氏名、ユーザー名 、連絡先詳細、ログおよびプロトコルデータ等のユーザーアカウント関連データ。管理者によるサービスの使用状況に応じて、個人データの追加カテゴリ( 機密性の高いデータを含む)。 処理の性質 ● ● クラウドサービスの提供:クラウドサービスは、管理者の システムからのデータに基づいてプロセスを分析するツール を提供します。個人データは、主に処理者がサービスへのアクセス権を付与するために使用されます。個人データがアプリケーション関連の利用状況分析のために使用される場...
データ処理契約 | |
(最終改訂日: 年 月 日) | |
概要 | |
本データ処理契約は、 によるお客様へのサービス提供に適用される、お客様と との間の契約およびあらゆる注文(以下、総称して「本契約」といいます)の一部を形成し、これらに組み込まれます。当社が本契約の範囲内でお客様の個人データを処理する(以下、「処理」といいます)場合に限り、本データ処理契約およびその付属書(以下、総称して「 」といいます)が、当該処理活動に適用されます。 | |
本データ処理契約において、「当社」とは、本契約を締結した法主体である を意味し、「お客様」とは、本契約の相手方を意味するものとします。本データ処理契約において別途定義されていない大文字の用語は、本契約においてそれらに与えられた意味を有するものとします。 | |
本契約を締結することにより、お客様は、自身のために、適用されるデータ保護法の下で必要な範囲で、サービスを提供するうえでお客様が当社に提供する可能性のある個人データを所有する関連会社、従業員および第三者の名前で、またそれらの代理として、本 も締結したものとみなされます。お客様は、当社が本 に従い当該個人データを処理することを認めるものとします。本 に関連するすべての指示は、お客様のみが与えるものとします。 | |
何らかの矛盾が生じた場合、本 の個々の条項が、本契約の個々の条項に優先します。本 の個々の条項が無効または執行不能である場合であっても、本 の他の条項の有効性および執行可能性は、影響を受けないものとします。本 と移転に関する標準契約条項(以下に定義されます)との間に矛盾または不一致がある場合は、移転に関する標準契約条項が優先します。 | |
第 項 | |
目的および範囲 | |
| ( ) 個人データの処理については、お客様が管理者となり、個人データの処理の目的と手段を決定します(以下、「管理者」といいます)。お客様は、当社を処理者として任命するものとします(以下、「処理者」といいます)。当社は、お客様から文書化された追加指示を受けない限り、付属書 に記載された目的のみのために、お客様に代わって個人データを処理します。 |
| ( ) お客様は、適用されるデータ保護法に基づく管理者としての義務の遵守について、単独で責任を負うものとします。これには、当社への個人データの合法的な開示および移転が含まれますが、これらに限定されません。 |
| ( ) 当社による処理は、本契約に定めるサービスの期間中のみ行うものとします。 |
第 項 | |
指示 | |
| ( ) 当社は、お客様からの文書化された指示に基づいてのみ、お客様の個人データを処理します。ただし、適用される強行法規に基づき別途処理を義務付けられる場合は、この限りではありません。そのような場合、法で禁じられている場合を除き、当社は処理を行う前に当該法的要件をお客様に通知します。お客様は、個人データの処理期間中であれば、後から指示を行うこともできます。ただし、当該指示が本契約の範囲内であり、文書化されていることが条件となります。 |
| ( ) お客様からの指示が適用されるデータ保護法に違反していると当社が判断した場合は、直ちにその旨をお客様に通知します。当社は、お客様が適用されるすべてのデータ保護法に準拠するよう当該指示を確認または変更するまで、当該指示の実行を一時的に停止する権利を有します。 |
| ( ) 当社は、お客様から指示があり、かつ指示の範囲に含まれる場合、お客様の個人データを訂正または消去します。当社は、適用法または所管官庁が特定期間の保持を求める場合を除き、処理の終了およびお客様の指示から 日以内(または別途当事者間で書面により合意した期間)に個人データを削除します。当社は、お客様から要請があれば、削除を証明します。 |
第 項 | |
処理のセキュリティ | |
| ( ) 当社は、偶発的または非合法的な個人データの破損、喪失、改変、不正な開示またはアクセス(以下「個人データ侵害」といいます)につながる違反が発生する可能性およびその重大性のリスクに対して適切なレベル の セ キ ュ リ テ ィ を 確 保 す る た め に 、 当 社 サ イ ト ( )に明記する技術的および組織的対策を実施します。当社はさらに、適切な保護レベルを証明するため、 および 等の、当社の情報セキュリティプログラムに対する第三者認証および第三者 監 査 を 取 得 し て い ま す 。 す べ て の 有 効 な 証 明 書 は 、 で確認できます。当社は、実施する対策および保護手段を更新する権利を留保しますが、本契約期間中、セキュリティのレベルを大幅に低下させないものとします。 |
| ( ) 適切なセキュリティレベルを評価する際には、最先端技術、導入コスト、処理の性質、範囲、状況および目的、ならびにデータ主体に関係するリスクを考慮します。 |
| ( ) 当社の担当者による個人データへのアクセスは、サービスの実施、管理および監視のためにアクセスする必要がある個人に厳密に限定されます。個人データへのアクセスを許可された担当者は、本契約の秘密保持に関する条項に類似する守秘義務を負うか、適切な法定の守秘義務を負います。 |
第 項 | |
文書化および監査 | |
| ( ) 当社は、本 で合意された義務の当社による遵守を文書化します。 |
| ( ) 当社は、お客様から要請があれば、本契約に定める守秘義務に従ったうえで、本 に定める義務の当社による遵守に関する情報を、第三者認証および第三者監査の形式で、お客様またはお客様の独立した第三者監査人に提供します。 |
| ( ) 処 理 活 動 に 関 す る 手 x x x 現 場 監 査 を ご 要 望 の 場 合 は 、 までご連絡ください。当該監査については、 日前の書面通知をもって、最大 年間に 回、通常の営業時間中に、当社の業務を妨害することなく、機密保持契約を締結したうえで行うものとします。お客様は、当社が個人データ侵害をお客様に通知した場合または監督当局が当該監査を要求する場合は、より頻繁な監査を要請することができます。ただし、いかなる場合でも、 か月間に実施される現場監査は 回を超えないものとします。当社は、監査人が当社の競合相手である場合には、これを拒否する権利を有します。お客様は、当社が監査報告書の無修正コピーをお客様に提供することを条件として、当社が独立した外部監査人を指名することに同意するものとします。各当事者は、監査に関連する費用を各自で負担するものとします。現場監査の開始前に、両当事者は、監査の範囲、時期、期間について相互に合意するものとします。お客様は、監査の過程で発見された不遵守に関する情報を速やかに当社に提供するものとします。 |
第 項 | |
復処理者の使用 | |
| ( ) お客様は、本契約の履行に関連して、当社が() の関連会社および()当社 サイト( )に掲載されている復処理者を使用することに同意するものとします。当社は、復処理者の処理活動について、当社がお客様の個人データを処理する場合と同程度の責任を負います。 |
| ( ) 本 に基づき新しい復処理者を雇用する場合は、少なくとも 週間前にお客様に通知します(以下、「通知期間」といいます)。お客様は、かかる通知を受領してから 日以内に当社に対して書面で通知することにより、適用されるデータ保護法に関連する合理的な根拠に基づいて、新しい復処理者に異議を唱えることができます(以下、「異議申立期間」といいます)。お客様が異議申立期間内に異議を唱えない場合、新しい復処理者に同意したものとみなされます。お客様が異議申立期間内に異議を唱えた場合、両当事者は誠実に協力して、機能的に同等で商業的に合理的な、新しい復処理者の代替者を見つけるものとします。通知期間内に両当事者間で解決策が合意されなかった場合、お客様は、 日前の書面通知をもって、関連するサービスを終了する権利を有します。お客様は、終了日まで(終了日を含む)のサービス料金を支払うものとし ます。 |
| ( ) 当社が処理活動を行うために復処理者を雇用する場合、当社は、本 に定めるものと実質的に同じデータ保護義務を復処理者に課す、拘束力のある契約を締結することによってこれを行います。 |
第 項 | |
国外移転 | |
当社は、欧州経済領域、スイスおよび英国以外の国に個人データを移転する場合、適用されるデータ保護法に基づく当社の義務を遵守し、かかる移転に関して適切な保護手段を確保できる場合のみ、移転を行います。例えば、欧州議会および理事会の規則( ) によ る第三国への個人データ移転のための標準契約条項に関する 年 月 日付け欧州委員会実施決定( ) に従った、標準契約 条項の導入等です。 | |
第 項 | |
管理者の支援 | |
| ( ) 当社は、データ主体からなんらかの要請を受けた場合、速やかにお客様に通知します。ただし、データ主体から提供された情報に基づいて、当社が当該データ主体とお客様との相互関係を明らかにすることができる場合に限ります。当社は、お客様から権限を付与されている場合、またはデータ保護法により義務付けられている場合を除き、要請に対応しま せん。 |
| ( ) 当社は、処理の性質を考慮して、お客様がデータ主体の要請に対応するという管理者としての義務を果たせるよう、合理的に支援します。 |
| ( ) 上記にかかわらず、 オンライントレーニングクラウドのユーザーがデータ主体としての要請を行った場合、お客様は、当社がお客様の承認を得ることなく当社の判断で当該要請に対応できることに同意する ものとします。 |
| ( ) お客様がデータ主体の要請に完全に、正確に、適時に、またはデータ保護法に従って対応しなかった場合、当社は責任を負いません。 |
| ( ) 処理の性質および当社が利用できる情報を考慮して、お客様から要請があれば、当社は、処理が自然人の権利および自由に大きなリスクをもたらす可能性が高い場合に、データ保護影響評価の実施についてお客様を支援します。 |
第 項 | |
個人データ侵害の通知 | |
| ( ) 個人データ侵害が発生した場合、当社は、処理の性質および当社が利用できる情報を考慮して、お客様が適用されるデータ保護法に基づくお客様の義務を遵守できるよう、お客様に協力し、合理的に支援します。 |
| ( ) 当社による個人データ侵害が発生した場合、当社は、当該侵害を認識 した後不当な遅滞なくお客様に通知します。かかる通知には、少なく |
とも以下の内容を記載するものとします。( )侵害の性質の説明(可能な場合は、関係するデータ主体およびデータ記録のカテゴリとおおよその数を含みます)、( )詳しい情報を取得するための連絡窓口の詳細、( )侵害により起こり得る結果および侵害に対処するために講じる措置。 | |
| ( ) お客様は、個人データ侵害が発生した場合に通知する連絡担当者の詳細を に送信するものとします。 |
| ( ) 上記( )に記載するすべての情報を同時に提供することができない場合、またその限りにおいて、最初の通知にはその時点で入手可能な情報を記載し、追加の情報については、その後入手可能となった時点で、遅延なく提供するものとします。 |
第 項 | |
最終規定 | |
| 契約、不法行為、またはその他の責任論を問わず、本 に起因ま たは関連し、全体として捉えられる、各当事者およびそのすべての関連会社の責任には、本契約の「責任の制限」セクションが適用されます。 |
| 本 は、当社の処理活動に関する両当事者間の完全な合意を構成し、書面または口頭を問わず、本 の主題に関する従前および同 時期の合意、提案および表明のすべてに取って代わります。当社は、お客様への通知をもって、本 を随時更新することができます。改訂版は、本契約に基づくお客様のサブスクリプションの更新時に有効となります。 |
| お客様が欧州連合、欧州経済領域および またはそれらの加盟国、ス イス、英国に居住している場合、本 には、お客様が居住する国の法律が適用されます。その他すべての場合、本 には、本契約に適用される法律が適用されます。本 に起因または関連して紛争が生じた場合、両当事者は、本 が準拠する法律を定める国で設立された裁判所の専属管轄権に服するものとします。 |
付属書 | |
処理の説明 | |
個人データ処理の対象となるデータ主体のカテゴリ | |
管理者の従業員。管理者によるサービスの使用状況に応じて、データ主体の追加カテゴリ。 | |
処理される個人データのカテゴリ |
氏名、ユーザー名 、連絡先詳細、ログおよびプロトコルデータ等のユーザーアカウント関連データ。管理者によるサービスの使用状況に応じて、個人データの追加カテゴリ(機密性の高いデータを含む)。 | |
処理の性質 | |
● | ● クラウドサービスの提供:クラウドサービスは、管理者の システムからのデータに基づいてプロセスを分析するツールを提供します。個人データは、主に処理者がサービスへのアクセス権を付与するために使用されます。個人データがアプリケーション関連の利用状況分析のために使用される場合、データは匿名化されます。 |
● | ● サポートサービス:サポートサービスリクエスト(「チケット」)を発行する管理者の従業員の個人データは、サポートサービスを管理する目的で、処理者によって処理される場合があります。処理者の担当者は、管理者から要請された場合、状況に応じて管理者のインスタンスにアクセスする場合があります(例「シャドーイング」)。 |
● | ● オンライントレーニングクラウド:管理者の従業員は、処理者が提供するトレーニングに参加することができます。そのような場合、連絡先詳細とトレーニングの結果を含む参加情報が処理され、トレーニング参加者との対話や管理者への報告に使用されます。 |
● | ● プロフェッショナルサービス:コンサルティングにおいて、処理者の担当者は、管理者から要請された場合、状況に応じて管理者のインスタンスにアクセスする場合があります(例「シャドーイング」)。 |
管理者に代わって個人データを処理する目的 | |
処理の目的は、次のとおりです。()本契約において両当事者間の契約で合意したとおりに、処理者が管理者にサービスを提供するため、 ()サービスの使用またはサービスへのアクセスの過程でユーザーが開始した処理を行うため、()本契約の条件に一致し、合理的かつ文書化された、管理者が提供するその他の指示に従うため。 | |
処理の期間 | |
処理の期間は、本契約の期間と同一です。 | |
This Japanese version is a translation of the original in English, and is provided for informational purposes only. In case of any ambiguity or discrepancy, the English original will prevail | この日本語版は、英語の原版を翻訳したものであり、情報提供のみを目的としています。疑義や矛盾がある場合は、英語の原版が優先します。 |
ページ | |
ページ |