Contract
A) 本契約の目的上、以下の定義を適用するものとします。
「データ管理者」とは、単独または共同で個人データの処理の目的および手段を決定する自然人または法人、公的機関、代理人またはその他の団体を意味します。
「GDPR」とは、一般データ保護規制(EU)2016/679を意味します。
「個人データ」は、GDPRに定められた意味を有するものとします。
「製品データ」とは、本契約の条件に従い、本サービスを通じてクレディセイフによってお客様に提供される、またはクレディセイフの製品およびサービス内で使用される個人データを意味し、クレディセイフの信用報告書、コンプライアンスおよび危機報告書、調査一覧、データ附属書を含むがこれに限定されません。
B) 製品データに関連し、両当事者は独立したデータ管理者として活動します。
C) お客様の製品データの使用は、本契約に定められているライセンス条項および制限の対象となります。クレディセイフは、お客様または関連する第三者による製品データの不正使用によって引き起こされた範囲内で、GDPR違反またはそれに起因する罰金、刑罰、費用に関してお客様に責任を負いません。
D) お客様は、製品データを処理し、その製品データに関するGDPRへの準拠を維持する合法的な基盤を確立する責任があります。個人データの転送は、お客様がデータ/情報の受領者としての知識に正当な利益を有する場合にのみ許可されます。このため、お客様は、正当な利益を有する個人データを含む情報のみを要求し、正当な利益がない場合、その手続を終了する責任を負います。
E) お客様は、合法的な利益の存在理由を記録する義務があり、それが実証される方法は自動アクセスシステムの場合にはデータ/情報の受領者としてのお客様の義務であることを認めます。
F) お客様は、信用調査、見込み調査、ダイレクトマーケティング、お客様の小切手の把握、コンプライアンス、データの検証と強化およびその他の合法的なビジネスのデューデリジェンス目的を含む、添付1別紙Bに記載された目的でのアクセスおよびサービスに使用に限ることに同意します。
G) お客様は、製品データの偶発的または違法な破壊、損失、改変、不正な開示またはアクセスからそのようなデータを保護する技術的および組織的措置の維持を誓約することをクレディセイフに表明、保証します。お客様は、要求に応じて、クレディセイフにその詳細を提供しなくてはなりません。
H) お客様は、GDPRまたはその他の適用される法律の対象となる製品データのセキュリティ侵害を認識した場合、遅滞なくクレディセイフに通知します。
I) 本契約に基づいて提供されるデータおよび/またはサービスに関連する限り、各当事者はGDPRを遵守しなければならず、特に添付1として添付されたEU標準契約に記載されている追加要件を満たさなければなりません。
J) 一方の当事者が、GDPRの違反または本契約に基づいて処理されるサービスまたは製品データに関するデータ保護法に起因する、またはそれに関連する実際のまたは潜在的な請求に直面した場合、相手方当事者は、かかる請求の防御およびその請求に関する基礎的事情に関する全ての要求された資料および情報を速やかに提供します。
K) 各当事者は、クレディセイフおよびお客様の取引関係の開発および/または維持の通常の過程において相手方当事者の従業員の氏名、事業用電話番号、事業用携帯電話番号、事業所住所、または事業用メールアドレスを相手方当事者が受信または処理する範囲で、各当事者は、本契約に基づいてそれぞれの責任を果たす唯一の目的で従業員に関するかかる個人データを処理することを相手方当事者に許可する旨を相手方に示し、相手方当事者にかかる目的のためにかかる個人データを処理するよう指示します。
L) 両当事者は、本13条の規定がGDPRに準拠していないとクレディセイフが判断した場合、クレディセイフはGDPRの遵守を確実にするためこれらの条件を適応、更新または修正することができることに同意します。
添付 1
EU標準契約
定義
本条文において、
a) 「個人データ」、「データ/極秘データの特別区分」、「処理」、「管理者」、「処理者」、「データ主体」および「管理権限/当局」は、1995年10月24日付け95/46/EC指令(「権限」とは、クレディセイフが設立されている領域における法的能力を有するデータ保護権限を意味するものとします)に記載のものと同一の意味を有するものとします。
b) 「クレディセイフ」とは、個人データを転送する管理者を意味するものとします。
c) 「お客様」とは、クレディセイフから個人データを受け取り、これらの条項の条件に従ってさらに処理することに同意し、充分な保護を保証する第三国のシステムの対象ではない管理者を意味するものとします。
d) 「条項」とは、契約条項を意味するものとし、独立した商業上の契約の下で両当事者によって確立された商業条件を組み込まない独立文書です。
転送の詳細(および対象となる個人データ)は、本条項の不可欠な部分を構成する別紙Bに規定されています。
I. クレディセイフの義務
クレディセイフは以下を保証します。
a) 個人データは、クレディセイフに適用される法律に従って収集、処理、転送されています。
b) これらの条項に基づいてお客様が法的義務を果たすことができると判断するに足る合理的な努力が尽くされています。
c) 要求があれば、一般データ保護規則((EU)2016/679)(以下「GDPR」と称します)またはその参考文献(関連する場合であって、法的助言を含まない)の複写がお客様に提供されます。
d) データ主体およびお客様による個人データの処理に関する権限からの照会には、両当事者がお客様がそのように応答することに同意している場合を除き、応答します。この場合、クレディセイフは合理的に可能な範囲内で合理的に対応し、お客様が応答することを好まないまたはできない場合には合理的に利用可能な情報も伴います。応答は合理的な時間内に行われます。
e) 本条項に秘密情報が含まれている場合を除き、かかる情報を削除してもよい場合、要求に応じて第III条に基づく第三者受益者であるデータ主体に本条項の複写が提供されます。情報が削除された場合、クレディセイフは、データ主体に、削除理由および削除を行う権利を書面で当局宛てに通知しなければなりません。ただし、クレディセイフは、削除された秘密情報の機密性を尊重することに合意している限り、データ主体による本条項の全文へのアクセスに関する当局の決定に従わなければなりません。クレディセイフは、必要に応じて当局に本条項の複写を提供するものとします。
II. お客様の義務
お客様は以下のことを保証します。
a) 偶発的または違法な破壊または偶発的な損失、改ざん、不正な開示またはアクセスから個人データを保護するための適切な技術的および組織的措置を講じ、保護されるデータの処理および性質によって表されるリスクに対し適切なレベルのセキュリティを提供します。
b) 処理者を含む、個人データにアクセスすることをお客様が許可した第三者が、個人データの機密性とセキュリティを尊重し、維持するよう、手続きを講じます。データ処理者を含む、お客様の権限に基づいて行動するいかなる人物も、お客様の指示に従ってのみ個人データを処理する義務があるものとします。本規定は、個人データにアクセスするために法律または規制によって許可または要求された人物には適用されません。
c) これらの条項を締結する時点で、これらの条項に基づき提供される保証に重大な悪影響を及ぼすような現地法が存在すると信じる理由を有さず、かかる法律を認識した場合は、クレディセイフに通知します(必要に応じて当局にかかる通知を提出します)。
d) 別紙Bに記載されている目的のために個人データを処理し、これら条項に記載された保証事項を保証し、履行する法的権限を有します。
e) 個人データの処理に関する照会に応答する権限を持つ組織内の連絡窓口を特定してクレディセイフに通知し、合理的な時間内に、かかるすべての照会に関してクレディセイフ、データの主体および当局に誠実に協力します。クレディセイフの法的解体の場合、または両当事者が同意した場合、お客様は第I(e)条の規定を遵守する責任を負うものとみなされます。
f) クレディセイフの要請により、第III項(保険適用を含む場合があります)に基づく責任を果たすに充分な財源の証拠をクレディセイフに提供します。
g) クレディセイフの合理的な要請があれば、データ処理施設、データファイルおよびクレディセイフ(またはクレディセイフによって選択され、お客様が異議を唱えていない、合理的に独立またはxxな検閲代理人または監査員)による確認、編集および/または認証の処理に必要な文書を、合理的な通知をもって、通常の営業時間内に、これらの条項の保証および誓約の遵守を確認することができます。要求は、お客様が適時に取得を試みる同意または承諾を得るために、お客様の国の規制当局または監督当局の必要な同意または承認の対象となります。
h) 別紙Aに記載されているデータ処理の原則に従って、個人データを任意に処理します。
i) クレディセイフに転送について通知しない限り、欧州経済圏(EEA)以外の第三者のデータ管理者に個人データを開示または転送することはなく、
i. 第三者であるデータ管理者は、欧州委員会の決定に基づいて処理し、第三国が適切な保護を提供していることを確認するか、または、
ii. 第三者であるデータ管理者は、これらの条項またはEU内の管轄当局によって承認された別のデータ転送契約の署名者となるか、または
iii. データ主体は、転送目的を通知された後、受領者の分類および、データが輸出される国が異なるデータ保護基準を有する可能性があるという事実に異議を唱える機会が与えられているか、または
iv. 極秘データの通常の方向の転送に関して、データ主体はその転送を明確に承諾しています
III. 責任および第三者の権利
a) 各当事者は、これらの条項に違反した場合に生じた損害について、相手方当事者に対して責任を負うものとします。両当事者間の責任は、実際に被った損害に限られます。懲罰的損害賠償(すなわち、常軌を逸した行為について当事者を処罰することを目的とした損害)は、特に除外されます。各当事者は、これらの条項に基づく第三者の権利の侵害によって生じた損害について、データ主体に責任を負うものとします。これは、データ保護法に基づくクレディセイフの責任には影響しません。
b) 両当事者は、契約上の義務の各違反に対して、その個人データに関しデータ主体が第三者受益者として本条項および第I(b)、I(d)、I
(e)、II(a)、II(c)、II(d) )、II(e)、II(h)、II(i)、III(a)、IV、V(d)およびVIを執行するものとすることに同意し、データ主体が拠点とする国での本目的のための管轄を受け入れます。お客様による違反の疑いがある場合、データ主体は、まず、お客様に対する権利を執行するための適切な措置を取るようクレディセイフに要請しなければなりません。クレディセイフが合理的な期間(通常は1ヶ月となります)内にかかる措置を講じなかった場合、データ主体はお客様に対して直接その権利を行使することができます。クレディセイフがこれらの条項に基づきお客様が法的義務を履行できると判断するための合理的な努力を怠った場合(クレディセイフは合理的な努力をしたことを証明する責任を負うものとします)、データ主体は、クレディセイフを相手取って直接訴訟を起こす権利を有します。
IV. データ主体または当局との紛争解決
a) 両当事者の一方または両方に対する個人データの処理に関してデータ主体または当局によって紛争または請求が生じた場合、両当事者はかかる紛争または請求について互いに通知し、適時に友好的に和解するよう協力します。
b) 両当事者は、データ主体または当局によって開始された、一般的に利用可能な法的拘束力のない仲裁手続に対応することに同意します。手続に参加する場合、両当事者は(電話またはその他の電子的手段によって)遠隔で参加することを選択できます。両当事者はまた、データ保護紛争のために開発されたその他の仲裁、調停またはその他の紛争解決手続への参加を検討することに同意します。
V. 解約
a) お客様がこれらの条項に基づく義務を履行しない場合、クレディセイフは、違反が修復されるか、本契約が解約されるまで、お客様への個人データの転送を一時的に停止することがあります。
b) 以下が生じた場合の対処。
i. お客様への個人データの転送が、第(a)項に従い、一か月以上の間、クレディセイフによって一時的に中断されている場合、
ii. お客様のこれらの条項の遵守により、輸入国における法的または規制上の義務に違反することになる場合、
iii. お客様が、これらの条項に基づき与えられた保証または誓約の実質的または永続的な違反にかかわっている場合、または
iv. お客様の個人的または業務上の能力にかかわらず、お客様の管理または解散の申し立てがなされ、その申し立てが適用法に基づく却下の対象期間内に却下されない、解散が実行される、その資産に対する管財人が任命される、お客様が個人である場合に破産管財人が任命される、企業の和議が開始される、または、同等の事由が管轄内において生じる場合、
クレディセイフは、お客様に対するその他の権利を侵害することなく、これらの条項を解約する権利を有し、その場合、必要に応じて当局に通知しなければなりません。上記の(i)または(ii)に該当する場合、お客様はこれらの条項を解約することもできます。
c) いずれの当事者も、(i)95/46/EC指令(またはそれに代わる文書)の第25(6)条に基づく欧州委員会の妥当性の決定が、お客様によってデータが転送または処理された国(またはその区域)に関連して発効されるか、(ii)95/46/EC指令(またはそれに代わる文書)が、かかる国で直接的に適用されることとなった場合は、本条項を解約できます。
d) 両当事者は、いつでも、いかなる状況においても、何らかの理由で(第V(c)条に基づく終了を除き)これらの条項の解約は、転送される個人データの処理に関するそれらの条項に基づく義務および/または条件を免除するものではないことに同意します。
VI. これらの条項の変更
両当事者は、別紙Bの情報を更新することを除き、これらの条項を変更することはできません。更新の場合は、両当事者は必要に応じて当局に通知します。これは、両当事者が必要な場合に追加の商業条項の追加を排除するものではありません。
VII. 転送の詳細
転送および個人データの詳細は別紙Bに明記されています。両当事者は、別紙Bは、法律または管轄の規制または政府機関に対する対応が必要な場 合、または第I(e)条にもとづき要求された場合を除き、第三者に開示しない機密商業情報を含むことに同意します。両当事者は、必要に応じて、当局に提出される付加的転送を保証するため追加の別紙に署名することができます。もしくは、複数の転送を保証するために別紙Bを起草することができます。
別紙A
データ処理の原則
1. 目的の制限:個人データは、別紙Bに記載された目的のためにのみ処理され、その後に使用されるか、またはさらに伝達されるか、またはその後データ主体によって承認されます。
2. データの品質と均整:個人データは正確であり、必要に応じて、最新のものでなければなりません。個人データは、転送され、さらに処理される目的に関連して、適切かつ関連性がなくてはならず、過を超えてはなりません。
3. 透明性:データ主体には、すでにクレディセイフによって提供されている場合を除き、xxな処理を確保するために必要な情報(処理の目的や転送に関する情報など)を提供する必要があります。
4. セキュリティと機密性:データ管理者は、偶発的または違法な破壊や偶発的な損失、改ざん、不正な開示またはアクセスなどの処理により表されるリスクに対し適切な技術的および組織的セキュリティ対策を講じなければなりません。処理者を含むデータ管理者の権限下で行動する者は、データ管理者からの指示以外のデータを処理してはなりません。
5. アクセス、修正、削除、異議の権利:指令95/46 / ECの第12条に規定されているように、データ主体は直接的であっても第三者経由であっても、明らかに悪用である要求を除き、不当な間隔またはその番号、または体系的な性質に基づく要求、またはクレディセイフの国の法律に基づき許可する必要がないアクセスを除き、組織が保持する彼らの個人情報を提供されなくてはなりません。当局が事前の承認を与えた場合、アクセスの許可をすることでお客様またはお客様を扱う他の組織の利益を著しく損なう可能性がある場合にはアクセスは許可される必要はなく、かかる利益は基本的権利およびデータ主体の自由により無効にされることはありません。合理的な努力によって不可能である場合、または個人以外の者の権利が侵害される場合、個人データの出所を特定する必要はありません。データ主体は、不正確であるまたはこれらの還俗に反して処理された場合には、それらに関する改正、訂正または削除された個人情報を有することができなければなりません。要求の正当性を疑う説得力のある根拠があれば、組織は、改正、訂正または削除に進む前に、さらなる理由を要求することがあります。データが開示された第三者への改正、修正または削除の通知は、これに過度の努力が伴う場合には行う必要はありません。データ主体は、その特定の状況に関する妥当な合法的根拠があればデータ主体に関する個人データの処理にも反対することができなければならない。いかなる拒絶に対する証拠の責任もお客様にあり、データ主体は当局の前で常に拒否を試みる可能性があります。
6. 極秘データ:お客様は、添付1の第Ⅱ条に基づく義務に従い、かかる極秘データを保護するために必要な追加の措置(例えば、セキュリティに関連するもの)を講ずるものとします。
7. マーケティング目的で使用されるデータ:直接販売の目的でデータが処理される場合、効果的な手順が存在し、データ主体がいつでも、そのデータをかかる目的で使用されることから「オプトアウト」できるようにする必要があります。
8. 自動化された意思決定:本別紙の「自動化された意思決定」の目的とは、データ主体に関する法的効果を生じさせる、またはデータ主体に重大な影響を及ぼし、仕事における業績、信用力、信頼性、行為など、特定の個人的側面を評価する意向のある個人データの自動処理のみに基づく、クレディセイフまたは顧客による意志決定を意味するものとします。お客様は、以下の場合を除いて、データ主体に関する自動化された決定を行わないものとします。
a) i. かかる意志決定が、データ主体との契約の締結または履行の際にお客様が行うものである場合、および
ii. データ主体には、関連する自動化された決定の結果を、かかる意志決定をする両当事者の代表者と協議する、またはその両当事者に陳述を行う機会を与えられる場合。
または
b)GDPRによって別途提供される場合。
別紙B
転送の詳細
データ主体
転送される個人データは、データ主体の以下の分類に関連します。
お客様、個人商人、取締役員、株主、代理権保持者およびその他企業の連絡担当者。
転送の目的
転送は、以下の目的で行われます。
信用力確認、調査、直接販売、お客様の小切手の把握、コンプライアンス、データの検証と強化、その他の合法的なビジネスのデューデリジェンス目的。
データの分類
転送される個人データは、以下のデータ分類に関係します。消費者: - 名字、名前、
- 生年月日、
- 住所、
- 電話番号、
- eメールアドレス、
- ファックス番号、
- 携帯電場番号、
- 信用格付け、厳しい否定基準を含む財務状況に関する情報
個人商人: - 名字、名、
- 生年月日、
- 取引先住所、
- 商業用電話番号、
- 商業用メールアドレス、
- 商業用ファックス番号、
- 商業用携帯電場番号、
- 信用格付け、厳しい否定基準を含む財務状況に関する情報
取締役員、株主、代理権保持者およびその他の企業の連絡担当者:
- 名字、名、
- 生年月日、
- 商業用所在地、
- 商業用電話番号、
- 商業用メールアドレス、
- 商業用ファックス番号、
- 商業用携帯電場番号、
- 厳しい否定基準
受領者
転送される個人データは、以下の受領者または受領者の分類にのみ開示することができます。お客様の代理人およびお客様のエンドユーザー(お客様が再販業者である場合)
極秘データ (該当する場合)
転送される個人データは、以下の極秘データの分類に関係します。該当なし