持します。
3.8 プロセッサーは、データにアクセスできる自らの権限下にある自然人に対し、機密保持の義務について通知し、彼らがコントローラーの指示の範囲内でのみデータを処理することを確実にします。
4. コントローラーの法的義務
4.1 コントローラーは、データの処理の合法性および当事者間の関係におけるデータ主体の権利の保護に完全に責任を負います。第三者がこのDPAに従ったデータの処理に基づいてプロセッサーに対して請求を主張する場合、コントローラーは初回の要求に応じて、すべてのそのような請求からプロセッサーを補償するものとします。
4.2 コントローラーは、主要契約に従ってサービスの提供に必要なデータをプロセッサーに適時提供する責任があり、データの品質についても責任を負います。コントローラーは、3モモ - DPAの調査中にプロセッサーの結果に対して適用されるデータ保護法または彼の指示に関するエラーや不正を発見した場合、直ちにかつ完全にプロセッサーに通知しなければなりません。
4.3 要求に応じて、コントローラーは、適用されるデータ保護法に従った処理活動を記録するために必要な情報をプロセッサーに提供しなければなりません。ただし、その情報がプロセッサー自体に利用可能でない場合に限ります。
4.4 プロセッサーがデータを処理する際に政府機関または個人に情報を提供する必要がある場合、またはこれらの機関と他の方法で協力する必要がある場合、コントローラーは初回の要求に応じてプロセッサーがその情報を提供し、他の協力義務を履行するために支援する義務があります。
5. プロセッサの法的義務
5.1 プロセッサは、データを処理する権限のある者が機密性を守る義務を負うか、または適切な法的秘密保持義務に従うことを保証し、要求に応じて管理者にその証拠を提供しなければなりません。
5.2 当事者は、適用されるデータ保護法に従ったデータ処理に関する原則についての責任を証明し文書化するためにお互いを支援しなければなりません。必要に応じて、プロセッサは管理者に関連情報を提供しなければなりません。
5.3 適用されるデータ保護法で求められる限り、プロセッサはデータ保護責任者を任命し、その活動を適用されるデータ保護法に従って実施させなければなりません。データ保護責任者の連絡先は、直接の連絡の目的で管理者に提供されなければなりません。
5.4 プロセッサは、監督当局により実施される監査や措置、または監督当局がプロセッサに対して要求、調査、または問い合わせを行う場合には、遅滞なく管理者に通知しなければなりません。
6. 技術的および組織的措置
6.1 当事者は、本DPAの付属書3(「技術的および組織的措置」)に定められた具体的な技術的および組織的セキュリティ措置に合意します。付属書3は本DPAの不可欠な部分を形成します。
6.2 技術的および組織的措置は、技術の進歩に従うものとします。この点において、プロセッサーは、適用されるデータ保護法および本DPAの4モモスDPA規定に従った代替的ではあるが適切な措置を実施することが許可されます。このような措置に対する重要な変更は文書化されるものとします。
6.3 コントローラーの要求に応じて、プロセッサーは、付属書3に指定された技術的および組織的措置に対する遵守を、要件に従った適切な証拠を提供することによりコントローラーに示さなければなりません。
7. コントロール権
7.1 コントローラーは、本DPAの規定、特に付属書3に従った技術的および組織的措置の実施と有効性に関して、定期的に遵守状況を確認する権利を有します。この目的のため、コントローラーはプロセッサーに情報を要求し、既存の専門家の意見、認証、または内部監査の結果をレビューするか、通常の営業時間中に実施された技術的および組織的措置を検査することができます。
7.2 コントローラーは、監査の実施に関連するすべての状況を、十分な余裕を持って(通常は2週間前に)プロセッサーに通知します。コントローラーは、必要な範囲(通常はカレンダー年度に1回の監査)でのみ監査を実施し、プロセッサーの業務を十分に考慮します。双方は監査のタイミングと方法について事前に調整します。
7.3 コントローラーが第三者に監査を実施させる場合、コントローラーは、コントローラーがこのDPAの第7条に従ってプロセッサーに対して負っている義務と同様の内容で第三者に書面で義務付けるものとします。さらに、コントローラーは第三者に対して秘密保持および機密性を維持するよう義務付けるものとし、第三者が職業上の秘密保持義務に従う場合を除きます。プロセッサーの要求により、コントローラーは直ちに第三者との契約書を提出します。コントローラーは、監査を実施するためにプロセッサーの直接の競合他社を委託することはできません。
7.4 コントローラーは、監査の結果を文書化し、その報告書をプロセッサーと共有します。監査中に誤りや不正が発見された場合、コントローラーは遅滞なくプロセッサーに通知します。監査により再発を防ぐために既存の手続きの調整が必要な状況が明らかになった場合、コントローラーは遅滞なくプロセッサーに必要な手続きの変更を通知します。
8. 処理者の通知義務
処理者は、操作の重大な中断、疑わしい違反、このDPAおよび適用されるデータ保護法の違反、またはコントローラーのデータ処理におけるその他の不規則性が発生した場合には、遅延なくコントローラーに通知するものとします。これは、特に、適用されるデータ保護法に基づいて、関連当局および影響を受けるデータ主体にデータ侵害を報告する義務に適用されます。処理者は、適用されるデータ保護法に応じて、データ侵害通知義務を果たす際にコントローラーに適切な支援を提供しなければなりません。処理者は、このDPAの第3条に従って事前の指示を受けた後にのみ、コントローラーに関連するデータ侵害に関する通知を行うことができます。
9. データの消去および返却
9.1 主契約の終了時、またはコントローラーの要求があった場合、プロセッサーは、適切な遅延なく、コントローラーに提供されたすべての文書、データ、およびデータキャリアをコントローラーに返却するか、法定の保管義務が存在しない場合は、コントローラーの要求に応じて完全かつ不可逆的に削除します。この義務は、バックアップコピーを含むデータのすべてのコピーにも適用されます。
9.2 プロセッサーは、このDPAおよび適用法に従ったデータ処理の証拠として機能する文書を保存することができます。保持されたデータについては、適用される保管期間が終了した後、セクション9.1に記載された義務が適用されます。
9.3 要求に応じて、プロセッサーはコントローラーに対してデータの完全な削除を文書で確認します。9.4 保留権は除外されます。
10. サブプロセッサ
10.1 本DPAの履行に従事する現在の下請け業者は、当事者間で合意され、附録2(「下請け業者のリスト」)に詳細に指定されています。
10.2 プロセッサーがデータ処理のためにさらなる下請け業者に外注する意向がある場合、プロセッサーは下請け業者の変更または代替についてコントローラーに通知しなければなりません。個別のケースでは、コントローラーは該当する通知から14日以内にそのような変更に異議を唱えることができます。この通知期間が、コントローラーからの異議なしに終了した場合、提案された下請け業者は承認されたと見なされます。コントローラーが通知期間内に新たな下請け業者に正当な異議を唱えた場合、当事者は代替ソリューションを見つけるために善意で協力しなければなりません。コントローラーによって相互に受け入れ可能な代替案が確認されない場合、プロセッサーはサービスが新しい下請け業者の関与なしに実行できない場合、通知なしで主契約および本DPAを終了する権利を有します。
10.3 この規定の目的のために、下請けサービスはプロセッサーがこのDPAの履行を支援するために第三者から購入するサービス、例えば通信サービスは含まれません。
10.4 プロセッサーによって下請け業者が関与する場合、プロセッサーは下請け業者との契約がコントローラーとプロセッサーの間で合意されたデータ保護のレベルに準拠していること、及びすべての契約上および法的要求事項が遵守されていることを保証しなければなりません。これは、データ処理の適切なセキュリティレベルを確保するための適切な技術的および組織的措置の使用に特に関して適用されます。
11. 責任
11.1 プロセッサーのこのDPAに基づく責任は、メイン契約に記載された免責事項および責任の制限に従うものとします。第三者がこのDPAまたは適用されるデータ保護法に基づくコントローラーとしての義務の重大な違反によって引き起こされる請求をプロセッサーに対して主張する場合、コントローラーは最初の要求に応じて、これらの請求からプロセッサーを免責し、保護するものとします。
11.2 プロセッサーは、関与するサブプロセッサーによる違反に対してコントローラーに対しても責任を負います。
11.3 コントローラーは、プロセッサーに対して、罰金によって制裁される違反に対するコントローラーの責任の部分に相当するすべての可能な罰金に対して、最初の要求に応じてプロセッサーを免責することを約束します。
12. 最終規定
12.1 いかなる矛盾が生じた場合でも、本DPAの規定が基本契約の規定に優先します。
12.2 本DPAのいかなる規定も無効または施行不能である場合、残りの規定の有効性には影響しません。
附属書1:データ処理の説明
セクション | 説明 |
|---|---|
処理の性質と目的 | プロセッサは、メイン契約およびこのDPAに従ってサービスを提供するためにデータを処理します。プロセッサは、次の目的のためにのみデータを処理します:(i)メイン契約に基づく義務を果たすための処理;および(ii)メイン契約の条件に合致するコントローラーから提供された他の合理的指示に従うための処理。 |
データ処理の種類 | 収集、記録、組織、構造化、保存、適応または変更、取得、照会、使用、伝達による開示、普及またはその他の利用可能化、整列または結合、制限、消去または破壊。 |
個人データのカテゴリ | 注文後の調査を送信するための顧客連絡先情報: |
データ主体 | コントローラーのエンドカスタマー。 |
データ処理の頻度と期間 | 処理活動の頻度は継続的です。プロセッサは、契約の条件に従ってメイン契約が期限切れまたは終了するまでデータを処理します。 |
個人データの保持期間を決定するために使用される基準 | 保持期間の基準は、このDPAの第9条に記載されています。 |
サブプロセッサへの移転 | プロセッサは、このDPAの第10条に従って許可されている場合にデータをサブプロセッサに移転します。 |
付録2:サブプロセッサのリスト
プロバイダー名 | 住所 | データ処理の目的および説明 | データ処理の場所 |
|---|---|---|---|
アマゾン ウェブ サービス | アマゾン ウェブ サービス株式会社, 410 テリー アベニュー ノース, シアトル, WA 98109-5210, アメリカ合衆国 | クラウドホスティングプロバイダー | アメリカ合衆国 |
Auth0 | Auth0, LLC, 100 ファースト ストリート, フロア 6, サンフランシスコ, CA 94105, アメリカ合衆国 | アイデンティティおよび認証プロバイダー | アメリカ合衆国 |
Mixpanel | Mixpanel Inc., One Front Street, 28階, サンフランシスコ, CA 94111, アメリカ合衆国 | アプリケーションのプロダクト分析 | アメリカ合衆国 |
GitHub | GitHub Inc., 88 コリン P ケリー Jr. ストリート, サンフランシスコ, CA 94107, アメリカ合衆国 | バージョン管理 | アメリカ合衆国 |
Databricks | Databricks Inc., 160 スピア ストリート, 15階, サンフランシスコ, CA, アメリカ合衆国 | データレイク分析プラットフォームプロバイダー | アメリカ合衆国 |
Datadog | Datadog, Inc., 620 8番街, フロア 45, ニューヨーク, NY 10018, アメリカ合衆国 | アプリケーションログ管理 | アメリカ合衆国 |
OpenAI | OpenAI, Inc., 3180 18番街, サンフランシスコ, CA, アメリカ合衆国 | 基盤モデルプロバイダー | アメリカ合衆国 |
Twilio | Twilio Inc., 101 スピア ストリート, フロア 5, サンフランシスコ, CA, アメリカ合衆国 | SMS送信サービス | アメリカ合衆国 |
SendGrid | SendGrid, Inc., 801 カリフォルニア ストリート, スイート 500, デンバー, CO 80202, アメリカ合衆国 | メール送信サービス | アメリカ合衆国 |
Google Cloud Platform | Google LLC, 1600 アンフィシアター パークウェイ, マウンテンビュー, CA 94043, アメリカ合衆国 | プッシュ通知クラウドメッセージングプロバイダーおよびGitHubランナーコンピュートプロバイダー | アメリカ合衆国 |
Drata | Drata Inc., 4660 ラホヤ ヴィレッジ ドライブ, サンディエゴ, CA, アメリカ合衆国 | コンプライアンス管理プラットフォーム | アメリカ合衆国 |
![](data:image/svg+xml,<svg display="block" role="presentation" viewBox="0 0 183 100" xmlns="http://www.w3.org/2000/svg"><path d="M 152.452 37.349 C 136.442 20.842 115.98 6.325 93.049 1.892 C 86.081 0.534 76.773 0.163 71.407 5.736 C 64.565 13.035 70.499 30.487 81.481 29.6 C 87.433 29.072 89.698 22.162 87.042 17.439 C 85.631 14.617 83.027 12.629 80.168 11.079 C 56.02 -2.764 23.38 -4.862 0 11.844" fill="transparent" height="37.34868528749147px" id="rGpqSnR8J" stroke-dasharray="" stroke-linecap="round" stroke-linejoin="round" stroke-width="4.97" stroke="rgb(0, 0, 0)" transform="translate(3.219 19.212)" width="152.45224485148515px"/><path d="M 0 11.619 C 7.071 11.39 33.491 21.738 40.35 21.268 C 38.499 18.19 37.116 14.915 35.507 11.625 C 33.7 7.867 32.587 3.926 31.702 0" fill="transparent" height="21.28391189647101px" id="I9fuJaf7q" stroke-dasharray="" stroke-linecap="round" stroke-linejoin="round" stroke-width="4.97" stroke="rgb(0, 0, 0)" transform="translate(139.727 55.754)" width="40.34950693069311px"/></svg>)
