添付資料3 - GDPRデータ保護補遺
添付資料3 - GDPRデータ保護補遺
このデータ保護補遺( "補遺")は、(i)Avetta、LLC( "Avetta")とあなたとの間のEUSA( "
契約")の一部をなし、それぞれは "当事者"であり、および "当事者ら"です。
両当事者は、以下に規定する契約条件が本契約の補遺として追加されることに同意し、本補遺の本契約の参照は、本補遺によって修正され、本補遺を含む本契約に対するものです。
1. 定義
1.1 この補遺では、以下の用語は以下に示す意味を持つものとし、同義語はそれに従って解釈されるものとします。
(a) 「補遺発効日」とは、第2条に定める意味を有する。
(b) 「関連会社」とは、(文脈上許されるように)あなたまたはAvettaのいずれかとの間で直接または間接的に所有または支配される、またはあなたとAvettaのいずれかによって所有または支配される事業体を意味します。議決権のある有価証券の保有、契約によるかその他の方法によって、事業体の管理および方針の方向性を指示または指導する力を有します。
(c) 「個人データ」とは、(i)お客様またはその関連会社に代わってAvettaが処理した個人データ、または(ii)その他の方法でAvettaが書面にしたものであり、契約と一致して、お客様の指示に従って、またはそれに関連して処理した個人データを意味します。;
(d) 「データ保護法」とは指令95/46 / ECであり、2018年5月25日から、規則(E U)2016/679( "GDPR")と共に個人データまたはその処理に関連する適合する法の施行または補足すること、ならびに関連する監督当局によって随時発行される拘束力のある指針および行動規範を意味します;
(e) 「プライバシーシールド」とは、EU-米国のプライバシーシールドフレームワークおよび/またはスイス - 米国のプライバシーシールドフレームワークを意味します。そして
(f) 「サービス」とは、本契約に従ってAvettaがお客様および/または関連会社に提供するサービスを意味します。
1.2 「管理者」、「データ主体」、「個人データ」、「個人データ侵害」、「プロセス」および「プロセッサ」という用語は、データ保護法に記載されているのと同じ意味を持ち
、それに応じて同義語が解釈されます。
1.3 本補遺で他に定義されていない大文字の用語は、本契約でそれらに帰属する意味を持つものとします。
2. 本補遺の作成
本補遺は、締約国によって合意され、2018年5月25日に発効する。
3. 締約国の役割
両当事者は、個人データの処理に関して、また付属書1で詳しく説明されているように、あなたが管理者として行動し、Xxxxxxが処理者として行動することを認識し同意します。
4. 個人データ処理の説明
本補遺の附属書1では、締約国は、GDPRの第28条(3)で要求されているように、本補遺に従って Avettaが処理する個人データの処理の詳細について相互理解を表明しています。 いずれの当事者も、他方の当事者への書面による通知によって、またそれらの要件を満たすために合理的に必要な場合に、附属書1を合理的に修正することができる。 附属書1はいかなる当事者に対してもいかなる義務または権利も創出しない。
5. データ処理用語
5.1 Avettaは、個人データの処理において適用されるすべてのデータ保護法を遵守するものとし、Avettaは以下のことを行います。
5.1.1 本サービスの提供を目的として、またはEU以外の国または国際機関への個人データの転送を含む、本契約に基づく義務の遂行のために、お客様の文書化された指示のみに基づいて個人データを処理します。 (Avettaが適用される連合または加盟国の法律で要求されている場合を除き、その場合、Avet taは、そのような法が公共の利益の重要な理由でそのような情報を禁止する場合を除き)
5.1.2 個人データの処理を許可された個人が機密保持を確約していること、または機密保持の適切な法定義務の下にあることを確認する;
5.1.3 GDPRの第32条に従って両当事者が合意した、本契約に定められた技術的および組織的措置を、個人データの適切なセキュリティレベルの評価およびPr ocessingが提示するリスクを考慮して実施および維持する。特に、偶発的または違法な破壊、紛失、改ざん、不正な開示、またはこれらの個人データへのアクセスまたは損傷によるもの。 処理される個人データの種類の変更、または処理のリスクによって必要とされるそのような合意された措置の修正は、Avettaとあなたの間の合意された変更管理プロセスによって対処されるものとします。
5.1.4 お客様は、Avettaの個人データを処理するための別のプロセッサ(以下「サブプロセッサ」といいます)、具体的には付録2に記載されているサブプロセッサをAvettaに明示的かつ具体的に許可します。
a. 意図的な変更の通知をあなたに電子メールで送信することにより、附属書2にリストされているサブプロセッサの使用に対する意図的な変更を通知すること。
b. 本補遺に記載されているものと実質的に同一の各サブプロセッサとの契約条件を含むこと;そして
c. 各サブプロセッサが個人データの処理に関連してその義務を果たさなかった場合、お客様は引き続きその責任を負うものとします。
セクション5.1.4に基づいて受領した通知に関連して、 そのサブプロセッサの使用に対する合理的な異議を書面でAvettaに通知するために、通知の日から30(30)日の期間があるものとします。 両当事者は、あなたの異議申し立ての日から30日以内の期間、誠意を持って協力して、異議を唱えられた人の使用を回避するため商業的に合理的な解決策を見つけるものとします。サブプロセッサ そのような解決策が見つからない場合、どちらの当事者も
(本契約の反対の内容にかかわらず)相手方への書面による通知をもって直ちに罰金または補償なしに関連サービスを終了することができます。
5.1.5 個人データの処理に関するデータ主体からの通信、または個人データに関するデータ保護法に基づく義務に関連するその他の通信(監督当局からの通信を含む)について、お客様(または関連する関連会社)に速やかに通知する
。処理の性質を考慮して、可能な限り、適切な技術的および組織的な手段によって、お客様(または関連会社)が行使の要求に応える義務を果たすために、お客様(または関連会社)を支援します。データ主体の権利は第3章G DPRに規定されています。あなたは、このセクション5.1.5に基づく義務の履行に関連してAvettaが[2人時]を超える期間およびXxxxxxが負担する自己負担費用についてAvettaに支払うことに同意します。
5.1.6 Xxxxxxが個人データに関連する個人データの漏洩に気付いた場合、個人データに関連する個人データの漏洩を過度に遅らせることなく、お客様[および関連会社]に遵守のために合理的に要求されるすべての情報を含めるデータ保護法に基づく義務
5.1.7 処理の性質およびAvettaに提供される情報を考慮に入れて、GDPRの第32条から第36条までの義務により、あなた(および関連会社)を支援します
。あなたは、GDPRの第35条および第36条に関連して提供された援助に関連して[2人時間]を超える期間およびXxxxxxが負担する自己負担費用についてAvettaに支払うことに同意します。
5.1.8 契約の終了または満了時に個人データの処理を中止し、お客様の[または関連する関連会社の]オプションで、返却または削除(かかるデータが判読不能な形式であることを確認することを含む)のいずれかを行います。 Avett
aによる場合。ただし、組合法または加盟国の法律が個人データの保存を要求している場合を除き(かつ、その限りにおいて、またそのような期間についてのみ)。そして
5.1.9 本補遺およびGDPRの第28条(3)(h)に準拠していることを証明し、監査を可能にし、貢献するために必要なすべての情報。あなた(またはあなたの関連会社)、またはあなた(またはそのすべての関連会社)から委任された監査人による、あなたの単独の費用による検査を含みます。
6. xx順位
本補遺の条項は、本契約の条項を補足するものです。 本補遺の規定と本契約の規定との間に矛盾がある場合は、本補遺の規定が優先するものとします。
その証拠として、この補遺は補遺発効日から施行され、本契約の拘束力のある部分となります。附属書1:個人データの処理の説明
この附属書には、第28条(3)GDPRで要求される個人データの処理に関する特定の詳細が含まれています。
データエクスポータ
データエクスポーターは次のとおりです(転送に関連するあなたの活動を簡単に指定してください)。
Xxxxxxは、自身およびその関連会社を代表してマスター契約の期間中に追加される可能性のある関連会社を含む。 データエクスポーターは、データインポーターのWebベースのサービスを利用する過程で個人データを入力することがあります。
データ主体
転送される個人データは、次のカテゴリのデータ主体に関するものです(指定してください)
。
Data Exporterは、Webベースのサービスに個人データを送信することができます。またはデータインポーターは、製品およびサービスを提供する過程で個人データを受信することができます。以下のカテゴリーのデータ主体に関連する個人データ:
1. データエクスポーターの見込み客、顧客、ビジネスパートナー、およびベンダー。
2. 現在および以前の従業員、あるいはデータエクスポーターの見込み客、顧客、ビジネスパートナー、およびベンダーの連絡担当者
3. 従業員、代理人、アドバイザー、フリーランサーまたはデータエクスポーター。そして
4. データエクスポーターによってサービスの使用を許可されたデータエクスポーターのユーザー。
カテゴリのデータ
転送される個人データは、次のカテゴリのデータ主体に関するものです(指定してください)。
データエクスポーターは、サービスの実行のために個人データをデータインポーターに送信することができます。その範囲は、データエクスポーターによって決定および管理され、以下のカテゴリの個人データを含みますが、これらに限定されません。
(a) 姓名;
(b) 肩書き;
(c) ポジション;
(d) 雇用者;
(e) 連絡先情報(会社、電子メール、電話番号、実際の勤務先住所)
(f) ID データ;
(g) 職業生活データ;
(h) 私生活データ;
(i) 接続データ;
(j) ローカライゼーションデータ;
(k) 保険;
(l) 多様性と機会均等;
(m) 安全性、事故および事件の手順
(n) 薬物およびアルコールプログラム
(o) 運輸 / 車両安全;
(p) 産業保険/労働衛生
(q) 企業の社会的責任、持続可能性および環境問題。
(r) 品質管理、認証、ライセンス、資格
(s) 税データ;
(t) 支払いの名前と住所、クレジットカード番号、ユーザー数などの財務資格と支払い情報
。
特別なデータカテゴリ(該当する場合)
転送される個人データは、次の特定カテゴリのデータ主体に関するものです(指定してください)。
データエクスポーターは、Webベースのサービスに特別なカテゴリのデータを送信することがあります(またはデータインポーターは、製品およびサービスを提供する過程で特別なカテゴリのデータを受信することがあります)。
処理オペレーション
転送された個人データは、以下の基本的な処理活動(具体的に記入してください)の対象となります。これらはすべて、サービスを提供するために必要です;
処理活動には、データエクスポーターの契約および指示に従って、ホスティングサービス、ソフトウェアの保守およびサポートサービス、トレーニングサービス、および開発サービスをデータエクスポーターに提供することが含まれます。
附属書2:サブプロセッサのリスト
サブプロセッサのリスト | ||
サブプロセッサ | カテゴリー | 目的 |
E3ラーニング | 第三者ホスト型アプリケーション | 学習管理システムとコンプライアンスの追跡を提供するために使用されるアプリケーション |
Overnite Software I nc | 第三者ホスト型アプリケーション | 学習管理システムとコンプライアンスの追跡を提供するために使用されるアプリケーション |
SafetyFile | 第三者ホスト型アプリケーション | 認証およびコンプライアンス管理を提供するために使用されるアプリケーション |
ロジアナリティクス | 第三者ホスト型アプリケーション | ビジネスインテリジェンスおよびビジネス分析のための対話型データ視覚化製品を提供するために使用されるアプリケーション |
ネットスクライブ | 契約代理店 | マーケットインテリジェンス、マーケットリサーチ、リサーチベースのコンテンツ、およびeコマースサービスを提供するコンサルタント |