CITRIX データ処理契約
最終更新日:2018 年 3 月 21 日
CITRIX データ処理契約
EU 一般データ保護規則(GDPR) 条項
このデータ処理契約(以下「本契約」といいます) は、Citrix のライセンス、サブスクリプション、または サービス契約に基づく Citrix Cloud サービス、テクニカル サポートサービス、またはコンサルティング サービスに関連して、欧州連合居住者の個人情報の処理について規定するものです。本契約は、エンドユーザー(以下「お客様」といいます) と Citrix の契約事業体との間で締結され、参照によりかかる サービス契約に組み込まれるものとします。
xxxxx://xxx.xxxxxx.xx.xx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxxx-xxxxxxxx.xxxx に記載のとおり、Citrix の事業体はお客様の場所によって決定されます。別紙 1「EU 標準契約条項」は、お客様の場所にかかわらず、常にお客様と Citrix Systems Inc. 間で締結されるものとします。
第 1 条 。 定 義
「お客様」とは、本契約で定めたエンドカスタマーを意味します。
「個人データ」とは、GDPR 第 4 条で定義されているとおり、本契約に基づきサービスを提供するために Citrix がアクセス権を提供されたお客様のコンピューティング環境上の個人データを意味します。
「サービスディスクリプション」とは、Citrix がお客様に提供するサービスの説明を意味します。
かかる契約で使用されているが定義されていない用語 (「処理」、「管理者」、「処理者」、「データ主体」など) は、
GDPR 第 4 条に記載された定義と同じ意味であるとします。第 2 条。 役割と範囲
1. これらのGDPR の条項は、Citrix による個人データ処理に適用されます。
2. これらのGDPR 条項を遵守するため、お客様とCitrix は、かかる個人データについてお客様が管理者であり、 Citrix が処理者であることに同意するものとします。ただし、お客様が個人データの処理者の役割を果たし、Citrixが下請処理者である場合を除きます。
第 3 条。 個人データ処理の範囲、種類、および目的
1. Citrix による個人データの収集、処理、または使用の範囲と目的は、
xxxxx://xxx.xxxxxx.xx.xx/xxxxxxxx/xxx-xxxxxxxx.xxxx またはかかるGDPR の条項に記載されています。
2. サービスを実行するために、お客様が Citrix にアクセスを許可する個人データの範囲はお客様が定めるものとします。それに基づき、個人データの収集、処理、または使用は、以下のデータの種類に関係する場合があります。
o 個人情報:氏名、誕生日
o 通信データ:電話、電子メール、郵便物
o 製品の範囲:xxxxx://xxx.xxxxxx.xx.xx/xxxxxxxx/ に記載された関連製品またはサービス用に定義されたその他すべての個人データ。
o その他:製品またはサービスの提供に関連して、お客様が Citrix にアクセスを許可するその他の個人データ。
お客様は本サービスの実行に必要な個人データのみに Citrix のアクセスを許可するものとします。
3. 提供される製品またはサービスに応じて、お客様と Citrix は個人データのストレージの場所やゾーンについても同意できるものとします。
第 4 条 。 デ ー タ 処 理
1. Citrix は、以下の義務を負います。
a) 個人データを、(i) お客様からの書面による指示に基づき、本契約の規定どおりに処理する場合、または
(ii) Citrix に適用される連合または加盟国の法令により処理する必要がある場合にのみ処理するものとします。この場合、Citrix は、法令により禁止されていない限り、事前にお客様にその旨を通知するものし ます。
b) 個人データを処理することを許可された担当者が、秘密保持を誓約したか、または秘密保持適用法に従うことを保証します。
c) データ処理者として Citrix に求められるあらゆる措置を講じ、以下第 8 条および別紙 2「Citrix サービスのセキュリティに関する別紙」に記載のとおり、GDPR 第 32 条に従います。
d) 別の処理者を採用する場合、第 5 条に規定する条件を遵守します。
e) GDPR 第 3 章に記載された、データ主体による権利行使の要求に応じて、お客様の義務を履行するために合理的な支援を提供します。
f) Citrix が利用できる処理や情報の性質を考慮し、GDPR 第 32 条乃至第 36 条に基づく義務をお客様が履行できるよう支援します。
g) サービス提供の終了後、すべての個人データをお客様に返却するか、または以下のとおり個人データを 取得できる機会をお客様に提供し、既存のコピーを削除します。お客様は、本契約の終了後 30 日間は個人データをダウンロードすることができ、ダウンロード用のアクセスおよび手順については、Citrix のテクニカル サポートに問い合わせていただく必要があります。サービス提供の終了後、お客様が 30 日以内にかかる目的のために Citrix テクニカルサポートに連絡しなかった場合、Citrix はお客様がアクセスできなく なった時点で速やかにお客様の個人データを削除するものとします。ただし、(i) 通常業務で削除された バックアップを確保する場合、および (ii) 適用法令に従って保持する必要がある場合を除きます。(i) または (ii) のいずれの場合についても、Citrix はかかるデータが削除されるまでGDPR の関連条項を遵守するものとします。
h) GDPR 第 28 条に規定する義務を遵守していることを証明するために必要な情報をお客様に提供します。さらに、以下の第 11 条に従い、お客様またはお客様側の第三者の監査担当者による監査を許可し、これに協力します。
i) いかなる手順においても、GDPR またはその他の連合または加盟国のデータ保護条項に違反していると Citrix が判断し、お客様による個人データの使用または処理を Citrix が単独で検査または検証する義務を有しない場合、お客様にその旨を通知します。
j) いかなる個人データの漏洩についても、お客様に通知し、以下の第 9 条に従ってお客様の義務を履行するための合理的な支援を提供します。
2. Citrix がお客様に代わって特定の処理業務を実行するために別の処理者に委託する場合、契約、あるいは連合または加盟国の法令に基づくその他の適法行為をもって、これらの GDPR の規定と同じデータ保護の義務をかかる他の処理者にも課す必要があります(該当する場合)。また適切な技術的および組織的対策を講じ、これら の対策により、かかる処理が GDPR の該当要件を満たすことを十分に保証するものとします。他の処理者がデータ保護の義務を履行できない場合でも、Citrix はかかる他の処理者による義務の履行について責任を負うものとします。
第 5 条 。 下 請 処 理
1. 本第 5 条の条項に従い、お客様は Citrix が個人データを処理するために下請処理者に委託することに同意するものとします。
2. Citrix は、かかる下請処理者が、これらの GDPR に規定するレベルと同等以上のデータ保護を実施することを定めた書面による契約に拘束されることを保証するものとします。
3. Citrix は常に、かかる下請処理者によるこれらのGDPR 条項の遵守(該当する場合) について責任を負うものとします。
4. 下請処理者は、お客様に提供される下請処理者リストに記載されているものとします。新たな下請処理者に個人データへのアクセスを許可する場合、少なくともその 10 日前に、Citrix は下請処理者のリストを更新し、かかる更新についてお客様に通知する仕組みを準備しておくものとします。Citrix が処理者である (下請処理者ではない) 場合、以下の条項が適用されます。
a) お客様が新しい下請処理者を承認されない場合、承認できない理由の説明を含む書面による終了通知を通知期限までに提出することによって、お客様はペナルティを受けることなく、影響を受けるサブスクリプ ションを終了できるものとします。
b) 影響を受けるサービスがスイート (または同様の複数サービスの一括購入) に含まれている場合、スイート全体に終了が適用されます。
c) 終了後もお客様は、ELA リセラーおよび/または Citrix との間で取り交わしたあらゆる発注書またはその他の契約上の義務に従って、必要とされるすべての支払いを行う必要があり、ELA リセラーおよび/または Citrix からのいかなる返金も受ける権利を有しないものとします。
第 6 条。 データの二次移転および国外への移転
1.Citrix は、Citrix またはその処理者が事業を運営する米国またはその他の第三国に個人データを移転する場合があります。Citrix は、かかる個人データを保存または処理する場所にかかわらず、GDPR の条項に規定する要件に従うものとします。
2. 添付されている別紙 1 は、欧州データ保護指令に基づき第三国に設立された処理者にデータを移転するための標準契約条項について、2010 年 2 月 5 日の欧州議会決定により定められた「標準契約条項 (「処理者向け」)」です。EU 一般データ保護規則 (GDPR) の対象となる個人データをお客様が提供し、かかる個人データの国外への移転に対してそれ以外の法規制が存在しない場合、かかる決定により定められた「標準契約条項 (「処理者向け」)」が適用されるものとします。この場合、別紙 2 (「Citrix サービスのセキュリティに関する別紙」) の第 1 条が
「標準契約条項」別表 II (技術的および組織的セキュリティ対策の内容) に相当するものとします。かかる決定が無効と見なされる場合、かかる個人データの国外への移転に必要とされる代替条項について、当事者は速やかに誠意をもって協議することに同意するものとします 。「標準契約条項」に基づき実施される監査については、以下の第 11 条「監査」を参照してください。
3. Citrix はさらに、以下の条件で個人データを処理および開示する場合があります。(a) 本契約およびかかる GDPR の条項に合致する目的で系列会社に開示する場合、(b) 今後または現時点でのかかる事業の一部または全部の合併、買収、販売、破産、またはその他の再編成に関連して、本契約の条項の対象となる個人データを保護する義務に従う場合、(c) 権利の行使、詐欺の検知および予防、および Citrix、Citrix またはお客様のユーザー、または公衆の権利または資産に対する損害からの保護を含む法的目的を満たす必要がある場合、および (c) 召喚状、裁判所命令または行政命令、その他の法的拘束力 (以下、それぞれ「要請」といいます) への対応を含め、法令に基づき要求された場合。法令によって禁止されている限度を除き、Citrix はいかなる要請を受けた場合も速やかにお客様に通知し、合理的に必要と判断される範囲内において、お客様が速やかに要請に対応できるよ う支援します。
第 7 条。 データ主体からの要請に対するお客様の対応の支援
1. Citrix は、GDPR に基づきデータ主体の 1 つまたは複数の権利を行使するため、本製品の機能および Citrix の処理者としての役割と整合性の取れる手段で、データ主体の個人データおよびデータ主体からの要請に対応するための機能をお客様に提供するものとします。Citrix は、合理的な要請に従って、お客様の対応を支援するものとします。
2. Citrix がお客様のデータ主体から、GDPR に基づきデータ主体の 1 つまたは複数の権利を行使するための要請を受けた場合、お客様に直接その要請を伝えるため、Citrix はデータ主体をお客様に転送します。
第 8 条。 具体的なセキュリティ条項
Citrix は、本契約の別紙 2 (「Citrix サービスのセキュリティに関する別紙」) に記載された個人データを保護するためのセキュリティ対策および規定を保持するものとします。本サービス期間内に実施される対策が、かかる期間の発効日時点の保護対策を超えるものではない場合、Citrix は、かかる別紙 2 の規定を更新できるものとします。
第 9 条 。 個 人 デ ー タ の 漏 洩
Citrix は、個人データに関するデータ漏洩を認識次第、遅滞なくお客様に通知するものとします。かかる通知は、少なくとも以下の規定に従います。
a) できる限り、関係するお客様のデータ主体の種類と概数、関係する個人データ記録の種類と概数を含め、個人データの漏洩の性質について説明すること。
b) 詳細情報の問い合わせ先となる、データ保護担当者またはその他の担当者の名前と連絡先を提供すること。
c) 該当する場合は予想される悪影響を緩和するための措置を含め、個人データの漏洩に対処するため実施しているまたは実施を提案する対策について説明すること。
第 10 条 。 処 理 活 動 の 記 録
Citrix は、GDPR の第 30 条 (2) 項で規定されている処理活動の全記録を保持するものとします。第 11 条。 監査権
お客様は法令に従い、Citrix によるお客様の個人データの処理について監査を実施することができます。かかる監査は、通常の営業時間内に、Citrix の事業を妨げることなく、Citrix のセキュリティ規則および要件に従って、お客様自身の費用負担により実施されるものとします。かかる監査の前に、Citrix はお客様が監査義務を果たすために合理的に要求する情報および関連する証拠を提供する義務を負います。また、お客様は独立監査を開始する前にかかる情報を確認する義務を負います。
お客様は Citrix との合意に基づき、第三者監査人を使用することができます。ただしかかる同意は合理的な理由なく留保されないものとします。いかなる第三者監査の前にも、かかる監査人は Citrix と適切な秘密保持契約を締結する必要があります。
第 12 条。 変更、補足情報、期間
1. Citrix は、(i) 監督当局またはその他の行政機関または規制当局の要請に応じる必要がある場合、(ii) 適用法令を遵守する必要がある場合、(iii) 欧州議会で定められた標準契約条項を実行する場合、(iv) 承認された行動規範、またはGDPR の第 40 条および第 42 条に従って承認または承認された認証メカニズムを遵守しなければならない場合につき、お客様への通知をもって GDPR の条項を変更または補足することができます。
2. かかるGDPR の条項を損なうことなく、Citrix はその製品固有の技術、プライバシー、またはポリシー文書に記載されたGDPR 条項の実施方法について、随時追加の情報および詳細を提供できるものとします。
3. かかるGDPR の条項は、GDPR の発効日をもって有効となります。
お客様 名前: 職務: 正式な署名 | Citrix 名前:Xxxxxxx Xxxxx 職務: 上級副社長兼 法律顧問 正式な署名 |
別 紙 1:標準契約条項(「処理者向け」)
第 三国に拠点を置く処理者への個人データの転送に関する EU 委員会の「標準契約条項」
十分なレベルのデータ保護を確保していない第三国に設立された処理者への個人データ移転のための
95/46/EC 指令第 26 条 (2) 項を遵守することを目的とする
お客様
(データ輸出者)
および
データ輸入者の組織名:
Citrix Systems, Inc. (その系列会社も含む)
住所:000 Xxxx Xxxxxxx Xxxx, Xx. Xxxxxxxxxx, XX 00000
電話番号:x0 000 000 0000、ファックス:+ 1 805 690 6471、電子メール:xxxxxxxxxxxx@xxxxxx.xxx
(以下それぞれを「当事者」といい、総称して「両当事者」といいます)
データ輸出者
は、別表 1 に規定する個人データのデータ輸出者によるデータ輸入者への移転に関して、個人のプライバシー、 基本的権利、および自由の保護に関する適切な安全措置を提示するため、以下の契約条項 (以下「本契約条項」といいます) に合意します。
第 1 条
定義
本契約条項の目的:
(a) | 「個人データ」、「特別な種類のデータ」、「処理」、「管理者」、「処理者」、「データ主体」および「監督当局」につ いては、個人データの処理に関する個人の保護および当該データの自由な移動に関する 1995 年 10 月 24 日の欧州議会および理事会の 95/46/EC 指令における定義と同じ意味を有するものとします。(1); |
(b)「データ輸出者」とは、個人データを移転する管理者を意味します。 | |
(c) | 「データ輸入者」とは、データ輸出者の指示および本契約条項の条件に従い個人データの移転後にデータ輸 出者の代わりにデータを処理するためにデータ輸出者から個人データを受領することに同意し、95/46/EC 指令第 25 条 (1) 項に規定する適切な保護を確保する第三国のシステムの適用を受けない処理者を意味します。 |
(d) | 「下請処理者」とは、データ輸入者から、またはデータ輸入者の他の下請処理者から委託を受け、データ輸入 者の指示、本契約条項の条件および書面による下請契約の条件に従い個人データの移転後にデータ輸入者の代わりに行うデータ処理活動のみを目的として、データ輸入者またはデータ輸入者の他の下請処理者から 個人データを受領することに同意する処理者を意味します。 |
(e) | 「適用されるデータ保護法令」とは、データ輸出者が設立されている加盟国においてデータ管理者に適用され |
る、個人の基本的権利および自由 (特に個人データの処理に関するプライバシー権) を保護する法令を意味します。
(f) | 「技術的および組織的なセキュリティ対策」とは、特に、データ処理にネットワークを介したデータ送信が関係す る場合において、不慮もしくは不法な破壊または不慮の紛失、改変、不正な開示もしくはアクセスから、およびその他すべての不法な処理形態から個人データを保護することを目的とした対策を意味します。 |
第 2 条 移転の詳細
移転、および特に特別な種類の個人データ (該当する場合) の詳細については、本契約条項において重要な要素である以下の別表 1 に規定するとおりとします。
第 3 条
第三者受益者に関する条項
1. | データ主体は、第三者受益者として、データ輸出者に対し、本条、第 4 条(b) xxx (i) 項、第 5 条(a) xxx (e) 項および (g) xxx(j) 項、第 6 条 (1) 項および (2) 項、第 7 条、第 8 条(2) 項ならびに第 9 条乃至第 12 条を実施要求することができます。 |
2. | データ輸出者が事実上または法律上消滅した場合、データ主体は、データ輸入者に対し、本条、第 5 条 (a) x xx (e) 項および (g) 項、第 6 条、第 7 条、第 8 条 (2) 項ならびに第 9 条乃至第 12 条を実施要求できるものとします。ただし、承継法人が契約または法の適用によりデータ輸出者の法的義務の全部を承継し、その結果、 当該承継法人がデータ輸出者の権利および義務を承継する場合を除くものとし、この場合、データ主体はかか る承継法人にこれらの条項を実施要求できるものとします。 |
3. | データ輸出者とデータ輸入者の双方が事実上もしくは法律上消滅した、または支払不能となった場合、データ主 体は、下請処理者に対し、本条、第 5 条(a) xxx (e) 項および(g) 項、第 6 条、第 7 条、第 8 条(2) 項ならびに第 9 条乃至第 12 条を実施要求できるものとします。ただし、承継法人が契約または法の適用によりデータ輸出者の法的義務の全部を承継し、その結果、当該承継法人がデータ輸出者の権利および義務を承継する場合を 除くものとし、この場合、データ主体はかかる承継法人にこれらの条項を実施要求できるものとします。かかる下請処理者の対第三者責任は、本契約条項に基づく下請処理者自身の処理業務に限られるものとします。 |
4. | 両当事者は、データ主体が明示的に希望し、それが国内法により認められる場合には、データ主体が団体そ の他の機関に代表されることに対し異議を申し立てないものとします。 |
第 4 条
データ輸出者の義務データ輸出者は以下に同意し保証するものとします。
(a) | 個人データの処理(移転を含む) 、および以降の活動が、適用されるデータ保護法令の関連規定に従って実行 されており (該当する場合は、データ輸出者が設立されている加盟国の関係当局に通知されており)、かかる国の関連規定に違反していない。 |
(b) | データ輸入者に対し、移転された個人データをデータ輸出者に代わってのみ、かつ適用されるデータ保護法令 および本契約条項に従って処理するよう、個人データ処理サービスの継続期間中指示する。 |
(c) | データ輸入者が以下の別表 2 に規定する技術的および組織的なセキュリティ対策に関して十分な保証を提供 する。 |
(d) | 適用されるデータ保護法令の要件評価後において、セキュリティ対策が、特に処理にネットワークを介した |
データ送信が関係する場合に、不慮もしくは不法な破壊、不慮の紛失もしくは改変、または不正な開示もしくはアクセスから、およびその他すべての不法な処理形態から、個人データを保護するために適切であり、ならびに、かかる対策が最新技術および実施コストに照らし、保護されるべきデータの処理およびその性質により生じるリスクに見合ったレベルのセキュリティを確保している。
(e)セキュリティ対策を確実に遵守する。 | |
(f) | 特別な種類のデータが移転される場合、データ主体のデータが 95/46/EC 指令に規定する適切な保護を提供していない第三国へ移転される可能性があることが、移転の前または移転の後可能な限り速やかに、データ主 体に通知されているか、または今後通知される。 |
(g) | データ輸出者が移転を継続するまたは一時中断を解除することを決定する場合は、第 5 条 (b) 項および第 8 条 (3) 項に従いデータ輸入者または下請処理者から受領した通知をデータ保護監督当局に転送する。 |
(h) | 要請があった場合には、データ主体に本契約条項 (別表 2 を除く) の写しおよびセキュリティ対策の要約ならびに本契約条項に従い作成しなければならない下請処理サービス契約の写しを提供する。ただし、本契約条項 またはかかる契約に商業的な情報が含まれる場合を除くものとし、この場合はかかる商業的な情報を削除す ることができる。 |
(i) | 下請処理の場合、処理活動が、個人データおよびデータ主体の権利についてデータ輸入者が本契約条項に基 づき提供するものと同等以上の保護を提供する下請処理者により、第 11 条に従って実行される。 |
(j)第 4 条 (a) xxx (i) 項を確実に遵守する。 | |
第 5 条
データ輸入者は以下に同意し保証するものとします。
(a) | データ輸出者に代わってのみ、かつデータ輸出者の指示および本契約条項に従ってのみ個人データを処理す る。いかなる理由であれ、これらを遵守することができない場合、遵守できない旨を速やかにデータ輸出者に通知するものとする。この場合、データ輸出者はデータの移転を一時中断し、または契約を解除することができるものとする。 |
(b) | 自己に適用される法令により、データ輸出者からの指示および契約に基づく義務に応えることが禁止されてい ると考える理由がない。さらに、かかる法令に本契約条項の規定する保証および義務に重大な悪影響を及ぼ す可能性がある変更があった場合はかかる変更を認識次第速やかにデータ輸出者に通知する。この場合、データ輸出者はデータの移転を一時中断し、または契約を解除することができるものとする。 |
(c) | 移転された個人データを処理する前に、別表 2 に規定する技術的および組織的なセキュリティ対策を講じて いる。 |
(d)データ輸出者に対し以下を速やかに通知する。
(i) | 法執行機関による個人データの開示要求。ただし、法執行機関の捜査の秘密を保持するために刑事法等で 通知することが禁止されている場合を除く。 |
(ii)不慮のまたは不正なアクセス。 | |
(iii) | データ主体から直接受けた要求。別途応答の許可を受けている場合を除き、かかる要求には応答せずに データ輸出者に通知するものとする。 |
(e) | 移転対象である個人データの処理に関するデータ輸出者からの問い合わせのすべてについて速やかにかつ 適切に対応する。および移転されたデータの処理に関して監督当局の助言に従う。 |
(f) | データ輸出者の要請により、データ輸入車のデータ処理施設について、データ輸出者、または所要の専門資格 を有し秘密保持義務を負う独立の構成員であって、データ輸出者が選定した者で構成される監査機関が監督 |
当局と合意のうえで実施する、本契約条項が適用される処理活動の監査を受け入れる。
(g) | 要請があった場合には、データ主体に本契約条項または既存の下請処理サービス契約の写しを提供する。た だし、本契約条項またはかかる契約に商業的な情報が含まれる場合を除くものとし、この場合はかかる商業 的な情報を削除することができる。ただし、別表 2 については、データ主体がデータ輸出者から写しを取得することができない場合にはセキュリティ対策の要約と差し替えるものとする。 |
(h)下請処理の場合は、事前にデータ輸出者に通知し、事前に書面による承諾を得る。 |
(i)下請処理者による処理サービスは第 11 条に従って実施される。 |
(j) | 本契約条項に基づいて締結した下請処理サービス契約の写しを速やかにデータ輸出者に送付する。 |
第 6 条責任
1. | 両当事者は、当事者または下請処理者が第 3 条または第 11 条に規定する義務に違反したことによりデータ主 体が損害を被った場合、かかるデータ主体がかかる損害についてデータ輸出者から賠償を受ける権利を有す ることに合意します。 |
2. | データ輸出者が事実上もしくは法律上消滅し、または支払不能となったために、データ輸入者または下請処理 者が第 3 条または第 11 条に規定する義務に違反したことに起因する賠償請求をデータ主体が第 1 項に従いデータ輸出者に対して提起することができない場合、データ輸入者は、データ主体がデータ輸入者に対し、デー タ輸出者と同様に請求を提起することができることに同意します。ただし、承継法人が契約または法の適用によ りデータ輸出者の法的義務の全部を承継した場合を除くものとし、この場合はデータ主体がかかる法人に対し て自己の権利を行使することができます。 データ輸入者は、自己の責任を回避するために、下請処理者による義務違反に依拠することはできません。 |
3. | データ輸出者およびデータ輸入者の両者が事実上もしくは法律上消滅し、または支払不能となったために、下 請処理者が第 3 条または第 11 条に規定する義務に違反したことに起因する第 1 項または第 2 項に規定する請求をデータ主体がデータ輸出者またはデータ輸入者に対して提起することができない場合、下請処理者は、 データ主体がデータの下請処理者に対し、データ輸出者またはデータ輸入者と同様に、本契約条項に基づく処 理業務に関して請求を提起することができることに同意します。ただし、承継法人が契約または法の適用によりデータ輸出者またはデータ輸入者の法的義務の全部を承継した場合を除くものとし、この場合はデータ主体が かかる法人に対して自己の権利を行使することができます。下請処理者の責任は、本契約条項に基づいて自己が行った処理業務に限られるものとします。 |
第 7 条
調停および管轄
1.データ輸入者は、データ主体がデータ輸入者に対して第三者受益者の権利を行使する場合または本契約条項に基づく損害補償請求を提起する場合、データ主体による以下の決定を承認することに同意します。
(a) | 紛争を、独立した人物またはしかるべき場合は監督当局による調停に付すこと。 |
(b) | 紛争を、データ輸出者が設立されている加盟国の裁判所に付託すること。 |
2. | 両当事者は、データ主体が行った選択が、その他の国内法または国際法の規定に従い救済を求めるという データ主体の実体法上または手続法上の権利を損なうものではないことに同意します。 |
第 8 条
監督当局との協力
1. | データ輸出者は、監督当局から要請を受けた場合または適用されるデータ保護法令により義務付けられる場 合には、本契約の写しを監督当局に寄託することに同意します。 |
2. | 両当事者は、監督当局がデータ輸入者および下請処理者の監査を実施する権利を有することに同意します。 かかる監査は、適用されるデータ保護法令に基づくデータ輸出者の監査に適用されるものと同じ範囲について 実施されるものとし、これと同じ条件が適用されます。 |
3. | データ輸入者は、第 2 項に従ったデータ輸入者または下請処理者の監査の実施を妨げる、データ輸出者また は下請処理者に適用される法令の存在を速やかにデータ輸出者に通知するものとします。この場合、データ輸 出者は第 5 条 (b) 項の対策を講じる権利を有するものとします。 |
第 9 条準拠法
本契約条項は、データ輸出者が設立されている国である加盟国の法律に準拠するものとします。
第 10 条
本契約の変更
両当事者は、本契約条項を変更または修正しないことを約束します。これは、本契約条項に矛盾するものでない限り、両当事者が必要な場合に業務関連の問題に関する条項を追加することを妨げるものではありません。
第 11 条下請処理
1. | データ輸入者は、データ輸出者の書面による事前の同意を得ずに、本契約条項に基づきデータ輸出者の代わ りに実施する処理業務を下請に出さないものとします。データ輸入者がデータ輸出者の同意を得て本契約条項 に基づく義務を下請に出す場合、下請処理者と書面によって契約を締結し、本契約条項に基づいてデータ輸入 者に課される義務と同様の義務を下請処理者に課すものとします(3)。下請処理者がかかる書面による契約に基づくデータ保護の義務を履行しない場合、データ輸入者はデータ輸出者に対し、下請処理者のかかる契約上 の義務の不履行について全面的に責任を負うものとします。 |
2. | データ輸入者と下請処理者の間の事前の書面による契約には、データ輸出者またはデータ輸入者が事実上もし くは法律上消滅し、または支払不能となり、契約または法の適用によりデータ輸出者またはデータ輸入者の法的 義務の全部を承継する承継法人が存在しないために、第 6 条第 1 項に規定するこれらに対する賠償請求を データ主体が提起することができない場合のために、第 3 条に規定するものと同様の第三者受益者条項も含む ものとします。かかる下請処理者の対第三者責任は、本契約条項に基づく下請処理者自身の処理業務に限ら れるものとします。 |
3. | 第 1 項に規定する契約の下請処理のデータ保護に関する規定は、データ輸出者が設立されている国である加 盟国の法律に準拠するものとします。 |
4. | データ輸出者は、本契約条項に基づいて締結され、第 5 条 (j) 項に従いデータ輸入者に通知された下請処理契 約のリストを保持するものとします。かかるリストは、年 1 回以上更新するものとします。かかるリストは、データ輸出者のデータ保護監督当局に提供されるものとします。 |
第 12 条
個人データ処理サービス終了後の義務
1. | 両当事者は、データ処理サービスの終了時に、データ輸入者および下請処理者が、データ輸出者の選択によ り、移転されたすべての個人データおよびそのコピーをデータ輸出者に返却するか、またはすべての個人デー タを破棄しデータ輸出者にその旨証明することに同意します。ただし、データ輸入者に課される法令が、移転個 人データの全部または一部の返却または破棄を禁止している場合を除きます。この場合、データ輸入者は移転 された個人データの秘密保持を保証し、それ以降、移転された個人データを積極的に処理しないものとします。 |
2. | データ輸入者および下請処理者は、データ輸出者または監督当局の要請があった場合には、自己のデータ処 理施設について、第 1 項に規定する手順に対する監査を受け入れることを保証します。 |
データ輸出者代表:名前(氏名): …
役職: …
住所: …
本契約が拘束力を有するために必要なその他の情報 (存在する場合):
署名…
データ輸入者代表:
名前(氏名):Xxxxxxx Xxxxx
役職:上級副社長兼法律顧問
住所:000 Xxxx Xxxxxxx Xxxx - Xx. Xxxxxxxxxx, XX 00000 (USA)
本契約が拘束力を有するために必要なその他の情報 (存在する場合):
署名…
(1) 両当事者が本契約内容を別途定めることを望む場合は、95/46/EC 指令に規定される定義および意味を本条で示すこともできます。
(2) 95/46/EC 指令の第 13 条 (1) 項で列挙された利益の 1 つに基づき民主主義社会に不可欠とされる範囲を上回らない、データ輸入者に適用される国内法上の義務的要請は (すなわち、国家の安全、防衛、公安、刑事犯罪も
しくは規制される職業の職業倫理違反の防止、捜査、発見および訴追、重要な経済的もしくは財政的な国家の利益、またはデータ主体もしくはその他の者の権利および自由の保護に必要な措置を講じている場合)、本標準契約条項と矛盾するものではありません。民主主義社会において必要な範囲を上回らない義務的要請の例としては、特に、国際的に認知された制裁措置、税務報告義務要件、アンチ マネーロンダリング報告義務要件等があります。
(3) この要件は、本決定に基づきデータ輸出者とデータ輸入者との間で締結された契約に、下請処理者が連署する方法でも満たすことができます。
標準契約条項別表 1
本別表は、本契約条項の一部を構成するものであり、両当事者は本別表の全項目に必要事項を記入の上、署名する必要があります。
加盟国は、国内における手続きに従い、本別表に含めるべき必要な追加情報を補完または記載するものとします。
データ輸出者
データ輸出者は(本件移転に関する活動を簡潔に記載してください):
Citrix のサービスディスクリプションに記載された Citrix のIT 製品、サービス、およびソリューションを使用します。
データ輸入者
データ輸入者は(本件移転に関する活動を簡潔に記載してください):
Citrix のサービスディスクリプションに記載されたIT 製品、サービス、およびソリューションを提供します。
データ主体
移転される個人データは、以下の種類のデータ主体に関するものです (明記してください):本契約第 3 条に記載のとおり。
データの種類
移転される個人データは、以下のデータの種類に関するものです(明記してください):本契約第 3 条に記載のとおり。
特別な種類のデータ (該当する場合)
移転される個人データは、以下の特別な種類のデータに関するものです (明記してください):本契約第 3 条に記載のとおり。
処理業務
移転される個人データは、以下の基本的な処理活動の対象となります (明記してください):サービスディスクリプションに記載のとおり。
データ輸出者 名前: 職務: 正式な署名 | データ輸入者 名前:Xxxxxxx Xxxxx 職務: 上級副社長兼 法律顧問 正式な署名 |
標準契約条項別表 2
本別表は、本契約条項の一部を構成するものであり、両当事者は本別表の全項目に必要事項を記入の上、署名する必要があります。
第 4 条(d) 項および第 5 条(c) 項(または添付の書類/法令) に従ってデータ輸入者が講じる技術的および組織的なセキュリティ対策の内容:
技術的および組織的なセキュリティ対策については、「Citrix サービスのセキュリティに関する別紙」(本契約の別紙 2) に記載のとおり。
データ輸出者 名前: 職務: 正式な署名 | データ輸入者 名前:Xxxxxxx Xxxxx 職務: 上級副社長兼 法律顧問 正式な署名 |