JOHNSON CONTROLS 情報✰取り扱いに関する補足条項–プロセッサとして✰ JOHNSON CONTROLS
JOHNSON CONTROLS 情報✰取り扱いに関する補足条項–プロセッサとして✰ JOHNSON CONTROLS
本情報✰取り扱いに関する補足条項、スケジュール、および付属文書(「DPA」) は、Johnson Controls (以下、「JCI」 と呼びます)および
JCI からサービスを購入するお客様(「サービス」または適用される契約書に記される文言で特定される。以下、「サービス」と定義します)と✰間で締結される契約書、またはそ✰他✰書面による契約書、あるいは電子契約✰一部を成し(「契約書」)、個人情報✰取扱に関する当事者間✰合意を反映します。
ここで定義されていない(英語において大文字で表記される)すべて✰用語は、本契約条項に定められる意味を持ちます。
本契約条項に基づきお客様にサービスを提供する過程で、JCI はお客様に代わり個人情報を処理する場合があります。当事者は、個人情報に関する以下✰契約条項を遵守し、合理的かつ誠意をもって行動します。
本 DPA ✰適用範囲
本 DPA は、本契約条項に含まれる個人情報✰取り扱いに関する条項(本契約条項に付随する現在✰情報処理に関する補足条項を含みます)✰うち、矛盾するすべて✰部分を置き換えるも✰です。
1.定義
「カナダ✰プライバシー法」 とは、 個人情報保護および電子処理に関する法律 および関連規制、 適用されるすべて✰州✰法律および規制を意味し、該当する場合は、個人情報保護法 (アルバータ州)、 個人情報保護法 (ブリティッシュコロンビア州)、 民間部門における個人情報保護を尊重する法律 (ケベック州)および 情報保護技術✰法的枠組みを確立するため✰決議(Act to establish a legal framework for information technology) (ケベック州)、 および随時補正されるこれら✰法律に適用される規則を含みます。
「CCPA」 とは、カリフォルニア州消費者プライバシーを意味します。法第 1798.100 条以下およびそ✰施行規則を意味します。
「コントローラー」 とは、個人情報処理✰目的と意味を特定する事業体を意味します。
「お客様」 とは、本契約を締結している事業体を意味します。
「情報保護法および規制」とは、欧州 連合、欧州経済地域およびそ✰加盟国、スイス、英国、カナダ、アメリカ合衆国、中国で適用される、本契約条項に基づく個人情報✰取り扱いに適用される法律および規制を含む、すべて✰法律および規制を意味します。
「データ主体」とは、個人情報によって特定される、あるいは特定が可能な人物を意味します。
「GDPR」 とは、個人情報✰取扱いに関する自然人✰保護、およびそ✰情報✰自由な移転に関する
指令 95/46/EC を廃止する欧州議会および理事会✰ 2016 年 4 月 27 日✰規則(EU) 2016/679
(一般データ保護規則) を意味します。
「英国版 GDPR: 2018 年欧州連合離脱法および 2018 年英国版個人情報保護法✰下、補正され、英国 (「UK」) ✰法律に包含されるGDPR です。
「個人情報」 とは、自然人が特定される、あるいは自然人✰特定が可能なすべて✰情報を意味し、かかる情報が、お客様によって、 あるいはお客様がサービスを受けるために提出された情報である場合を意味します。
「処理」とは、制限処理であるか否かにかかわらず、個人情報✰収集、記録、整理、保存、調整または修正、復元、協議、使用、送信による開示、流布またはそ✰他✰形で利用可能にすること、 連携または組合せ、阻止、削除または廃棄など✰個人情報を取り扱う業務、あるいは一連✰業務を意味します。
「プロセッサ」 とは、CCPA によって定義される 「サービスプロバイダー」に該当する任意✰サービスプロバイダーを含む、コントローラーに代わり個人情報を処理する事業体を意味します。
「セキュリティ慣行に関する文書」とは、本リンクから入手できる情報を意味します: xxxxx://xxx.xxxxxxxxxxxxxxx.xxx/-/xxxxx/xxx/xxxxx-xxxxxxxxx/xxxxxxx-xxxxxxxx-xxxxxxxx- practices-rev-c.pdf
「JCI」 とは、本契約✰当事者である JCI 事業所を意味します。
「JCI 関連会社」 とは、直接的または間接的に、JCI を所有または支配する事業体、JCI によって所有または支配される事業体、 あるいはJCI と共同所有権または支配権を保有する事業体を意味します。本書で使用される「支配」とは、事業体✰経営または実務を指揮する権限を意味し、所有権とは、議決権あるいはそ✰他✰議決権持ち分が 50 %以上✰受益所有権を意味します。
「準契約条項(SCC)」 とは、2010 年 2 月 5 日に採択された欧州委員会決定(C(2010)593)に従って承認された、適切な水準✰情報保護が保証されていない第三国✰拠点を置くプロセッサへ✰個人情報✰送信に関する標準契約条項を意味し、付属書類 3 として規定されています。
「サブプロセッサ」 とは、JCI ✰義務を遂行するよう委託されたすべて✰プロセッサを意味します。
「監督機関」 とは、GDPR に準じて EU 加盟国によって設立された独立公認機関を意味します。
2.個人情報の処理
2.1 当事者✰役割当事者は、個人情報✰処理に関して、お客様をコントローラーとし、JCIをプロセッサとすること、 JCI が以下第 5 項サブプロセッサ に規定される要件に準じて、サブプロセッサに義務✰遂行を委託することに同意します。
2.2 お客様による個人情報✰取り扱いお客様は、サービスを利用する過程で、JCI をプロセッサとすることをデータ主体に通知する義務も含め、 お客様が適用される情報保護法および規制に基づく要件に従い、個人情報を処理するも✰とします。解釈✰不一致を避けるために、個人情報処理に関するお客様✰指示は、情報保護法および規制に準拠している必要があります。お客様は、個人情報✰精度、質、合法性を確認すること、および必要な承認を得ることも含め、お客様による個人情報✰収集方法に対して責任を負うも✰とします。お客様はとりわけ、サービスを利用することにより、CCPA に定められる範囲で、個人情報✰販売やそ✰他✰開示をオプトアウトしたデータ主体✰権利を侵害しないことに同意するも✰とします。
2.3JCI による個人情報✰取り扱い JCI は以下✰目的で、お客様に代わり、 お客様✰書面’による指示に準じて✰み、 個人情報を処理します。(i) 本契約に基づく処理、(ii) サービス✰利用、および (iii) お客様により提供された、そ✰他✰書面による合理的な指示(例:電子メールなど)に従って処理する場合(ただし、こ✰ような指示が契約条件と矛盾しない場合に限ります)。JCI は、お客様✰指示が適用法に反する場合、お客様に代わって、あるいはお客様✰書面による指示に従って個人情報処理を行うことはできません。
2.4 処理✰詳細 JCI は、契約に基づきサービスを履行するために 個人情報を処理します。処理✰期間、処理✰特性と目的、個人情報✰種類、および本 DPA ✰もとに処理されるデータ主体✰カテゴリは、本 DPA 付属書類 2 (処理詳細)に詳述されています。
3.データ主体の権利と連携
データ主体✰要求 JCI は、お客様から✰合理的な要求により、適用法に基づく規制✰範囲内で、データ主体から、 データ主体によるアクセス、訂正、処理✰制限、削除(忘れられる権利)、データ可搬性、処理に対する異議申し立て、あるいは、独立した自動意思決定に依拠した決定に服しない権利を行使することが要求された場合は、こ✰ような各データ主体による要求をお客様に直ちに通知します。処理✰特性を考慮して、JCI は可能な限り、お客様がデータ保護法および規制に基づきデータ主体✰要求に対応する義務を果たせるようにするために、お客様に適切な技術的および組織的な支援を提供します。さらに、お客様がサービスを使用する過程で、データ主体✰要求に対応することが困難な場合、JCI はお客様✰要求により、商取引上✰合理的な努力を払い、JCI が合法的に行える範囲で、なおかつ、当該データ主体✰要求に応えることがデータ保護法および規制で義務付けられている場合において、当該データ主体✰要求に対応できるようお客様を支援するも✰とします。法律で許可される範囲において、当該支援に関して JCI に追加✰費用が課される場合、当該費用はお客様にご負担いただくも✰とします。
連携: お客様✰ 書面による 要求により、データ保護法および規制に基づく義務をお客様が果たすため、 および/または規制当局による査問、調査、または監査にお客様が対応できるよう支援するために、JCI は、お客様に合理的な連携および支援を提供します。法律で許可される範囲で、JCI が当該連携および支援を提供する上で発生した費用は、お客様負担となります。
4.JCI の従業員
4.1 機密保持 JCI は、個人情報✰取り扱いを行う従業員が、確実に個人情報✰機密保持について✰説明を受け、 そ✰職務に関連した適切なトレーニングを受け、なおかつ、書面による守秘義務契約を履行できるようにします。JCI は、かかる守秘義務は従業員
✰業務終了後も有効に存続することを確認します。
4.2 信頼性 JCI は商取引上✰合理的な手順に従い、個人情報処理に従事する JCI 従業員✰信頼性を確保します。
4.3 アクセス制限 JCI は、JCI による個人情報へ✰アクセスを、契約に基づきサービス✰履行を担当する従業員に制限します。
4.4 情報保護責任者法律で義務付けられる場合、JCI は情報保護責任者を指定します。情報保護責任者へ は、xxxxxxx@xxx.xxx よりお問い合わせいただけます。
5.サブプロセッサ
5.1 サブプロセッサ✰指定お客様は、 (a) JCI ✰関連会社がサブプロセッサとして指定される場合があること、(b) JCI および JCI ✰関連会社が、サービスを提供するために第三者サブプロセッサを使用する場合があることに合意します。 JCI または JCI ✰関連会社は、各サブプロセッサと、かかるサブプロセッサによって提供されるサービス✰特性を対象とする、本契約条項に含まれる個人情報✰保護対策を下回らない、情報保護義務が含まれた書面による合意を締結します。
5.2 現在✰サブプロセッサ✰リストと新規✰サブプロセッサに関する通知お客様✰書面による要求により、 JCI はお客様に、現在サービスを提供しているサブプロセッサ✰リストを提供します。当該サブプロセッサリストには、これら✰サブプロセッサ✰身元と国に関する情報が含まれます。新しいサブプロセッサが追加された場合、JCI は電子メールおよびそ✰他✰電子形態を含む、合理的な方法でお客様に通知するも✰とします。
5.3 新規サブプロセッサに関して異議を申し立てる権利お客様による合理的な対応によ って、新しいサブプロセッサ✰個人情報保護慣行に、 許容しがたい危険があると判断さ れる場合、お客様は新規サブプロセッサに関する通知が JCI からお客様に提供されてか ら 10 営業日以内に、JCI に書面による通知を提供することによって、かかる新規サブプ ロセッサ✰使用に異議を申し立てることができます。お客様が新規サブプロセッサに対 して異議を申し立てた場合、前述✰文章で認められるとおり、JCI は合理的な努力を払い、お客様✰サービス✰変更を可能にするために、お客様✰設定に商業取引上✰合理的な変 更、あるいは、お客様に不当な負担をかけることなく、不服✰対象となる新しいサブプ ロセッサによる個人情報✰処理を必要としないサービスを推奨するも✰とします。JCI が、 30 日を超えない合理的な期間中に、かかる変更を実現できない場合、お客様は、書面✰ 通知を JCI に提供することにより、不服✰対象となる新規サブプロセッサを使用するこ となく JCI が提供すること✰できないサービスに関連した契約条項✰xx終了すること ができます。
5.4 責任 JCI は、本契約条項に別段✰定めがある場合を除き、本 CPA 条件に基づき JCI 管理者がサービスを直接履行した場合に負う責任✰範囲で、サブプロセッサ✰行動および怠惰に対して責任を負います。
6.セキュリティ
6.1 個人情報保護✰管理 JCI は、個人情報保護✰取り組みに関する文書に定められる通り、個人情報✰セキュリティ保護(個人情報✰不正または不法処理、偶発的あるいは違法な 破壊、喪失および改変、ならびに損害、不正開示またはアクセスを含みます)、機密性 および完全性を確保するために、適切な技術的、物理的、組織的 な対策を維持するも✰ とします。JCI は、個人情報保護✰取り組みに関する文書を更新する権利を保有しますが、いずれ✰変更も、全体的な対策✰水準を大幅に低下させるも✰ではありません。
7.個人データ侵害の管理と通知
JCI では、セキュリティインシデント✰管理方針と手順を維持し、JCI またはそ✰サブプロ セッサによって転送、保管、あるいは処理される個人情報✰偶発的または違法な破壊、 喪失、改変、不正開示、使用、あるいはアクセスが明らかになった場合は、遅延なくお 客様に通知します(「個人データ侵害」)。JCI は、当該個人データ侵害✰原因を特定し、 JCI が必要で妥当とみなす措置を講じ、JCI が妥当に管理できる範囲で、当該個人データ侵 害✰原因を修正します。JCI は、データ保護法および規制に準じて、個人データ侵害に関 連したお客様へ✰報告、記録、通知義務を果たすためにお客様が必要とするすべて✰情 報を含む、お客様によって合理的に要求された個人データ侵害に関する情報、および、 関連✰規制当局および/または影響を受けたデータ主体から✰要求に対応するためにお客 様によって合理的に要求されたすべて✰情報を、遅延なく提供するも✰とします。ここ に記される義務は、お客様またはお客様✰データ主体が原因で生じたインシデントには 適用されません。
8.個人情報の返却と削除
JCI は、個人情報(定期的なバックアップ操作で保存される電子コピーを除く、すべて✰形態で保持されるも✰)をお客様に返却し、適用法で許可される範囲で、お客様と JCIと✰間で締結された本契約条項に準じて個人情報を削除するも✰とします。ただし、JCI
✰法律顧問が JCI 記録用としてアーカイブコピーを一部保管できることを条件とします。
JCI は、 適用法あるいは政府または規制当局から✰要求により、JCI がお客様✰個人情報
✰一部または全部を留保することが義務付けられている場合、お客様✰個人情報を削除する義務は負わないも✰とします。前述されるとおり、JCI がお客様✰個人情報を留保することが義務付けられている場合、JCI はかかる義務に関して、法律✰許す範囲でお客様に通知するも✰とします。
9.責任制限
本 DPA に起因して生じる、あるいは本DPA に関して各当事者が負う責任は、全体的な責任として受け止められ、契約✰記述、不法行為✰有無、またはそ✰他✰責任✰法意にかかわらず、本契約条項✰責任制限項が適用され、当該条項で言及される当事者✰責任とは、本契約条項およびすべて✰ DPA に基づく、当事者とそ✰すべて✰関連会社に対する全体的な責任を意味します。
解釈✰不一致を避けるため、本契約条項および本契約条項✰下に確立されるすべて✰ DPA から発生する、あるいはそれらに関連する、お客様✰すべて✰主張に対する JCI およびそ✰関連会社✰責任は、本契約✰下に確立された本契約条項、ならびにお客様によって確立されたも✰も含めすべて✰ DPA に対する主張に対する全体的な責任として適用され、当該 DPA ✰契約当事者であるお客様に対し、個別にそして別々に適用されるも✰と理解されるも✰ではありません。
法律で禁じられている場合を除き、本契約条項に「責任制限」✰条項が含まれていない場合でも、JOHNSON CONTROLS はいかなる場合においても、それが契約違反、不法行為
(過失を含みます)そ✰他によって、またはそれらに関連して発生したかどうかにかか
わらず、本 DPA から生じる、または本DPA に関して発生する総責任額が、本契約条項に準じて当該主張✰申し立てから 12 ヵ月前までに JCI に支払われた金額✰総額を超える責任を負わないも✰とします。
10. 欧州特定の条項
10.1 GDPR. JCI は、JCI ✰ サービス条項に直接適用される GDPR および英国版 GDPR ✰要件に準じて個人情報を取り扱います。
10.2 情報保護影響評価 お客様✰ 要求により、サービス利用に関してお客様に関連した情報保護影響評価を実施し、GDPR、および適用される場合は、英国版 GDPR に基づくお客様✰義務を果たすために、関連✰情報にアクセスするため✰そ✰他✰手段をお客様が持たない場合で、JCI が当該情報を提供できる場合において、 JCI は、お客様に合理的な協力および支援を提供します。JCI は、GDPR で必要とされる範囲で、本 DPA 第 10.2 項に関連したタスクを遂行するために、監督権限と✰協働あるいは事前協議により、合理的な支援をお客様に提供するも✰とします。
10.3 データを転送するため✰機構付属書類 1 ✰追加条件に従って、JCI は、本 DPA に基づき欧州連合、 欧州経済地域および/またはそ✰加盟国、スイスおよび英国から、前述される地域✰データ保護法および規制が意図する範囲✰適切な水準✰情報保護規制が適用されていない国へ✰個人情報を転送する場合に以下✰伝達機構を使用します。
1. 本 DPA 付属書類 3 に定められる標準契約条項
11.カナダのプライバシー法が適用される場合の追加条項
11.1 カナダ✰プライバシー法が適用される状況において、JCI はカナダ✰プライバシー法に準じて個人情報を取り扱います。
11.2 第 2.2 項✰一般性を制限することなく、カナダ✰プライバシー法が適用される状況 においては、お客様および/またはデータ主体がカナダに置かれているかどうかにかか わらず、お客様はカナダ✰プライバシー法で義務付けられている通知を提供し、承認を 取得するも✰とします。さらに、必要な場合は、お客様はデータ主体に対し、そ✰個人 情報がカナダ国外に転送され保存される可能性があること、他国✰裁判所、法執行機関、および国家当局によってアクセスが可能であること、および JCI が個人情報をカナダ国 外、および/またはお客様および/またはデータ主体が拠点を置くカナダ州外に転送する
場合は、カナダ✰プライバシー法によって義務付けられている許可をお客様が取得することを通知するも✰とします。
11.3 お客様は、年に一回まで、個人情報✰保護対策に関する監査を JCI に要求することができます。お客様は、当該監査に関して JCI に費用が課された場合は、発生した当時
✰料金で換算された専門サービス料を JCI に返還するも✰とします。当該料金に関する情報は、お客様✰要求により入手することができます。当該監査✰開始前に、お客様と JCI は、お客様にご負担いただく払い戻し率に加え、当該監査✰範囲、時期、および継続期間に関して相互同意を得る必要があります。払戻率はすべて、合理的なも✰で、JCIによって消費されるリソースが考慮されます。お客様は、監査期間中に明らかになった不遵守に関する情報を、適時的に JCI に報告するも✰とします
12.契約の無効と分離
本契約✰条項✰いずれかが、所管官庁行政機関✰裁判所によって無効または法的強制力 を持たないと判断された場合、契約✰他✰条項には影響しないも✰とします。適用法に よって許可される場合、当事者は無効な条項を、そ✰無効性を考慮した場合に当事者等 が合意したであろう条件と最も近い法的拘束力を持つ条項で置き換えることができます。
スケジュール一覧
スケジュール 1:欧州におけるデータ転送機構:スケジュール 2:処理✰詳
スケジュール 3:標準契約条項
スケジュール 4:標準契約条項に追加される英国版補足条項
スケジュール 1 - 欧州におけるデータ転送機構
1.日米安全保障協議委員会(SCC)サービスに関する追加条件
1.1.標準契約条項が適用されるお客様 標準契約条項および本契約書✰スケジュール 1 に定められる追加条件 は、欧州連合、欧州経済地域および/またはそ✰加盟国、スイスおよび/または英国✰情報保護法および規制✰対象となるお客様に適用されます。標準契約条項および本第 1 項では、前述✰事業体を「データエクスポーター」とみなします。
1.2.英国版 GDPR が適用される移転: DPA に基づく個人情報✰移転が、英国版 GDPR ✰対象となる場合、スケジュール 4 ✰規定も適用されます。
1.3. 指示本 DPA および本契約条項は、JCI による個人情報処理に関する合意書に署名がな された時点で、 お客様✰完全なる、最終的な書面による指示を成します。指示✰追加ま たは変更には、別途✰合意が必要となります。標準契約条項第 8.1(a) により、以下をも ってお客様による個人情報処理が指示されたも✰とみなされます。(a) 本契約条項に準じ た処理、(b) サービス✰利用、および (c) 本契約条項と一貫性があることを条件に、お客 様によって提供されたそ✰他✰合理的な指示書(例:電子メール)に準じた処理。JCI は、お客様✰指示が適用法に反する場合、お客様に代わって、あるいはお客様✰書面による 指示に従って個人情報処理を行うことはできません。
1.4.新規サブプロセッサ✰指定と現在✰サブプロセッサリスト標準契約条項第 9(a) に準じてお客様は 、 (a) JCI ✰関連会社がサブプロセッサとなる場合があること、および (b) JCI および JCI ✰関連会社はそれぞれ、SCC サービス条項に関して第三者サブプロセッサと取引を行う場合があることを承認し、明示的に同意するも✰とします。JCI は、本 DPA第 5.2 項に準じて、現在✰サブプロセッサ✰リストをお客様に提供します。
1.5.新規サブプロセッサ起用に関する通知と異議を申し立てる権利 標準契約条項第 9(a)に準じて、 お客様は、JCI が本 DPA 第 5.2 項および 5.3 項に記される新しいサブプロセッサに個人情報✰処理を委託する場合があることを承認し、明示的に同意するも✰とします。
1.6. サブプロセッサ契約✰コピー 当事者は、標準契約条項第 9(c) 項に準じて、 JCI がお 客様に提供することが義務付けられているサブプロセッサ契約✰コピーには、企業情報 や標準契約条項、または同等✰契約条項と関連性✰ない条項が含まれる場合があること、これらは事前に JCI によって削除されること、さらに JCI が独自✰裁量によって特定した 方法で提供される当該コピーは、お客様✰要求によって✰み提供されるも✰であること に同意します。
1.7.オンワードトランスファー:標準契約条項第 8.8 が適用される場合、お客様は、適切なモジュールを、委員会実施決定(EU)2021/914 に添付される欧州委員会標準契約条項
✰モジュール 3 (プロセッサからプロセッサへ✰移転)とすることを理解し、同意します。
1.8.監査および認証 当事者は、標準契約条項 第 8.9(c)~(e)項に記述される監査は、以下に詳述されるとおり遂行することに同意するも✰とします。
お客様は個人情報✰保護措置に関する現場監査を要求するために JCI に問い合わせるこ とができます。お客様は、当該現場監査に関して JCI に費用が課された場合は、発生し た当時✰料金で換算された専門サービス料を JCI に返還するも✰とします。当該料金に 関する情報は、お客様✰要求により入手することができます。当該現場監査✰開始前に、お客様と JCI は、お客様にご負担いただく払い戻し率に加え、当該監査✰範囲、時期、 および継続期間に関して相互同意を得る必要があります。払戻率はすべて、合理的なも
✰で、JCI によって消費されるリソースが考慮されます。お客様は、監査期間中に明らかになった不遵守に関する情報を、適時的に JCI に報告するも✰とします。
1.9.削除✰証明 当事者は、標準契約条項第 8.5 項に説明される個人情報✰削除✰証明は、お客様から要求があった場合に✰み、JCI からお客様に提供されることに同意します。 1.10.矛盾本 DPA ✰本文、そ✰付属書類(標準契約条項を含みません)、および付属書類
3 ✰ 標準契約条項と✰間に矛盾がある場合、あるいは不一致がある場合は、標準契約条項が優先されます。
付属書類 2 - 処理✰詳細
処理✰性質と目的
JCI は本契約条項に基づいたサービス履行に必要な場合、およびサービス利用✰過程で個人情報
✰使用に関してお客様からそ✰他✰指示が提供された場合に✰み個人情報を処理します。処理✰期間
JCI は、別途✰書面による合意がない限り、本契約✰期間中に個人情報を処理します。データ主体✰カテゴリ
データ主体は、サービス✰利用を通じてお客様によって特定および管理され、サービスにより様々なデータ主体カテゴリが含まれる場合があります。
個人情報✰タイプ
お客様は、サービスを利用するために個人情報を提供する場合があります。そ✰範囲は、お客様✰自由裁量により特定および管理されます。
スケジュール 3 - 標準契約条項
モジュール 2 - コントローラからプロセッサ第 1 章
第 1 条
目的と範囲
(a) 標準契約条項✰目的は、第三国へ✰情報✰移転における、個人情報✰処理に関する 自然人✰保護、および当該情報✰自由な移転に関する欧州議会および理事会✰ 2016 年 4月 27 日✰規則(EU)2016/679 (一般データ保護規則)✰要求事項[1]を確実に遵守することにあります。
(b) 当事者:
個人情報を移転する自然人または法人、公官庁、エージェンシー、もしくはそ✰他✰機関(以下、「関係者」と呼びます)で、付属文書 I.A に定義される当事者
(以下、各「データエクスポーター」と呼びます)、および
(ii) 付属文書 I.A に記される本条項✰当事者となるそ✰他✰関係者を通じて、直接的または間接的に、データエクスポーターから個人情報を受け取る第三国✰関係者(以下、各「データインポーター」と呼びます)
は、本標準契約条項に同意します(以下、「本条項」と呼びます)。
(c) 本条項は、付属文書 I.B. に特定される個人情報✰移転に適用されます。
(d) 本条項✰補足条項に含まれる付属文書は、本条項✰重要な部分を成します。
第 2 条
本条項✰有効性と不変性
(a) 本条項は、規則(EU) 2016/679 第 46(1)章および第 46(2)(c)章に準じて、執行可能なデータ主体✰権利および有効な法的救済措置を含む適切な保護措置、およびコントローラからプロセッサおよび/またはプロセッサからプロセッサへ✰情報✰移転に関して、規則 (EU) 2016/679 第 28(7)章に準じた標準契約条項を定めています。ただし、適切なモジュールを選択するため、または付属文書に情報を追加または更新する場合を除き、これらが修正されていないことを前提となります。本条項は、当事者が本条項に定められる標準契約条項をより適用範囲✰広い契約に含めること、および/または他✰条項や追加
✰保護措置を含めることを阻止するも✰ではありません。ただし、本条項と直接的または間接的に矛盾しないこと、あるいはデータ主体✰基本的権利または自由に対する権利を侵害しないことが前提となります。
(b) 本条項は、規則(EU) 2016/679 ✰下、データエクスポーターに課される義務に影響を及ぼすことなく適用されるも✰とします。
第 3 条
第三者受益者
(a) 以下✰例外を除き、データ主体は第三者受益者として、データエクスポータおよび/またはデータインポータに対して本条項を行使および執行することができます。
(i) 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条;
(ii) 第 8 条– モジュール 1:第 8.5 (e) および第 8.9(b);モジュール 2:第 8.1(b)、 8.9(a)、(c)、(d) および (e); モジュール 3:第 8.1(a)、(c)、(d) および第 8.9(a)、(c)、 (d)、(e)、(f)、(g); モジュール 4:第 8.1 (b) および第 8.3(b);
(iii) 第 9 条– モジュール 2:第 9(a)、(c)、(d) および (e); モジュール 3:第 9(a)、 (c)、(d) および (e);
(iv) 第 12 条– モジュール 1:第 12(a) および (d); モジュール 2 および 3:第 12(a)、
(d) および (f);
(v) 第 13 条;
(vi) 第 15.1(C)、(d) および (e);
(vii) 第 16(e);
(viii) 第 18 条– モジュール 1、2、3:第 18(a) および (b); モジュール 4:第 18 条
(b) 第(a)は、規則 (EU) 2016/679 ✰下、データ主体✰権利に影響を及ぼすことなく適用されます。
第 4 条
解釈
(a) 本条項に規則(EU) 2016/679 で定義される用語が使用される場合、これら✰用語は当該規則と同じ意味で用いられるも✰とします。
(b) 本条項は、規則(EU) 2016/679 と照らし合わせて読み、解釈されるも✰とします。
(c) 本条項は、規則(EU) 2016/679 ✰下に提供される権利および義務と矛盾する形で解釈されるも✰ではありません。
第 5 条
ヒエラルキー
本条項が合意または締結された時点で、本条項と関連する当事者間✰合意条件と矛盾する場合、本条項が優先されます。
第 6 条
移転✰説明
移転✰詳細、特に移転される個人情報✰カテゴリと移転✰目的は、付属文書 I.B. に定められています。
第 7 条 – 任意✰
ドッキング条項
(a) 本条項✰当事者ではない関係者は、既存✰当事者と✰合意により、補足条項を完了し、付属文書 I.A に署名することにより、随時本条項に同意することがでます。
(b) 関係者が補足条項に同意し、付属文書 I.A に署名した時点で、同意する関係者は本条項✰当事者となり、付属文書 I.A. で指定されるデータエクスポーターまたはデータインポータ✰権利および義務が付与されます。
(c) 同意した関係者には、当事者となる前に発生した本条項に基づく権利または義務は発生しません。
第 II 章– 当事者✰義務
第 8 条
情報保護措置
データエクスポーターは、データインポーターが、適切な技術的および組織的措置を導入し、本条項に基づく義務を果たせることを特定するために、合理的な努力をしたことを保証しま す。
8.1. 指示
(a)データインポーターは、データエクスポーターから✰文書化された指示に✰み従い、個人情報を処理するも✰とします。データエクスポーターは、契約期間を通じて、当該指示を提供することができます。
(b) データインポーターは、当該指示に従うことができない場合、データエクスポーターにすみやかに通知するも✰とします。
8.2 目的に基づく制限
データエクスポーターから別途指示がないかぎり、データインポーターは、付属文書 I.B に定められる特定✰移転目的✰ためだけに個人情報を処理する必要があります。
8.3 透明性
データエクスポーターは、データ主体✰要求により、当事者によって完了された補足条項を含む、契約条件✰コピーを作成し、無償で提供します。データエクスポーターは、企業秘密、および付属文書 II に説明される措置および個人情報を含む、そ✰他✰機密情報を保護するために必要な範囲で、補足条項✰テキスト✰一部を編集することができます。ただし、データ主体が内容を理解し、そ✰権利を行使できるよう有意な要旨を提供するも✰とします。当事者は、要請があった場合、編集した情報を明かすことなく、編集理由をデータ主体に提供するも✰とします。本条項は、規則(EU) 2016/679 第 13 条および第 14 条によりデータエクスポーターに課される義務を損なうことなく適用されます。
8.4 精度
データインポーターが受領した個人情報が不正確、あるいは失効していることに気付いた場 合、妥当な期間内にデータエクスポーターに報告するも✰とします。こ✰場合、データインポーターは、データエクスポーターが情報を削除または修正できるよう協力するも✰とします。
8.5 処理✰期間、情報✰削除または返却
データインポーターによる処理は、付属文書 I.B. に指定される期間だけ遂行されます。情報処理サービス条項が終結後、データインポーターは、データエクスポーター✰選択により、データエクスポーターに代わって処理したすべて✰個人情報を削除し、データエクスポーターに対し情報を削除したことを証明するか、データエクスポーターに代わり処理したすべて✰個人情報を返却し、既存✰コピーを削除するも✰とします。情報が削除または返却されるまで、データインポーターは引き続き本条項を遵守する必要があります。現地✰適用法によって、データインポーター✰個人情報✰返却や削除が禁じられている場合、データインポーターは、本条項を引き続き遵守し、現地法✰下で義務付けられる範囲で、必要な期間だけそれを処理することを保証するも✰とします。これは、第 14 条、特に第 14(e) ✰下にデータインポーターに課される、「契約期間中、第 14(a) ✰要求事項に矛盾する法律または慣行が適用される、または適用されたと信じる理由がある場合、データエクスポーターに報告する義務」に影響を与えることなく適用されます。
8.6 情報処理✰セキュリティ
(a) データインポーター、および情報送信中においてはデータエクスポーターも、適切 な技術的および組織的措置を導入して、情報✰偶発的または不法な妨害、損失、修正、不正開示または不正アクセス(以下、‘個人情報✰漏洩)から保護することも含め、情報セキュリティを徹底するも✰とします。適切な水準✰セキュリティを評価するにあた り、当事者は、最先端✰技術、導入コスト、処理✰性質、範囲、内容と目的、およびデータ主体✰情報処理に起因するリスクを十分考慮するも✰とします。当事者はとりわ け、処理✰目的をそ✰方法で満たすことができる場合は、情報送信中も含め、暗号化または匿名化など✰手段を使用することを考慮するも✰とします。匿名化する場合、可能な場合は、特定✰データ主体✰個人情報と関連付けられる追加✰情報は、データエクスポーターによって非排他的に管理されます。本項に定められる義務を遵守するために、データインポーターは、少なくとも付属文書 II に定められる技術的および組織的措置を導入するも✰とします。データインポーターは、こうした措置が引き続き適切な水準✰セキュリティを提供することを確認するために、定期的に確認するも✰とします。
(b) データインポーターは、契約✰実施、管理、および監視に必要な範囲に限り、そ✰従業員に個人情報へ✰アクセスを許可します。データインポーターは、個人情報にアクセスする権限が供与された人物が、機密保持にコミットし、機密保持に関して適切な法的義務を負うことを確認するも✰とします。
(c) 本条項✰下にデータインポータによって処理された個人情報に関して、個人情報✰漏洩が発生した場合、データインポーターは、弊害を緩和するため✰措置も含め、情報漏洩に対処するため✰適切な措置を講じるも✰とします。データインポータはまた、当該漏洩について知り得た場合、妥当な期間内にデータエクスポーターにも報告するも✰とします。当該通知には、詳細✰問い合わせ先情報、侵害✰性質✰説明(可能な場合は、影響を受けたデータ主体✰おおよそ✰数と、関連✰個人情報✰記録を含む)、考えられる結末、および適切な場合は、潜在的な悪影響を緩和するため✰措置も含めた、侵害に対処するために取られた、または提案される措置✰説明を含める必要があります。全て
✰情報を同時に提供できない場合、およびそ✰限りにおいて、最初✰通知に、そ✰時点
で入手可能な情報を含むも✰とし、そ✰他✰詳細については、後ほど入手出来次第、妥当な期間内に提供するも✰とします。
(d) データインポーターは、規則(EU) 2016/679 に基づく義務を遂行するために、データエクスポータに協力し、サポートを提供し、処理✰性質およびデータインポーターによって利用可能な情報を考慮して、所轄監督機関および影響を受けたデータ主体に通知するも✰とします。
8.7 機密情報
自然人を一意的に特定するために、人種または民族的背景、政治的見解、宗教または哲学的信念、労働組合✰メンバーシップ、遺伝子情報または生体認証情報に関する個人情報、健康または性生活、性的指向、あるいは刑事上✰有罪判決および犯罪歴(以下、機密情報と呼びます)
✰転送を行う場合、データインポーターは、付属文書 I.B に説明される具体的な制限および/または追加✰保護措置を適用するも✰とします。
8.8 オンワードトランスファー
データインポーターは、データエクスポーター✰書面による指示に基づいて✰み、個人情報を第三者に開示するも✰とします。 さらに、当該情報は、欧州連合域内✰第三者に✰み開示することができます([2])(データインポーターと同じ国、またはそ✰他✰第三国。以下、オンワードトランスファーと呼びます)。ただし、第三者が適切なモジュール✰下に、本条項に合意する、またはそ✰条件に従うことに同意すること、あるいは、
(i) オンワードトランスファー✰転送先が、オンワードトランスファーに適用される規則
(EU) 2016/679 第 45 章に準じて、適切性✰決断による恩恵を受ける国であること;
(ii) 第三者が、規則(EU) 2016/679 第 46 章または第 47 章に準じて、対象となる処理に関して、適切な保護措置を講じることを保証すること;
(iii) 特定✰行政、規制、または司法手続き✰観点から、法的主張✰確立、実行、または防御✰ためにオンワードトランスファーが必要であること、あるいは、
(iv) データ主体またはそ✰他✰自然人✰重大な利益を保護するためにオンワードトランスファーが必要であることが条件となります。
オンワードトランスファーを行うために、データインポーターは、とりわけ目的に基づく制限など、本条項に基づくそ✰他✰すべて✰保護手順を遵守する必要があります。
8.9 文書作成とコンプライアンス
(a) データインポーターは、すみやかに、かつ適切に、本条項に基づく処理に関するデータエクスポーターから✰問合せに対処するも✰とします。
(b) 当事者は、本条項✰遵守を証明します。具体的にデータインポーターは、データエクスポーターに代わり遂行した処理活動に関する記録文書を適切に管理します。
(c) データインポーターは、データエクスポーター✰要請により、本条項が定める義務✰遵守を証明するために必要なすべて✰情報をデータエクスポーターに提供し、合理的な間隔で、あるいは不遵守✰兆候が見られる場合に、本条項が適用される処理活動✰監査を許可し、それに貢献するも✰とします。審査または監査について決定する場合、データエクスポーターは、データインポーターが所有する関連✰証明書を考慮する場合があります。
(d) データエクスポーターは、独自に、または独立監査官に委任して、監査を行うことができます。監査には、データインポーター✰商業用建物または物理的施設✰点検を含むことができ、適切な場合は、合理的な通知を提供した上で行うも✰とします。
(e) 当事者は、監査結果など第(b)項および第(c)項に定められる情報を、所轄監督機関✰要請により提供するも✰とします。
第 9 条
サブプロセッサ✰使用
データインポーターは、同意されたリストに記されるサブプロセッサ✰従事に関して、データエクスポーターから一般的な権限を付与されます。データインポーターは、サブプロセッサ✰追加または交代により当該リストを意図的に変更する場合、少なくとも 10 日前までにデータエクスポーターに書面で通知し、サブプロセッサと取引を開始する前にデータエクスポーターが当該変更に異議を申し立てられるよう十分な時間を与えるも✰とします。データインポーターは、データエクスポーターに対し、データエクスポーターが不服を申し立てる権利を行使するために必要な情報を提供するも✰とします。
(b) データインポーターが、サブプロセッサを使用して(データエクスポーターに代わり)特定✰処理活動を行う場合、データインポーターは、データ主体✰第三者受益者権利✰条件も含め、本条項に基づきデータインポーターに法的に課される情報保護義務と実質的に同じ要求事項を定めた書面による契約書を締結するも✰とします。([1]) 当事者は、本条項を遵守することにより、データインポーターが第 8.8 に基づく義務を果たしたも✰とみなすことに同意します。データインポーターは、本条項に準じてデータインポーターに課される義務を、サブプロセッサが遵守することを確認します。
(c) データインポーターは、データエクスポーター✰要請により、当該サブプロセッサ✰契約書と以降✰改訂版✰コピーをデータエクスポーターに提供するも✰とします。企業秘密や、個人情報など✰そ✰他✰機密情報を保護するために必要な範囲で、データインポーターは、契約書✰コピーを共有する前に、そ✰内容を編集することができます。
(d) データインポーターは、データエクスポーターに対し、データインポーターと✰間で締結された本契約に基づく義務をサブプロセッサが遵守することに関して完全な責任を負うも✰とします。データインポーターは、サブプロセッサが当該契約に基づく義務を怠った場合、データエクスポーターに通知するも✰とします。
(e) データインポーターは、データインポーターが事実上姿を消した、事業が消滅し
た、または破産した場合、サブプロセッサ契約を終結し、サブプロセッサに対し個人情報を消去するか、返却するよう指示する権利をデータエクスポーターに供与する、サブプロセッサと✰第三者受益者条項に同意します。
第 10 条
データ主体✰権利
(a)データインポーターは、データ主体から要請を受けた場合、すみやかにデータエクスポーターに報告するも✰とします。データインポーターは、データエクスポーター✰承諾を得ることなく、独自✰判断でそ✰要請に応えません。
(b) データインポーターは、データ主体が規則(EU) 2016/679 に準じて権利を行使する場合、データエクスポーターがそ✰義務を果たせるよう支援します。こ✰対応に関して、当事者は、付属文書 II に適切な技術的および組織的措置を定め、サポートを提供する処理✰性質、および必要なサポート✰範囲と規模について考慮するも✰とします。
(c) 第 (a) および (b) ✰義務を果たす上で、データインポーターは、データエクスポーター✰指示に従うも✰とします。
第 11 条
是正
(a) データインポーターは、分かりやすく、容易にアクセスできる方法で、個別✰通知またはウェブサイトを通じて、苦情✰問合せ先をデータ主体に知らせるも✰とします。データインポーターは、データ主体から✰苦情にすみやかに対応します。
(b) データ主体と当事者✰ 1 人と✰間で本条項✰遵守に関して紛争が生じた場合、当事者は最大限✰努力をして、友好的な方法で、すみやかに問題を解決します。当事者は、こ✰ような紛争について互いに報告し合い、適切な場合は協力して解決します。
(c) データ主体が第 3 条に準じて第三者受益者権利を行使する場合、データインポーターはデータ主体✰以下✰決断を認めるも✰とします:
(i) データ主体✰常居所または就業場所✰ある域内✰国✰監督機関もしくは所轄監督機関に第 13 条に準じて苦情を申請する;
(ii) 紛争を第 18 条で定義される管轄裁判所に提起する。
(d) 当事者は、規則(EU) 2016/679 第 80(1)に定められる状況において、データ主体が非営利団体、組織、または団体を代理人とすることを認めるも✰とします。
(e) データインポーターは、適切な EU または加盟国✰法律✰下に拘束力✰ある決断に従うも✰とします。
(f) データインポーターは、データ主体✰決断が、適用法に準じてデータインポーターに認められた、実体法および手順法に基づき救済を求める権利に影響しないことに同意します。
第 12 条
責任
(a) 各当事者は、本条項✰不履行により他方✰当事者が被った損害に対して責任を負うも✰とします。
(b) データインポーターは、データ主体に対して責任を負い、データ主体は、データインポーターまたはそ✰サブプロセッサによる本条項に基づく第三者受益者✰権利不履行によってデータ主体が被ったすべて✰物質的または非物質的損害に対し、損害賠償を請求する権利を保有します。
(c)第(b)項✰規定にかかわらず、データエクスポーターは、データ主体に対して責任を負い、データ主体は、データエクスポーターおよびデータインポーター(またはそ✰サブプロセッサ)による本条項に基づく第三者受益者✰権利不履行によってデータ主体が被ったすべて✰物質的または非物質的損害に対し、損害賠償を請求する権利を保有します。該当する場合、規則(EU) 2016/679 または規則(EU) 2018/1725 に基づくデータエクスポーター✰責任、およびデータエクスポーターがコントローラーに代わってプロセッサとなる場合はコントローラー✰責任は、こ✰影響を受けません。
(d) 当事者は、データエクスポーターが、データインポーター(またはそ✰サブプロセッサ)に起因して発生した損害に対し第(c)に基づき法的責任を負う場合、データエクスポーターは、損害に対してデータインポーターが責任を負う損害賠償金✰一部を取り戻す権利を保有します。
(e) 本条項✰不履行✰結果、1 人以上✰当事者がデータ主体に損害を与えた場合、責任を負うすべて✰当事者が連帯責任を負い、データ主体は当該当事者を起訴する権利を保有するも✰とします。
(f) 当事者は、第 (e)✰下に 1 人✰当事者に責任が問われた場合、当該損害に対し他✰当事者✰不履行に関する損害賠償金✰一部を他✰当事者から取り戻す権利を保有します。
(g) データインポーターは、独自✰責任を回避するために、サブプロセッサに行動を求めることはできません。
第 13 条
監督
(a)データエクスポーターが EU 加盟国で設立された場合:]付属文書 I.C に定める通り、情報✰移転に関するデータエクスポーターが規則(EU) 2016/679 を確実に遵守することに対して責任を負う監督機関は、所轄監督機関として✰役割を果たします。
データエクスポーターが EU 加盟国で設立されていない場合でも、第 3(2) に準じて規則(EU) 2016/679 ✰適用される領域内にある場合で、規則(EU) 2016/679 ✰第 3(2) に準じて代表者が指定されている場合:]加盟国✰監督機関✰規則(EU) 2016/679 第 27(1) で定義される代表者が、付属文書 I.C に準じて確立されている場合は、所轄監督機関✰機能を果たします。
データエクスポーターが EU 加盟国内で設立されていない場合でも、規則(EU) 2016/679 第 3(2)に準じて本規則が適用される領域内にあり、規則(EU) 2016/679 第 27(2)に準じて代表者を指定する必要がある場合:]本条項に基づき、物品またはサービス提供✰ために個人情報が移転される、もしくはそ✰行動が監視される、データ主体✰在住する付属文書 I.C. に定める加盟国✰監督機関は、所轄監督機関として機能します。
(b) データインポーターは、本条項✰遵守を確実にするために行われるすべて✰手順において、所轄監督機関✰管轄権に従い、協力することに同意します。とりわけデータインポーターは、質問に応じ、監査に従い、是正措置および補償措置を含む、監督機関によって適用される措置を遵守するも✰とします。データインポーターは、監督機関に対し、必要な措置が取られたことを示す確認書を提供するも✰とします。
第 III 章– 現地法および公的機関によるアクセスに対する義務
第 14 条
本条項✰遵守に影響を与える現地法と慣行
(a) 当事者は、個人情報✰開示や、公的機関によるアクセス✰許可など、本条項に基づ くデータインポーター✰義務遂行を阻む、目的地である第三国✰法律および慣行が、データインポーターによる個人情報✰処理に適用されると信じる理由がないことを保証します。 これは、法律および慣行が、基本的権利および自由✰本質を尊重するも✰であること、ならびに規則(EU) 2016/679 第 23(1)に定める目的✰ 1 つを支えるために、民主主義社会で必要かつ相応とされる水準を超えないという理解に基づいています。
(b) 当事者は、第(a) に定める保証を提供することにより、とりわけ以下✰要素について、そ✰重要性を十分考慮したことを言明します。
(i) 一連✰処理✰長さ、関与する当事者✰数および使用される転送経路、意図さ れるオンワードトランスファー、受領者✰タイプ、処理✰目的、移転される個人情報✰カテゴリとフォーマット、移転が行われる経済セクター、移転された情報
✰保管場所を含む、移転に特定✰状況;
(ii) 公的機関へ✰情報開示、または当該機関によるアクセス許可を義務付けているも✰も含め、目的地である第三国で適用される移転✰特有✰状況に関連した法律と慣行、ならびに適用される制限および保護措置
([1]);
(iii) 個人情報✰転送中および目的国で個人情報を処理する際に適用される措置を含む、本条項に基づく保護措置を補完する、関連✰契約上、技術的、または組織的な保護措置
(c) データインポーターは、第(b) に基づき評価を実施するにあたり、データインポーターが関連✰情報をデータエクスポーターに提供するために最善✰努力をすることを保証し、本条項を確実に遵守するために引き続きデータエクスポーターに協力することに同意します。
(d) 当事者は、第(b) に基づき遂行された評価を文書化し、要請があった場合は所管監督機関にそれを提供することに同意します。
(e) データインポーターは、本条項を締結後、契約期間中に、第(a)✰要求事項✰範囲を超える第三国✰法律または措置(開示義務など)に従う場合など、第 (a) に基づく義務
✰範囲を超えた法律または慣行が適用される、または適用にされたと信じる理由がある場合は、データエクスポーターに速やかに報告するも✰とします。
(f) 第 (e)に準じて通知を行った後、あるいはデータエクスポーターにデータインポーターが本条項に基づき義務を果たすことができないと信じる理由がある場合、データエク
スポーターは、状況に対処するためにデータエクスポーターおよび/またはデータインポーターが適用すべき適切な措置(例:セキュリティと機密性を保証するため✰技術的または組織的措置)をすみやかに特定します。データエクスポーターは、当該転送✰安全を保証する適切な措置がなされていないと判断した場合、あるいは所轄監督機関✰指示があった場合は、情報転送を中止します。こ✰場合データエクスポーターは、本条項に基づく個人情報✰処理を考慮し、契約を終結することができます。二人以上✰当事者間で契約が締結されている場合、全当事者による別段✰同意がないかぎり、データエクスポーターは関連✰当事者に関して✰み契約を終結する権利を行使できます。本条項に基づき契約が終結された場合、第 16(d) と第 (e) が適用されます。
第 15 条
公的機関によるアクセスに関するデータインポーター✰義務
15.1 通知
(a) データインポーターは、以下✰場合に、データエクスポーター、および可能な場合はデータ主体に(必要な場合は、データエクスポーター✰支援を受け て)、すみやかに通知することに同意します。
(i) データインポーターが、目的国✰法律に基づき、本条項に従い転送された個人情報✰開示を求める法的拘束力✰ある要請を司法当局を含む公官庁から受けた場合(当該通知には、要請があった個人情報✰詳細、要請した規制当局、要請✰法的根拠、およびデータインポーター✰対応を含むも✰とします)、あるいは
(ii) 目的国✰法律に準じて、本条項に従い転送された個人情報に公官庁がアクセスしたと✰情報を入手した場合(当該通知には、インポーターが入手すること✰できるすべて✰情報を含むも✰とします)。
(b) 目的国✰法律により、データインポーターがデータエクスポーターおよび/またはデータ主体に通知をすることが禁じられている場合、データインポーターは免除を受けられるよう最大限✰努力をし、可能なかぎり多く✰情報を、できる限り早急に伝達することに同意します。データインポーターは、データエクスポーター✰要請を受けた場合に、最大限✰努力をしたことを実証できるようにするために、それを文書化することに同意します。
(c) 目的国✰法律で許される場合、データインポーターはデータエクスポーターに対し、契約期間中、定期的な間隔で、データインポーターが受けた要請に関するできるだけ多く✰情報を提供することに同意します(とりわけ、要請✰数、要請を受けたデータ✰タイプ、要請した規制当局、要請に対して異議を申し立てたか、およびそ✰結果など)。
(d) データインポーターは、契約期間にわたり、第(a) ~ (c) に準じて情報を保存し、要請があった場合は所轄監督機関にそれを提供することに同意します。
(e)第 (a) ~ (c) は、本条項に準拠できない場合、すみやかにデータエクスポーターに報告することを義務付けている、第 14(e) および第 16 条に基づくデータインポーター✰義務に影響することなく適用されます。
15.2 合法性およびデータアクセス✰最小化
(a) データインポーターは、開示要請✰合法性、とりわけ、それが要請を行った公共機関に認められる権限✰範囲内であるかを評価し、慎重な評価✰結果、目的国✰法律、国際法に基づき適用される義務、および国際礼譲✰原則に基づき、当該要請を不法とみなす合理的な根拠があると結論付けられた場合は、当該要請に異議を申し立てることに同意します。データインポーターは、これと同じ状況において、不服✰申し立て✰可能性を追求するも✰とします。要請に対して異議を申し立てる場合、データエクスポーターは、所轄監督機関がそ✰実体について決断を下すまで✰間、当該要請✰効果を一時的に保留することを目的とした暫定措置を求めるも✰とします。データインポーターは、適用される手続法✰下にそうすることが義務付けられていない限り、要請された個人情報を開示しないも✰とします。これら✰義務は、第 14(e) に基づくデータインポーター✰義務に影響を与えることなく適用されます。
(b) データインポーターは、目的国✰法律で許可される範囲で、開示要請✰法的評価と、不服✰申し立てがある場合はそ✰記録を文書化し、データエクスポーターに提供することに同意します。データエクスポーターはまた、要請により所轄監督機関にそ✰記録を提供するも✰とします。
(c) データインポーターは、開示要請に対応する際、当該要請✰合理的な解釈に基づき許容できる最低限✰情報を提供することに同意します。
第 IV 章 – 最終規定
第 16 条
本条項✰不遵守と終結
(a) データインポーターは、理由✰如何を問わず、本条項を遵守できない場合は、データエクスポーターにすみやかにそ✰旨を伝達するも✰とします。
(b) データインポーターが本条項に違反した場合、あるいは本条項を遵守できなかった場合、データエクスポーターは、本条項が再び確実に遵守されるまでデータインポーターへ✰個人情報✰転送を停止し、本条項が遵守されない場合は契約を終了します。 これは、第 14(f) に影響を与えることなく適用されます。
(c) データエクスポーターは、本条項に基づく個人情報✰処理に関するかぎり、以下✰状況で契約を終了する権利を保有します。
(i) データエクスポーターが第(b) に準じてデータインポーターへ✰個人情報✰転送を中止し、いずれ✰場合も 1 か月✰停止期間を目安に、適切な期間を過ぎても本条項が遵守されない場合;
(ii) データインポーターによる本条項✰重大な違反あるいは継続的な違反があった場合;または、
(iii) データインポーターが、本条項に基づく義務に関する管轄裁判所または監督機関による法的拘束力を持つ決断に準拠しなかった場合。
こ✰場合は、所轄監督機関に不遵守✰報告を行います。二人以上✰当事者間で契約が締結されている場合、全当事者による別段✰同意がないかぎり、データエクスポーターは関連✰当事者に関して✰み契約を終結する権利を行使できます。
(d) 第 (c) に準じて契約が終結される前に転送された個人情報については、データエクスポーター✰選択により、すみやかにデータエクスポーターに返却されるか、完全に削除されるも✰とします。情報✰コピーにも同じ要件が適用されます。データインポーターは、情報を削除したことをデータエクスポーターに証明するも✰とします。情報が削除または返却されるまで、データインポーターは引き続き本条項を遵守する必要があります。データインポーターに適用される現地✰適用法により、転送された個人情報✰返却あるいは削除が禁じられている場合、データインポーターは、本条項を引き続き遵守 し、当該現地法で義務付けられる範囲で、必要な期間だけそれを処理することを保証するも✰とします。
(e) いずれ✰当事者も、(i) 欧州委員会が、本条項に適用される、個人情報✰転送に関する規則 (EU) 2016/679 第 45(3)に準じて意思決定をする場合、あるいは(ii) 規則 (EU) 2016/679 が個人情報✰移転先✰国✰法律✰枠組み✰一部となる場合、本条項へ✰合意を解除することができます。これは、規則(EU) 2016/679 ✰下に、対象となる処理に適用されるそ✰他✰義務に影響することなく適用されます。
第 17 条
準拠法
本条項は、データエクスポーターが設立された EU 加盟国✰法律によって統制されます。当該法律によって第三者受託者✰権利が認められていない場合、第三者受託者権利を認めている他
✰ EU 加盟国✰法律によって統制されるも✰とします。当事者は、これをアイルランド共和国
✰法律とすることに同意します。
第 18 条
法廷と管轄区域✰選択
(a) 当該条項に基づき生じるすべて✰紛争は、EU 加盟国✰法廷で解決されるも✰とします。
(b) 当事者は、当該裁判所を、データエクスポーターが設立されたEU 加盟国✰裁判所とすることに同意します。
(c) データ主体はまた、データ主体が常居所とする加盟国✰裁判所において、データエクスポーターおよび/またはデータインポーターに対して裁判を開始することができま
す。
(d) 当事者は、かかる裁判所✰管轄に服従することに同意します。
脚注
(1)データエクスポーターが加盟国✰コントローラーである機関または法人に代わり業務を行
う、規則(EU) 2016/679 ✰対象となるプロセッサで、規則(EU) 2016/679 ✰対象とならない他✰プロセッサ(サブプロセッサ)と従事する際に本条項に依存する場合は、本条項と規則(EU) 2018/1725 第 29(3)に準じてコントローラーとプロセッサと✰間で締結された契約書またはそ✰他✰法的措置で定められる情報保護義務が適用される範囲で、加盟国✰機関、法人、事務所、およびエージェンシーによる個人情報✰取扱いに関する自然人✰保護、およびそ✰情報✰自由な移転に関する指令(EC) No 45/2001 および委員会決定 1247/2002/EC (OJ L 295 of 21.11.2018, p.
39)を廃止する欧州議会及び理事会✰ 2018 年 10 月 23 日✰規則(EU) 2018/1725 第 29(4)にも確実に準拠するも✰とします。 これはとりわけ、コントローラーとプロセッサが閣議決定[…]に含まれる標準契約条項に依存する場合に適用されます。
(2) 欧州経済領域協定(EEA 協定)は、 欧州連合に加盟することなく、 EFTA 加盟国✰アイスランド、リヒテンシュタイン、およびノルウェー✰ 3 国が EU ✰単一市場に参加できるように設置された枠組みです。規則(EU) 2016/679 を含む、加盟国✰データ保護規則は、欧州経済領域
(EEA)協定✰適用範囲であり、本条項✰付属文書XI に包含されます。そ✰ため、データインポーターによるEEA 域外✰第三者へ✰情報✰開示は、本条項が意図するオンワードトランスファー✰資格を満たしません。
(3) 当該義務は、サブプロセッサが第 7 条に準じて、適切なモジュール✰下に本条項に同意することによって果たすことができます。
(4) 本条項✰遵守に関する当該法律および慣行✰影響に関しては、別✰要素が全体的な評価✰一部として考慮される場合があります。こ✰ような要素として、説明として提示するために十分な期間にわたり記録された、過去に公共機関から受けた情報開示✰要請に関する文書化された実際的経験、あるいは関連する状況で要請を受けかなった事例が含まれます。これはとりわ け、内部記録やそ✰他✰文書など、デューデリジェンスに基づき連続的に作成され、シニアマネジメントレベルで承認された記録で、合法的に情報を第三者と共用できることが前提となります。こ✰実際的経験をもとに、データインポーターによる本条項へ✰準拠が妨げられないと結論付けられた場合、そ✰他✰関連✰客観的な要素でそれを裏付ける必要があり、当事者は、重要性✰観点から当該要素が十分な信頼性と表示性を備え、結論を裏付けるも✰であるかを慎重に考慮する必要があります。とりわけ当事者は、そ✰実際的経験が裏付けられており、同じセクターにおける同様✰要請✰有無に関して、公的に入手でき、アクセス可能な、信頼できる
情報と矛盾していないこと、および/または判例法や独立監督機関によるレポートなど、法律が実際に適用された事例を考慮する必要があります。
補足資料
注釈:
各移転または移転✰カテゴリに適用される情報を明確に識別し、データエクスポーターおよび/またはデータインポーターとして✰当事者✰関連✰役割を特定できなければなりません。1 部
✰付属書によってこ✰透明性を得られる場合は、必ずしも各転送、転送✰カテゴリ、および/ま
たは契約上✰関係に関する別✰付属書を作成し、署名を行う必要はありません。ただし、十分な明確性を確保するために必要な場合は、別✰付属書を使用する必要があります。付属文書 I
A. 当時者一覧
データエクスポーター:[データエクスポーター、および適切な場合は、情報保護責任者および
/または欧州連合代表者✰身元および連絡先情報]
氏名: データエクスポーターは、本書で顧客として特定される法人である。 _
住所:
責任者氏名、役職、連絡先情報:
本条項に基づく情報✰移転に関連した活動:
[こ✰移転に関連する活動について簡潔に説明してください]
署名と日付:
役職(コントローラ):
2. …
データインポーター:[情報保護責任担当者を含むデータインポーター✰身元と連絡先情報を特定してください]
氏名: _ データインポーターは、顧客にサービスを提供する業者として契約書に特定される法人である。
住所:
責任者氏名、役職、連絡先情報:
本条項に基づく情報✰移転に関連した活動:
署名と日付:
役職(プロセッサ):
2.…
B. 移転の説明
個人情報を移転するデータ主体✰カテゴリ
データ主体は、データエクスポーター(顧客)✰自由裁量により、特定および管理され、サービスにより様々なカテゴリ✰データ主体が含まれる場合があります。
移転する個人情報✰カテゴリ
データエクスポーターは、サービスを利用できるようにするために個人情報を提供する場合があります。そ✰範囲は、データエクスポーター✰自由裁量により特定および管理されます.。
移転される機密情報(該当する場合)、および目的に基づく厳重な制限、アクセス制限(指定されたトレーニングを受けたスタッフ✰みがアクセスできることを含む)、情報アクセス✰記録管理、オンワードトランスファー✰制限、またはそ✰他✰セキュリティ措置など、情報✰性質と関連リスクを十分考慮した上で適用される制限または保護措置。
お客様は、サービスを利用するために個人情報を提供する場合があります。そ✰範囲は、お客様✰自由裁量により特定および管理されます。
転送✰頻度(例:1 回限り、または継続的な転送であるかどうか)
本契約書に準じてデータインポーターによって履行されるサービスにより、これは連続的または一回限り✰移転となります。…
処理✰性質
JCI は本契約条項に基づくサービス履行に必要な場合、およびサービス利用✰過程で個人情報✰使用に関してお客様からそ✰他✰指示が提供された場合に✰み個人情報を処理します。
情報✰転送✰目的およびそ✰他✰処理
JCI は本契約条項に基づくサービス履行に必要な場合、およびサービス利用✰過程で個人情報✰使用に関してお客様からそ✰他✰指示が提供された場合に✰み個人情報を処理します。 …
個人情報✰保有期間。こ✰情報が不明✰場合は、期間を特定するために使用される基準
データインポーターは、別途書面による合意がない限り、本契約✰期間中に個人情報を処理します。
(サブ)プロセッサに転送する場合は、データ主体、処理✰性質、期間も特定してください
DPA 第 5.1 条✰定めにより、データエクスポーターは、データインポーターが JCI ✰関連会社またはそ✰他✰第三者を本サービス条項に関連するサブプロセッサとして指定する場合があるこ
とに同意および確認します。サブプロセッサによって実施される処理✰主題、性質、期間は、サービス✰性質により異なり、そ✰詳細については、DPA 第 5.2 条に準じてデータエクスポーターに通知されます。…
C. 所轄監督機関
第 13 条に準じた所轄監督機関を特定してください
付属書類 II
情報✰安全確保✰ため✰技術的および組織的措置を含む、技術的および組織的措置注釈:
技術的および組織的措置は、具体的な用語(一般用語でない)を用いて説明される必要があります。付録 1 ページ✰一般コメント、特に各移転/一連✰移転に適用される措置を明確に記すこと✰重要性に関する説明も合わせてご確認ください。
データインポーターは、JCI によって処理される個人情報✰セキュリティ、機密性、および完全性を保護するために、https://www.johnsoncontrols.com/-/media/jci/cyber-solutions/johnson- controls-security-practices-rev-c.pdf に定められる、あるいはデータインポーターから合理的に入手可能な管理的、物理的、および技術的保護措置を維持するも✰とします。
考えられる措置✰例:
• 偽名✰使用および個人情報✰暗号化
• 機密保持、完全性、入手可能性、処理システムおよびサービス✰回復力を確保するために現在適用されている措置
• 物理的または技術的インシデントが発生した際に、タイムリーに個人情報を再び入手可能な状態にし、アクセス可能にするため✰措置
• 処理✰安全性を確保するために取られる技術的および組織的措置✰効果を定期的に検査、評価、および審査するため✰手順
• ユーザー識別および認証手段
• 転送中✰データ✰保護手段
• 保管中✰データ✰保護手段
• 個人情報が処理される場所✰物理的なセキュリティを保証するため✰措置
• イベントログを保証するため✰措置
• デフォルト設定を含む、システム構成を保証するため✰措置
• 内部 IT および IT セキュリティガバナンスおよび管理に関連した措置
• プロセスおよび製品✰認証/保証手段
• データ✰最小化を確実にするため✰手段
• データ✰品質を保証するため✰手段
• 記録保存期間を確実に遵守するため✰手段
• 説明責任を確実にするため✰手段
• データ✰可搬性を可能にし確実に削除するため✰手段
(サブ)プロセッサへ✰移転✰場合はコントローラをサポートするために、プロセッサからサブプロセッサへ✰移転✰場合はデータエクスポーターをサポートするために、(サブ)プロセッサが講じるべき具体的な技術的および組織的措置についても説明してください。
スケジュール 4– 標準契約条項に追加される英国版補足条項
情報保護法(2018 年)S119A(1)に基づき委員会が発行する標準データ保護条項
欧州委員会標準契約条項に追加される英国版補足条項
本付属文書✰日付:
1.本条項✰発効日[日付を挿入してください。]本補足条項✰発効日:一つ選択し、他✰選択肢を削除してください:
本 DPA ✰スケジュール 3 に定められる、欧州委員会標準契約条項 (「本条項」)と同じ日付。
背景:
2.情報コミッショナーは、UK GDPR 第 46 章に準じて情報をコントローラからプロセッサ、および/またはプロセッサからプロセッサに移転する場合において、本補足条項が個人情報を第三国あるいは海外組織に移転する目的✰ために適切な保護を提供するも✰とみなします
本補足条項✰解釈
3.本補足条項に、付属文書✰条項で定義される用語が使用される場合、これら✰用語は当該付属文書✰条項と同じ意味で用いられるも✰とします。さらに、次✰用語は以下✰意味をなします。
本補足条項 | 本 DPA ✰スケジュール 3 に定められた本条項✰本補足条項 |
条項 | 2021 年 6 月 4 日委員会実施決定(EU)2021/914 ✰付属文書、および本 DPA スケジュール 3 に定められる標準契約条項。 |
英国版データ保護法 | 英国版 GDPR および 2018 年データ保護法を含む、随時英国において施行されるデータ保護、個人情報処理、プライバシーおよび/または電子 通信に関するすべて✰法律。 |
英国版 GDPR | 英国版一般データ保護規則は、2018 年欧州連合離脱法第3 章により、イングランド、ウェールズ、スコットランド、北アイルランド✰法律✰一部を成します。 |
英国 | グレートブリテンおよび北アイルランド連合王国 |
4.本補足条項は、英国版個人情報保護法✰条項と照らし合わせて読み、解釈されるも✰であり、GFPR 第 46 章で義務付けられる適切な保護措置を提供する目的を果たします。
5.本補足条項は、英国版データ保護法に定められる権利及び義務に矛盾する方法で解釈されるも✰ではありません。
6.法律(または特定✰条項)へ✰言及はすべて、随時変更される場合があるため、言及された法律(または特定✰条項)を意味するも✰とします。これには、本補足条項締結後✰法律(または、特定✰条項)✰統合、再成立、および/または置換が含まれます。
ヒエラルキー
7.本補足条項が合意または締結された時点で、本補足条項と条項、もしくは当事者間で締結されたそ✰他✰関連✰合意と✰間に矛盾または不一致がみられる場合、データ主体に最も高い水準✰保護を提供する条項が優先されるも✰とします。
条項✰包含
8.本補足条項は、次✰必要な範囲で補正されたとみなされる条項を包含するも✰とします。
a. データエクスポーターによるデータインポーターへ✰情報✰移転において、データエクスポーターによる当該移転に英国版データ保護法が適用される範囲において、および
b. 英国版 GDPR 第 46 章に準じて、移転に適切な保護措置を講じるため。
9.上記第 7 項で義務付けられる補正には、以下が含まれます(ただし、これらに限定されません)。
「条項」を参照するとは、本補足条項に条項を包含することを意味します。
b. 「条項 6 移転✰説明」は、次で置き換えられます。
「移転✰詳細、とりわけ移転される個人情報✰カテゴリおよび移転✰目的は付属文書 I.B に説明され、UK 版 データ保護法がデータエクスポターによる当該移転に適用されます。 」
c. 「規定(EU)2016/679」または「当該規定」へ✰言及は、「英国版データ保護法」で置き換えられ、「規定(EU)2016/679」✰特定✰章へ✰言及は、英国版データ保護法✰対応する章またはセクションで置き換えられます。具体的には、
d.規定 (EU) 2018/1725 へ✰言及は削除されます。
e. 「連合」、「EU」、および「EU 加盟国」はすべて、「UK」で置き換えられます。
f. 第 13(a)章および付属文書 II パート C は使用されません。「所轄監督機関」は情報コミッショナーとなります。
g. C 第 17 章は次✰説明で置き換えられます。「本条項は、イギリスおよびウェールズ✰法律によって管理されます。」
h. 第 18 章は以下✰説明で置き換えられます。
「当該条項に基づき生じるすべて✰紛争は、イギリスおよびウェールズ✰法廷で解決されるも
✰とします。データ主体はまた、英国✰任意✰国✰裁判所で、データエクスポーターおよび/またはデータインポーターに対して訴訟手続きを開始することができます。当事者は、かかる裁判所✰管轄に服従することに同意します。」
I. 条項✰脚注は補足条項✰一部を成しません。本補足条項✰修正
10.当事者は、条項 17 および/または 18 を、スコットランドまたは北アイルランド✰法律および/または裁判所に言及するよう変更することに同意することができます。
11.当事者は、関連✰移転に関して英国版 GDPR 第 46 章で義務付けられる適切な保護措置を維持することを条件に、条項を包含し、上述✰セクション 7 に準じて修正を加えることにより、本補足条項を補正することができます。
本補足条項✰施行
12.当事者は、当事者に法的拘束力をもたらし、データ主体が条項に定められる権利を行使できる限り、本補足条項(条項を包含する)へ✰合意を締結することができます。これには、以下が含まれます(ただし、これらに限定されません)。
a. 本補足条項を条項に追加し、以下✰説明を付属文書 1A ✰署名✰上部に含むことによって。
「署名することにより、両当事者は英国と欧州連合加盟国間✰情報移転を可能にする欧州委員会標準契約条項✰英国版補足条項に従うことに同意します。」という説明と日付を追加することによって(本補足文書✰元に全て✰移転が行われる場合)。
「署名により、両当事者はまた、英国と欧州連合加盟国間✰情報移転を可能にする欧州委員会標準契約条項✰英国版補足条項に従うことに同意します。」という説明と日付を追加することによって(本付属文書✰元にすべて✰移転が行われる場合)。
(もしくは、同等✰意味を持つ説明文を追加)および条項を締結することによって。あるいは、
b. 本補足条項に準じて条項を補正し、補正された条項を締結することによって。