ja 日本語
日本語 English
ログイン
開始
ja 日本語
日本語 English
ログイン
開始

データ処理付帯契約書

このデータ処理付帯契約書(以下「本付帯契約書」という)は、DEVARとライセンス契約者(以下「開発者」という)との間で締結される。

本付帯契約は、開発者とDEVARとの間の利用規約、ライセンス契約、および/またはその他の商業契約(以下「契約」という)に組み込まれ、開発者個人データ(以下に定義される)の処理がGDPRの適用を受ける場合、開発者が開発者個人データの管理者であり、DEVARが処理者である範囲に限り、開発者に対するサービスの提供に関して適用されます。本付帯契約は、GDPR第28条第3項の要件を満たすことを目的としています。本付帯契約は、本契約の有効期間中有効とします。

1. 定義。

1.1. 本付帯契約書の目的上:

1.1.1. 「開発者個人データ」 とは、本付帯契約書第2条に定める個人データのうち、開発者が管理者であるものを指します;

1.1.2. 「データ保護法」 とは、データ保護およびプライバシーに関する適用されるすべての法令(GDPRを含むがこれに限定されない)をいい、欧州連合の加盟国または適用される範囲においてその他の国における国内実施法を含み、随時改正、廃止、統合、または置き換えられたものを含む;

1.1.3. 「GDPR」とは、2016年4月27日に欧州議会および欧州理事会が採択した「一般データ保護規則(EU) 2016/679を意味し、個人データの処理に関する自然人の保護およびそのようなデータの自由な移動に関する規則を定めたものです;

1.1.4. 「個人データ」、「データ主体」、「個人データ漏洩」、「処理」、「処理者」 および「管理者」は、それぞれGDPRにおいて定義される意味を有する;および

1.1.5. 「標準契約条項」 とは、欧州委員会の2010年2月5日付け決定(C(2010)593)に基づき、第三国に所在し適切なデータ保護水準を確保していない処理者への個人データの移転に関する標準契約条項に従い、当事者間で締結され、本契約書に別紙1として添付された合意を意味します。

1.2. 本契約において別途定義されていない大文字で表記された用語は、本契約において与えられた意味を有する。

2. 処理の詳細

2.1. データ主体カテゴリー。 本付帯契約は、開発者の製品およびサービスを利用するエンドユーザーに関する開発者個人データの処理に適用される。

2.2. 個人データの種類。 開発者個人データには、開発者が単独の裁量で決定し管理する範囲の個人データが含まれます。具体的には、IPアドレス、ブラウザのユーザーエージェント、エンドユーザーデバイスのメーカー、モデル、オペレーティングシステム、サービスを含む開発者製品の利用に関する情報(例:サービスの稼働時間)、アプリケーションやウェブサイト間でデバイスを追跡できない一意のデバイス/アプリケーション識別子、およびエンドユーザーの許可を得た場合、エンドユーザーデバイスからのカメラデータなどです。e. サービスの稼働時間)、アプリケーションやウェブサイトをまたいでデバイスを追跡できない一意のデバイス/アプリケーション識別子、およびエンドユーザーの許可を得た場合、エンドユーザーデバイスからのカメラデータ。

2.3. 処理の対象と性質。 DEVARによる開発者個人データの処理の対象は、開発者へのサービス提供であり、これには開発者個人データの処理が含まれます。開発者個人データは、本契約に基づきサービスを提供するためにDEVARが実施する必要がある処理活動の対象となります。

2.4. 処理の目的。 開発者個人データは、本契約に定めるサービスの提供を目的としてDEVARにより処理されます。

2.5. 処理の期間。 開発者個人データは、本契約の期間中、本付則の第10条に従い処理されます。

3. 開発者個人データの処理

3.1. 当事者は、開発者が開発者個人データの管理者であり、DEVARが当該データの処理者であることを承認し、同意します。DEVARは、開発者の事前の書面による指示に従い、開発者の代理として開発者個人データを処理するものとし、これには個人データの移転に関する指示も含まれます。DEVARは、本契約に従いサービスを提供するために必要最小限の範囲で、開発者個人データを処理するよう指示される。

3.2. DEVARが、適用される欧州連合または加盟国の法律に基づく法的要件により、開発者の指示に従って開発者個人データを処理できない場合、DEVARは(i)開発者に対し、そのような不能を速やかに通知し、 適用法で許容される最大限の範囲内で、遵守できない指示の内容と理由について合理的な詳細を提供し、(ii) 開発者が新たな指示を発行するまで、影響を受ける開発者個人データの処理を停止します(ただし、影響を受ける開発者個人データの保管およびセキュリティの維持を除く)。

3.3. 各開発者とDEVARは、データ保護法に基づくそれぞれの義務を遵守します。開発者は、DEVARが本付帯契約に従って開発者個人データを処理するために必要なすべての権利および同意(必要な場合)を取得済み(または取得する)ことを確保します。

3.4.開発者は、DEVARが開発者個人データを、特定のデータ主体と関連付けることが可能な方法で保持していないことを承認します。したがって、開発者は、開発者が開発者個人データを処理する目的がデータ主体を特定する必要がある場合、かつ開発者がDEVARにデータ主体と開発者個人データを関連付けるのに十分な情報を提供する場合を除き、本付則の第7条、第8条、および第9条に定める支援を提供する必要はないことに同意します。

3.5. 本契約の履行に関連して、本付則の別紙1として添付された標準契約条項は、欧州経済領域(EEA)外(直接または転送経由で)に、欧州委員会が個人データの適切な保護水準を提供していると認定していない国(GDPRで説明される通り)に転送される開発者個人データに適用されます。標準契約条項は、DEVARがGDPR第46条に基づき、EEA外への個人データの合法的な移転のための代替的な承認されたコンプライアンスメカニズム(例:プライバシーシールド枠組みへの認証)を実施した場合、適用されなくなります。

4. 機密保持

4.1. DEVARは、DEVARが開発者個人データの処理を代行する権限を付与した者が、当該開発者個人データに関して機密保持義務を負うことを確保します。

5. セキュリティ措置

5.1. DEVARは、開発者個人データ(標準契約条項の別紙2に規定されるもの)の偶然または不正な破壊、紛失、改変、不正な開示、またはアクセスから保護するため、適切な技術的および組織的措置を実施します。

5.2. DEVARは、開発者の要請に基づき、開発者がDEVARの料金を現行の料金率で全額支払い、すべての費用を負担することを条件に、開発者が開発者個人データを安全に保持する義務を履行するために必要な合理的な支援を提供します。

6. サブ処理

6.1. 開発者は、DEVARがDEVARの代理で特定のサービスを実施するためにサブプロセッサーを任命することを承認します。このサブプロセッサーは、開発者個人データを処理する必要がある場合があります。疑義を避けるため、上記の承認は、標準契約条項の第11条の目的において、DEVARによるサブプロセッシングに対する開発者の事前の書面による同意を構成します。DEVARは、サブプロセッサーの追加または変更に関する変更の意図を開発者に通知し、開発者は、通知を受けてから15営業日以内に合理的な理由に基づき、そのような変更に異議を申し立てる機会を有します。

6.2. DEVARは、サブプロセッサーと、本付帯契約においてDEVARに適用されるのと同じ義務をサブプロセッサーに課す拘束力のある書面契約を締結します。サブプロセッサーがデータ保護義務を履行しない場合、DEVARは開発者に対し、当該サブプロセッサーの義務の履行について責任を負います。

6.3. 前項にかかわらず、DEVARがAmazon Web Services, Inc.、Microsoft, Inc.またはGoogle, Inc.(以下「スーパーサブプロセッサー」という)のような主要なベンダーをサブプロセッサーとして起用する場合、 開発者は、DEVARがスーパーサブプロセッサーの標準契約条件に基づき契約を結ぶ権利を有することを承認し、本付帯契約がスーパーサブプロセッサーの標準契約条件下でスーパーサブプロセッサーが負う義務および責任と矛盾する義務および責任を課す場合、DEVARと開発者との間では、本付帯契約の矛盾する条項を排除し、スーパーサブプロセッサーの標準契約条件が相互に適用されるものとします。

データ主体権限7. DATA SUBJECT RIGHTS

7.1. 第3.4項の規定に従い、DEVARは開発者がデータ主体からの権利行使に関する請求に対応する義務を履行するために必要な支援を提供します。開発者は、かかる請求に対応する責任を単独で負います。DEVARは、開発者の事前の書面による同意および書面による指示なしに、かかる請求に対応しません。

8. 個人データ漏洩

8.1. DEVARは、開発者の個人データに影響を与える個人データ漏洩が発生した場合、遅滞なく開発者に通知します。開発者の要請に基づき、第3.4項の規定に従い、DEVARは開発者がGDPRに基づき関連するデータ保護当局および/または影響を受けたデータ主体にセキュリティ侵害を通知する必要がある場合、開発者がその通知を行うために必要な合理的な支援を速やかに提供します。開発者は、開発者に適用されるデータインシデントの通知要件への準拠およびデータインシデントに関連する第三者への通知義務の履行について、単独で責任を負います。

9. データ保護影響評価;事前相談

9.1. 第3.4項の規定に従い、DEVARは、開発者の要請に応じて、開発者がGDPRに基づきそのような活動を行う必要がある場合、データ保護影響評価の実施およびデータ保護当局との相談を促進するため、開発者に対し合理的な支援を提供します。ただし、当該支援は、DEVARによる開発者個人データの処理に関連する範囲に限定され、処理の性質およびDEVARが保有する情報を考慮した上で、必要かつ適切な範囲に限定されます。

10. 開発者個人データの返却または削除

10.1. DEVARは、サービスの提供終了後、開発者の選択に応じて、開発者個人データを開発者に返却または削除し、既存のコピーを削除します。ただし、適用される欧州連合または加盟国の法律がデータの保存を要求する場合を除きます。前項の規定に拘わらず、DEVARは本契約に従い匿名化されたデータを保持することができます。

11. 情報

11.1 デベロッパーの要請に基づき、かつデベロッパーがDEVARが受け入れ可能な機密保持義務に同意し、現在の料金率に基づくすべてのDEVAR手数料およびすべての費用を支払うことを条件に、DEVARはデベロッパーに対し、デベロッパーがDEVARに基づく義務の遵守を証明し、監査を可能にするために必要なすべての情報を提供します。これには、開発者または開発者の代理として監査を行う監査人による検査が含まれます(ただし、当該監査人はDEVARの機密保持義務に同意する必要があります)。明確さを期すため、本第11.1条に基づき開発者が提供または受領したすべての情報は、DEVARにより機密情報とみなされます。DEVARは、開発者の指示がデータ保護法に違反していると判断した場合、直ちにDEVARに通知するものとし、当該検査は、相互に合意した日時に、通常の営業日において書面による少なくとも6週間の事前通知を条件に、年間1回を超えて実施されないものとします。明確さを期すため、本第11.1条に基づき開発者が提供または受領したすべての情報は、DEVARにより機密情報とみなされます。DEVARは、開発者の指示がデータ保護法に違反していると判断した場合、直ちにDEVARに通知するものとします。ただし、このような検査は、相互に合意された日時に、通常の営業日において書面による6週間以上の事前通知を条件に、年間1回を超えて実施されないものとします。明確さを期すため、本第11.1項に基づき開発者が提供または受領したすべての情報は、DEVARにより機密情報とみなされます。DEVARは、開発者からの指示がデータ保護法に違反していると判断した場合、直ちにDEVARに通知するものとします。1はDEVARの機密情報とみなされます。DEVARは、開発者からの指示がデータ保護法に違反していると判断した場合、直ちに開発者に通知するものとします。1はDEVARの機密情報とみなされます。DEVARは、開発者からの指示がデータ保護法に違反していると判断した場合、直ちに開発者に通知するものとします。

12. 責任

12.1. 本付帯契約に基づきまたはこれに関連して、各当事者が相手方に対して負う責任は、契約の規定に従って制限されるものとします。

12.2. 開発者は、DEVARが開発者からの指示に基づき、開発者の個人データを処理する権限の範囲について、開発者に依存していることを承認します。したがって、DEVARは、開発者の指示または開発者が適用されるデータ保護法に基づく義務を履行しなかったことに起因するDEVARの行為または不作為から生じるデータ主体による請求について、本契約に基づき責任を負いません。

13. 一般規定

13.1. 本付帯契約の適用対象事項に関して、本付帯契約の規定と本契約の規定に矛盾が生じた場合、本付帯契約の規定が優先する。

別紙1

欧州委員会決定 C (2010)593
標準契約条項(処理者)

欧州連合指令95/46/EC第26条(2)項に基づき、適切なデータ保護水準を確保していない第三国に設立された処理者への個人データの移転に関するもの

データ輸出組織の名称:本付則において「開発者」と指定された組織(データ輸出者)

および

データ輸入組織の名称:DEVAR(データ輸入者)

各「当事者」;総称して「当事者」

は、データ輸出者がデータ輸入者に対し、別紙1に定める個人データを移転する際に、個人のプライバシーおよび基本的権利と自由の保護に関する適切な保護措置を講じるため、以下の契約条項(本条項)に合意した。

第1条

定義

本条項の目的上:

(a) 「個人データ」、「特別の種類のデータ」、「処理/処理」、「管理者」、「処理者」、「データ主体」および「監督当局」は、1995年10月24日の欧州議会および理事会指令95/46/EC(個人データの処理における個人の保護およびそのようなデータの自由な移動に関するもの)における同一の意義を有するものとする;

(b) 「データ輸出者」とは、個人データを移転する管理者(コントローラー)を意味する;

(c) 「データ輸入者」とは、データ輸出者から移転された個人データを、その指示および条項の条件に従い、自身の behalf で処理するために受け取ることに同意した処理者を指し、かつ、欧州議会および理事会指令95/46/EC第25条(1)項の意義における第三国の適切な保護を保証するシステムに服さない者を指す;

(d) 「サブ処理者」とは、データ受入者またはデータ受入者の他のサブ処理者によって雇用され、データ受入者またはデータ受入者の他のサブ処理者から、データ輸出者の代理として処理活動を行うために転送後に処理される個人データを受領することに同意し、その指示、条項の条件、および書面による下請契約の条件に従う処理者をいう;

(e) 「適用されるデータ保護法」とは、個人の基本的権利と自由、特に個人データの処理に関するプライバシー権を保護する立法をいい、データ輸出者が設立されている加盟国においてデータ管理者に適用されるものをいう;

(f) 「技術的および組織的なセキュリティ措置」とは、個人データが偶然または違法な破壊、偶然の喪失、改変、不正な開示またはアクセスから保護されるよう、特にデータがネットワークを介して送信される処理を含む場合、およびその他のすべての違法な処理形態から保護されるよう、講じられる措置を意味します。

条項2

転送の詳細

移転の詳細、特に適用される場合における特別な種類の個人データは、条項の一部を構成する別紙1に規定されている。

第3条

第三者受益者条項

データ主体は、データ輸出者に対し、本条項、第4条(b)から(i)まで、第5条(a)から(e)までおよび(g)から(j)まで、第6条(1)および(2)、第7条、第8条(2)、および第9条から第12条までを第三者受益者として主張することができる。

データ主体は、データインポーターに対して、本条項、第5条(a)から(e)および(g)、第6条、第7条、第8条(2)、 および第9条から第12条を、データ輸出者が事実上消滅したか、法律上存在しなくなった場合(ただし、契約または法律の規定によりデータ輸出者の法的義務の全部を引き継いだ後継法人が存在する場合を除く)に、当該後継法人に対して主張することができる。この場合、データ主体は当該法人に対してこれらの条項を主張することができる。

データ主体は、データ輸出者およびデータ輸入者が事実上消滅したか、法的に存在しなくなったか、または破産した場合、サブプロセッサーに対して本条項、第5条(a)から(e)および(g)、第6条、第7条、第8条(2)、および第9条から第12条を主張することができる。ただし、データ輸出者の法的義務の全部を契約または法律の規定により承継し、その結果、データ輸出者の権利と義務を引き継いだ後継者が存在する場合、データ主体は当該後継者に対してこれらの条項を主張することができる。サブプロセッサーの第三者責任は、本条項に基づく自身の処理作業に限定される。

当事者は、データ主体が明示的に希望し、かつ国内法で許可される場合、データ主体が団体またはその他の機関によって代理されることに異議を唱えない。

条項4

データ輸出者の義務

データ輸出者は、以下の事項に同意し、保証する:

(a) 個人データの処理(転送自体を含む)が、適用されるデータ保護法の関連規定に従って行われており、今後も引き続き行われること(適用される場合、データ輸出者が設立された加盟国の関連当局への通知が行われていること)であり、当該加盟国の関連規定に違反しないこと;

(b) データ輸出者は、個人データ処理サービスの期間中、データ輸入者に対し、データ輸出者の代理として、適用されるデータ保護法および本条項に従ってのみ個人データを処理するよう指示し、引き続き指示する;

(c) データ輸入者は、本契約の別紙2に規定される技術的および組織的なセキュリティ措置に関して十分な保証を提供する;

(d) 適用されるデータ保護法の要件を評価した結果、セキュリティ措置が、特にデータがネットワークを介して送信される場合を含む、個人データが偶然または違法な破壊、偶然の喪失、改変、不正な開示またはアクセスから保護されるのに適切であり、 およびその他の違法な処理形態から保護するために適切であり、これらの措置が、処理に伴うリスクおよび保護対象データの性質を考慮し、技術的水準と実施コストを踏まえた適切なセキュリティレベルを確保することを保証すること;

(e) セキュリティ措置の遵守を確保すること;

(f) 転送が特別な種類のデータを含む場合、データ主体は、転送前に、または転送後できるだけ速やかに、そのデータが欧州連合指令95/46/ECの意義における適切な保護を提供しない第三国に転送される可能性があることを通知されるか、通知されること;

(g) データ輸出者が転送を継続するか、または停止を解除する場合、データ輸入者またはサブプロセッサーから第5条(b)項および第8条(3)項に基づき受けた通知を、データ保護監督当局に通知すること;

(h) データ主体からの請求に応じて、第2号付録を除く条項の写し、セキュリティ措置の要約説明、および条項に従って締結される必要があるサブプロセッサーサービス契約の写しを提供すること。ただし、条項または契約に商業情報が含まれる場合、当該商業情報を削除することができる;

(i) サブ処理が行われる場合、サブ処理業者が条項11に従い、データインポーターが条項に基づき個人データおよびデータ主体の権利に対して提供する保護水準と同等以上の保護水準を提供して処理活動を実施すること;および

(j) 条項4(a)から(i)までの遵守を確保すること。

第5条

データ輸入者の義務

データ輸入者は、以下の事項に同意し、保証します:

(a) データ輸出者の代理としてのみ個人データを処理し、その指示および条項に従って処理すること。何らかの理由によりこのような遵守が不可能である場合、データ輸入者は速やかにデータ輸出者にその遵守不能を通知することに同意し、その場合、データ輸出者はデータの移転を一時停止し、または契約を解除する権利を有します;

(b) 適用される法令が、データ輸出者からの指示および契約に基づく義務を履行することを妨げる理由がないこと。また、本条項で定められた保証および義務に重大な悪影響を及ぼす可能性のある法令の変更が生じた場合、当該変更を認識次第、速やかにデータ輸出者に通知すること。その場合、データ輸出者はデータ転送を一時停止し、または契約を解除する権利を有します;

(c) 転送された個人データを処理する前に、別紙2に規定される技術的および組織的なセキュリティ措置を実施したこと;

(d) データ輸出者に速やかに通知すること:

(i) 刑事法に基づく捜査の機密保持を理由とする禁止事項を除き、法執行機関からの個人データの開示に関する法的拘束力のある要請、

(ii) 偶然または不正なアクセス、および

(iii) データ主体から直接受けた要請で、当該要請に応答しない場合(ただし、別途許可された場合を除く);

(e) データ輸出者から受けた、移転対象の個人データの処理に関するすべての問い合わせに迅速かつ適切に対応し、監督当局の助言に従うこと;

(f) データ輸出者の要請に応じて、本条項に定める処理活動に関する監査を受けるため、データ処理施設を提出すること。当該監査は、データ輸出者またはデータ輸出者が監督当局と協議の上で選定した、機密保持義務を負う独立したメンバーで構成され、必要な専門資格を有する検査機関によって実施されるものとする;

(g) データ主体からの請求に応じて、本条項の写しまたはサブ処理に関する既存の契約書の写しを提供すること。ただし、本条項または契約書に商業情報が含まれる場合、当該商業情報を削除することができる。ただし、データ主体がデータ輸出者から写しを入手できない場合、別紙2は、セキュリティ措置の要約説明に置き換えられる;

(h) サブ処理が行われる場合、事前にデータ輸出者に通知し、その書面による同意を取得していること;

(i) サブ処理業者の処理サービスは、第11条に従って実施されること;

(j) 本条項に基づき締結したサブ処理業者契約の写しを、速やかにデータ輸出者に送付すること。

第6条

責任

1. 当事者は、第3条または第11条に定める義務の違反により損害を被ったデータ主体は、当該損害についてデータ輸出者から補償を受ける権利を有することを合意する。

2. データ主体が、データインポーターまたはそのサブプロセッサーが第3条または第11条に定める義務に違反したことにより生じた損害について、第1項に従ってデータエクスポーターに対して損害賠償請求を行うことができない場合(データエクスポーターが事実上消滅した、法的に存在しなくなった、または破産したため)、 データインポーターは、データ主体がデータエクスポーターであるかのようにデータインポーターに対して請求を提起できることに同意する。ただし、契約または法律の規定によりデータエクスポーターの法的義務を全て承継した後継法人が存在する場合は、データ主体は当該法人に対して権利を主張することができる。

データインポーターは、サブプロセッサーの義務違反を理由に自らの責任を免れることはできない。

3. データ主体が、第1項および第2項に定めるデータエクスポーターまたはデータインポーターに対して、第3条または第11条に定めるサブプロセッサーの義務違反に起因する請求を提起できない場合(データエクスポーターとデータインポーターが事実上消滅し、または法的に存在しなくなり、または破産した場合)、 サブプロセッサーは、データ主体が条項に基づき、データエクスポーターまたはデータインポーターであるかのように、サブプロセッサーの処理作業に関して請求を提起できることに同意する。ただし、契約または法律の規定により、データエクスポーターまたはデータインポーターの法的義務を全て承継した後継法人が存在する場合は、データ主体は当該法人に対して権利を主張することができる。サブプロセッサーの責任は、本条項に基づく自身の処理作業に限定される。

第7条

調停および管轄権

1. データインポーターは、データ主体が本条項に基づき第三者受益者としての権利を主張し、または損害賠償を請求する場合、データインポーターはデータ主体の決定を受け入れることに同意する:

(a) 独立した第三者または適用される場合、監督当局による調停に紛争を付託すること;

(b) データ輸出者が設立されている加盟国の裁判所への紛争の付託。

2. 当事者は、データ主体が選択した方法が、国内法または国際法の他の規定に基づき救済を求めるその実体法上または手続法上の権利を害しないことに同意します。

条項8

監督当局との協力

1. データ輸出者は、監督当局が要求した場合、または適用されるデータ保護法に基づきその提出が義務付けられている場合、本契約の写しを監督当局に提出することに同意する。

2. 両当事者は、監督当局が、適用されるデータ保護法に基づきデータ輸出者に対する監査と同じ範囲および条件で、データ輸入者およびサブプロセッサに対する監査を行う権利を有することに合意する。

3. データ輸入者は、第2項に基づきデータ輸入者またはその下請け業者に対する監査の実施を妨げる、当該データ輸入者またはその下請け業者に適用される立法の存在について、速やかにデータ輸出者に通知する。このような場合、データ輸出者は第5条(b)に定める措置を講じる権利を有する。

第9条

準拠法

本条項は、データ輸出者が設立されている加盟国の法律に準拠する。

第10条

契約の変更

当事者は、本条項を変更または修正しないことを約束する。ただし、本条項と矛盾しない限り、必要に応じて事業に関連する事項に関する条項を追加することは妨げられない。

第11条

再委託

1. データインポーターは、データエクスポーターの書面による事前の同意なしに、本条項に基づきデータエクスポーターの代理として行う処理作業のいかなる部分も下請けに出すことはできません。データインポーターがデータエクスポーターの同意を得て本条項に基づく義務を下請けに出す場合、その下請けは、下請け業者に対して本条項に基づきデータインポーターに課されるのと同じ義務を課す書面による契約を通じてのみ行うものとします。サブプロセッサーが当該書面による契約に基づくデータ保護義務を履行しない場合、データインポーターは、当該契約に基づくサブプロセッサーの義務の履行に関して、データエクスポーターに対して全額の責任を負うものとする。

2. データインポーターとサブプロセッサーとの間の事前書面契約には、第6条第1項に定める損害賠償請求をデータ主体がデータエクスポーターまたはデータインポーターに対して提起できない場合(事実上消滅した、法的に存在しなくなった、または破産し、データエクスポーター またはデータ輸入者に対して、契約または法律の規定により提起できない場合。サブプロセッサーの第三者責任は、条項に基づく自身の処理作業に限定される。

3. 第1項に定める契約におけるサブ処理に関するデータ保護に関する規定は、データ輸出者が設立されている加盟国の法律に準拠する。

4. データ輸出者は、条項に基づき締結され、条項5(j)に従ってデータ輸入者から通知されたサブ処理契約のリストを保持し、少なくとも年1回更新するものとする。当該リストは、データ輸出者のデータ保護監督当局に提供されるものとする。

条項12

個人データ処理サービスの終了後の義務

1. 当事者は、データ処理サービスの提供が終了した場合、データインポーターおよびサブプロセッサーは、データエクスポーターの選択により、転送された個人データおよびそのコピーをデータエクスポーターに返却するか、またはすべての個人データを破棄し、データエクスポーターに対しその事実を証明するものとする。ただし、データインポーターに適用される法令が、転送された個人データの一部または全部の返却または破棄を禁止する場合を除く。その場合、データインポーターは、転送された個人データの機密性を保証し、転送された個人データを積極的に処理しなくなることを保証する。

2. データインポーターおよびサブプロセッサーは、データエクスポーターおよび/または監督当局の要請に応じて、第1項に定める措置に関する監査のため、そのデータ処理施設を提出することを保証する。

標準契約条項の付録1

この付録は条項の一部を構成し、当事者によって記入され署名される必要があります。

データ輸出者。 データ輸出者は、付録において「開発者」と指定された实体です。

データ輸入者。データ輸入者は、付録において「DEVAR」と指定された实体です。

データ主体。移転される個人データは、以下のデータ主体のカテゴリーに該当します(詳細を明記してください):

データ主体は、付則の第2.1条で定義されています。

データの種類。移転される個人データは、以下のデータの種類に該当します(詳細を明記してください):

個人データの種類は、付則の第2.2条で定義されています。

特別なデータカテゴリー(該当する場合)。転送される個人データは、以下の特別なデータカテゴリーに該当します(詳細を明記してください):

該当しません。

処理作業。転送される個人データは、以下の基本的な処理作業の対象となります(詳細を明記してください):

付録2の第2条および契約書に定義される処理作業。

標準契約条項の付録2

この付録は条項の一部を構成し、当事者によって記入され署名される必要があります。

データ輸入者が条項4(d)および5(c)に従って実施した技術的および組織的なセキュリティ措置の説明(または添付文書/立法):

データ輸入者が実施した技術的および組織的なセキュリティ措置は、https://jp.mywebar.com/documents/tom に記載されています。

このページを印刷する