データ保護規則 (Data Processing Agreement)
このDPAは、データ処理者と管理者の間で締結され、契約の条件に組み込まれ、管理されます。
1. 定義 このDPAで定義されていない用語であっても、契約で指定されている場合は、契約で指定された定義を意味するものとします。
関連会社:直接的または間接的に、当事者によって支配されている、または共通の支配下にある法人を意味します。この定義の目的のための「支配」とは、当事者の議決権の50%以上の直接または間接的な所有または保有を意味します。 契約:ソリューションおよびサービスの提供に関するデータ処理者と管理者間の合意を意味します。 管理者:顧客を意味します。 データ保護法:GDPR、および/またはその後の修正、改定、または補足法を意味します。 データ規則:データ保護法と同じ意味を持つものとします。 DPA:別紙Aおよびセキュリティポリシーとともに、このデータ処理契約を意味します。 GDPR:2016年4月27日の欧州議会および理事会の規制(EU)2016/679を意味します。 個人データ:データ保護法と同じ意味を持つものとします。 データ処理者:当社を意味します。 セキュリティポリシー:随時更新され、www.increasingly.com/IT_security_policyを介してアクセス可能な、またはデータ処理者によって合理的な方法で利用可能にされたデータ処理者のセキュリティ文書を意味します。 標準契約条項:管理者からデータ処理者への個人データの転送に関するEUモデル条項c2010-593-Decision 2010/87EU 第三者データ処理者:管理者へのソリューションおよびサービスの提供において、データ処理者またはその関連会社が個人データを処理するために従事する個人または団体を意味します。
2. 目的 2.1 データ処理者は、契約の条件に従って管理者にサービスを提供することに同意しています。サービスを提供するに当たり、データ処理者は管理者に代わって顧客データを処理するものとします。顧客データには個人データが含まれる場合があります。データ処理者は、このDPAの条件に従ってそのような個人データを処理および保護します。
3. 範囲 3.1 データ処理者は、契約の条件に従って管理者にソリューションとサービスを提供する際に、契約の条件と規約および本DPAに文書化された管理者の指示の両方に従って、ソリューションとサービスを提供するために必要な範囲でのみ個人データを処理するものとします。
4. データ処理者の義務 4.1 データ処理者は、このDPAの範囲内でのみ個人データを収集、処理、または使用できます。 4.2 データ処理者は、管理者に代わって個人データを処理することを確認し、個人データにアクセスするデータ処理者の権限の下で業務を行う担当者、データ管理者による文書化された指示に基づいてのみ個人データを処理することを保証する措置を講じなければならない。 4.3 管理者から提供された個人データの処理に関する指示のいずれかがデータ保護法に違反するとデータ処理者が考える場合、データ処理者は直ちに管理者に通知するものとします。 4.4 データ処理者は、個人データの取り扱いに関与するすべての従業員、代理人、役員、および請負業者に以下を遵守させるものとします。 (i)個人データの機密性を認識しており、個人データの機密を保持する契約上の義務があること。 (ii)データ処理者としての責任に関する適切な研修・トレーニングを受けていること。 (iii)このDPAの条件に拘束されること。 4.5 データ処理者は、最新技術、実装のコスト、処理の性質、範囲、コンテキスト、目的、およびさまざまな可能性と深刻度の変動リスクを考慮して、個人データを保護するための適切な技術および組織的手順を実装するものとします。 4.6 データ処理者は、適切な技術的および組織的対策を実施して、リスクに適切なレベルのセキュリティを確保することとします。 (i)個人データの仮名化と暗号化 (ii)処理システムおよびサービスの継続的な機密性、完全性、可用性、および復元力を確保する機能 (iii)物理的または技術的な問題が発生した場合に、適時に可用性と個人データへのアクセスを復元する機能 (iv)処理のセキュリティを確保するための技術的および組織的な対策の有効性を定期的にテスト、評価、評価するプロセス。 管理者は、適切なレベルのセキュリティにアクセスする際には、特に、偶発的または違法な破壊、損失、改ざん、送信、保存、またはその他の方法で処理された個人データへのアクセスによって生じるリスクを了承するものとします。 4-7 セキュリティポリシーに詳述されている技術的および組織的な対策は、常に最小のセキュリティ標準として遵守されるものとします。管理者は、技術的および組織的措置が開発およびレビューの対象であり、データ処理者がこのDPAの添付資料に詳述されているものに代わる適切な措置を使用できることを受け入れ、同意します。 4-8 管理者は、ソリューションとサービスを管理者に提供する過程で、データ処理者が個人データにアクセスして技術的な問題や管理者のクエリに対応し、ソリューションおよびサービスが適切に機能することを確認する必要がある場合があることを認め、同意します。データ処理者によるこのようなアクセスはすべて、これらの目的に限定されます。 4-9 EUデータ主体に関連する個人データがEEAの外に転送される場合、標準契約条項の規定に従って処理されます。ただし、以下の場合を除きます。 (i)適切なレベルの保護があるとEU委員会によって認められた第三国または領土。 (ii)EU-USプライバシーシールドや拘束力のある企業規則など、他の方的に認められた適切な安全対策を実施している国に所在する組織。 4-10 データ処理者は、データ処理の性質とデータ処理者が利用できる情報を考慮のうえ、可能な限り、適切な技術的および組織的措置を講じて、管理者の要請に応える義務を果たすことにより、管理者を支援するものとします。個人情報の処理に関して、データ主体の権利を行使するための要望に対応する管理者の義務と、個人データの処理に関する管理者のデータ保護義務の法的規制に対応するものとします。
5. 管理者の義務 5-1 管理者は、契約、本DPAおよびデータ保護法の条件を遵守することを表明および保証します。 5-2 管理者は、データ処理者、その関連会社、および第三者データ処理者が本DPAに基づいて権利を行使したり義務を履行したりするのに必要なすべての必要な許可と承認を取得したことを表明および保証します。 5-3 管理者は、このDPAおよび契約に基づく個人データの転送に関する要件を含む、すべてのデータ保護法の遵守に責任を負います。 5-4 ソリューションおよびサービスを使用する管理者の関連会社は、このDPAに定められている管理者の義務を遵守するものとします。 5-5 管理者は、最新技術、実装のコスト、処理の性質、範囲、コンテキストの状態と処理の目的、およびさまざまな可能性と深刻度のリスクを考慮して、個人データを保護するための適切な技術的および組織的な手順を実装するものとします。管理者は、適切な技術的および組織的措置を実施して、リスクに適切なセキュリティレベルを確保するものとします。 (i)個人データの暗号化 (ii)処理システムおよびサービスの継続的な機密性、完全性、可用性、および復元力を確保する機能 (iii)物理的または技術的な問題が発生した場合に、適時に可用性と個人データへのアクセスを復元する機能 (iv)処理のセキュリティを確保するための技術的および組織的な対策の有効性を定期的にテスト、評価、評価するプロセス 管理者は、適切なレベルのセキュリティにアクセスする際には、特に、偶発的または違法な破壊、損失、改ざん、送信、保存、またはその他の方法で処理された個人データへのアクセスによって生じるリスクを了承するものとします。 5-6 管理者は、個人データにアクセスできる管理者の権限の下で発生するさまざまな可能性を考慮して、管理者の文書化された指示に基づいて個人データのみを処理することを保証する措置を講じるものとします。 5-7. 管理者は、契約の終了中または終了後に、個人データを修正、削除、ブロック、および/または利用可能にする必要がある場合があります。データ処理者は、合法的な範囲で要求を処理し、可能な限りその標準的な運用手順に従ってそのような要求を合理的に処理します。 5-8 管理者は、データの破棄または返却、処理者による監査、検査またはDPIAの支援など、管理者からのいくつかの指示により追加料金が発生する可能性があることを認め、同意します。追加料金が発生する場合、データ処理者は、別段の合意がない限り、そのような支援を提供するための料金を事前に管理者に通知します。
6. 第三者データ処理者 6-1 管理者は、次のことを認め、同意します。 (i)データ処理者の関連会社を第三者データ処理者として使用することがあること。 (ii)データ処理者およびその関連会社は、それぞれソリューションおよびサービスの提供に関連して第三者データ処理者に関与する場合があること。 6-2 管理者へのソリューションおよびサービスの提供において個人データを処理するすべての第三者データ処理者は、このDPAに定められたデータ処理者の義務を遵守するものとします。 6-3 第三者データ処理者がEEAの外部にある場合、データ処理者はそのような第三者データ処理者が次の要件を満たすことを確認します。 (i)EU委員会によって適切なレベルの保護が認められている第三国または領土にある。 (ii)加工業者と標準契約条項を締結している。 (iii)EU-USプライバシーシールドや拘束力のある企業規制など、他の法的に認められた適切な安全対策を講じていること。 6-4 データ処理者は、管理者が第三者データ処理者の現在の一覧を利用できるようにしなければなりません。第三者データ処理者の一覧には、第三者データ処理者の名称と国が含まれます。このDPAの期間中、データ処理者は、ソリューションおよびサービスの提供に関連して個人データを処理する新規の第三者データ処理者を許可する前に個人データを処理する可能性のある第三者データ処理者の一覧に対する変更について、電子メールを介して管理者に事前に通知するものとします。 6-5 管理者は、データ処理者の通知を受け取ってから10営業日以内にデータ処理者に書面で速やかに通知することにより、新規の第三者データ処理者の使用を拒否することができます。管理者が新しい第三者データ処理者を拒否する場合、管理者は、新しい第三者データ処理者を使用しないとデータ処理者が提供できないソリューションおよびサービスに関する契約を終了することができます。データ処理者は、かかる解約されたソリューションおよびサービスに関して、解約の発効日以降の契約期間の残り分について、前払いで受領していた料金を管理者に返金します。
7. 責任 7-1 本DPAの条件の違反に応じて行われたすべての請求には、契約に記載されている責任の制限が適用されます。 7-2 データ処理者は、データ処理者が責任を負うのと同程度に、第三者データ処理者の行為および不作為または過失によって生じた本DPAの違反に対して責任を負うものとします。ただし、責任の範囲は、契約の条件に定められた責任の制限を上限とします。 7-3 管理者は、関連会社の行為および不作為または過失に起因する本DPAの違反について、そのような行為、不作為または過失が管理者自身によって行われたかのように、管理者が責任を負うことに同意します。 7-4. 管理者は、一つの問題に関して、データ処理者に対して複数回請求する権利を有しないものとする。
8. 監査 8-1 データ処理者は、処理義務の順守を証明し、監査および検査を許可し、監査するために合理的に必要なすべての情報を管理者に提供するものとします。 8-2 このDPAに基づいて実施される監査は、契約に記載されているものと同様の機密保持条項に拘束される独立監査人によって作成された最新のレポート、証明書、および/または抜粋の検査で構成されます。同じ規定が管理者の合理的な意見で十分であるとみなされない場合、管理者はつぎのようなより広範な監査を実施することができます。 (i)管理者の費用で、 (ii)管理者に固有の事項に範囲を限定し、事前に合意した (iii)データ処理者の営業時間中に、識別可能な重大な問題が発生しない限り、4週間以上前の合理的な通知に基づいて、 (iv)データ処理者の日常業務を妨害しない方法で、 実施されます。 8-3 この条項は、管理者の監査の権利を変更または制限するものではなく、代わりに、それに基づいて実施される監査に関する手順を明確にすることを目的としています。
9. データ侵害 9-1 データ処理者は、偶発的または違法な破壊、損失、改ざん、または個人データへの不正な開示またはアクセス(以下、「データ侵害」といいます。)を認識した後の遅滞なく(発見後72時間以内に)管理者に通知するものとします。 9-2 データ処理者は、個人データを保護し、データ侵害の影響を限定し、適用法に基づく義務を果たす管理者を支援するために、商業的に合理的なすべての措置を講じます。
10. コンプライアンス、協力、対応 10-1データ処理者が個人データに関連するデータ主体からの要求を受け取った場合、データ処理者は、法律で別途禁止されない限り、データ主体について管理者に照会します。管理者は、データ主体の要求を処理する際に合理的な支援を提供することにより発生したすべての費用をデータ処理者に支払うものとします。データ処理者がデータ主体に応答することが法的に必要な場合、管理者はデータ処理者と最大限に協力するものとします。 10-2 データ処理者は、該当する法律または関連する裁判所命令で通知が禁止されない限り、個人データの処理に関する要求または苦情を速やかに管理者に通知します。 10-3 データ処理者は、法的または規制要件に従う範囲で、個人データのコピーを作成および/または保持することができます。 10-4 データ処理者は、処理の性質とデータ処理者が利用できる情報を考慮して、データ保護影響評価(DPIA)を実施する義務を果たす上で、管理者を合理的に支援するものとします。 10-5 当事者は、データ処理者の契約義務に影響を与える可能性のある、適用されるデータ保護法、コード、または規制の変更について、合理的な時間内にデータ処理者に通知することが管理者の義務であることを認めます。データ処理者は、このDPAの条件またはコンプライアンスを維持するための技術的および組織的措置に対して行う必要のある変更に関して、合理的な期間内に対応するものとします。当事者が、修正が必要であることに同意するが、データ処理者が必要な変更に対応できない場合、管理者は、違反の原因となったソリューションおよびサービスの一部を終了することができます。提供されるソリューションおよびサービスの他の部分が変更の影響を受けない限り、それらのソリューションおよびサービスの提供は影響を受けないものとします。 10-6 管理者およびデータ処理者、および該当する場合はその代表者は、要求に応じて、このDPAに基づくそれぞれの義務の履行において監督データ保護機関と協力するものとします。
11. 期間と終了 11-1 データ処理者は、DPAの期間中のみ個人データを処理します。このDPAの期間は契約の開始と一致し、このDPAは契約の終了または満了とともに自動的に終了します。 11-2 データ処理者は、個人データの処理、削除、または管理者への返却について、関連するソリューションおよびサービスの影響の終了から30日以内に受け取った書面による管理者の要求を受け取り次第、これを行うものとします。データ処理者は、以下の場合を除き、いかなる場合でも、契約の終了の発効日から12ヶ月以内にシステム内の個人データのすべてのコピーを削除するものとします。 (i)適用される法律または規制によって、終了後の個人データの保存が必要となる場合 (ii)顧客の個人データの一部がバックアップに保存されている場合。ただし、そのような個人データも、契約終了日から1年以内にバックアップから削除されます。
12. 全般 12-1 このDPAは、個人データの処理に関する当事者の完全な合意を示しています。 12-2 このDPAの規定が無効または無効になった場合であっても、他の規定の効力は影響を受けません。その場合、当事者が商業的に意図したものに最も近い有効な条項が合意されたとみなされ、無効な条項を置き換えるものとします。脱漏についても同様です。 12-3 このDPAは、日本法に準拠するものとします。東京地方裁判所は、このDPAに基づいて発生するすべての紛争を解決する専属管轄権を有します。
両当事者は、このDPAが本契約の条項に組み込まれ、適用されることに同意します。
1. 管理者 管理者は、セクション3,4,5で特定される個人データを転送します。これは、セクション6で特定される処理操作に関連するためです。
管理者は顧客です。
2. データ処理者 データ処理者は、以下のセクション6で識別される処理操作に関連するため、以下のセクション3,4,5で識別されるデータを受信しました。
データ処理者は当社です。
3. データ主体 転送される個人データには、次のカテゴリのデータ主体が含まれますが、これらに限定されません:
管理者の従業員、フリーランサー、請負業者。管理者によって随時追加される他のユーザー。
許可ユーザー、関連会社、およびその他の参加者は、契約の条件に従って管理者がソリューションおよびサービスにアクセスする権利を随時付与しています。
管理者のクライアントと、それらのエンドユーザーが電子メールやインスタントメッセージングで通信する個人。
管理者のサービスプロバイダー。
16歳以上のこども。
電子メールの内容または添付ファイルまたはアーカイブコンテンツで特定可能な範囲で他の個人。
4. データのカテゴリ 転送される個人データには、次のカテゴリのデータが含まれますが、これらに限定されません。
許可ユーザー:個人情報、名前、ユーザー名、パスワード、メールアドレス。
記録やビジネスインテリジェンス情報など、ソリューションおよびサービスの許可ユーザーの使用に由来する個人データ。
クライアント:IPアドレス、注文ID-トランザクションを一意に識別するために使用されるクライアントデータ。
財務データ:注文金額、注文ステータス-このフィールドは、注文/取引のステータス、注文通貨、割引額、クーポンコード、注文した製品の単価、注文した製品の数、製品のSKU、製品の属性の詳細、支払い方法、発送方法。
店舗コード-注文が行われるウェブサイトで選択された店舗の店舗コード。
製品ID-製品をバスケットに追加するときにカートAPIに渡される注文した製品ID
データ主体を特性する、または特定されるために合理的に使用される可能性のある、電子メールおよびメッセージングコンテンツ内の個人データ。
送信、受信、日付、時刻、件名を含むメタデータ。個人データを含む場合があります。
消費習慣。
個人データを含む可能性のある添付ファイル。
調査、フィードバック、評価メッセージ。
サポート問い合わせの一部としてユーザーが提供する情報。
管理者が随時追加するその他のデータ。
5. データの特別なカテゴリ 機密データや特別なカテゴリのデータの転送は許可されておらず、電子メールの内容や添付ファイルに含まれてはなりません。
6. 処理操作 転送された個人データは、次の基本的な処理活動の対象となります。
個人データは、契約と管理者の指示の両方に従ってソリューションとサービスを提供するために必要な範囲で処理されます。データ処理者は、管理者に代わってのみ個人データを処理します。
処理操作には、顧客のアカウント管理、顧客と顧客の実装、従業員と仲介者の管理、職場の監視、顧客管理、評価、パフォーマンスレビュー、フィードバック、目標と個人開発の追跡、作成が含まれますが、これらに限定されません。これらに関するコメントと更新、従業員、仲介者、およびその他のユーザーのリストの管理、ユーザーおよびその他のHR機能へのサポートの提供。これらの操作は、処理される個人データのすべての側面に関連しています。
システムの効率的かつ適切な実行を保証し、一般的にソリューションとサービスの提供、特に管理者クエリへの回答の療法で、技術的な問題を特定、分析、解決するための技術サポート、問題診断、エラー修正。この操作は、処理される個人データのすべての側面に関連する場合がありますが、可能な場合はメタデータに制限されます。
提供されるソリューションおよびサービスに応じたウィルス、スパム対策、マルウェアのチェック。この操作は、処理される個人データのすべての側面に関連しています。
本契約に基づいて提供される可能性のある、標的を絞った驚異保護および同様のサービスの提供を目的としたURLスキャン。この操作は、電子メールの添付ファイルおよびリンクに関連し、すべてのカテゴリの個人データを含む可能性のある添付ファイルまたはリンク内の個人データに関連します。
/NQA-ISO-27001-Logo-UKAS.jpg){kind=logo}
