EU一般データ保護規則(GDPR)等に関する取扱い
別紙
EU一般データ保護規則(GDPR)等に関する取扱い
1. 目的
本委託契約(以下総称してまたは個別に指して「本契約」という)の遂行に関連して、受託者に提供し、または受託者に取扱いを委託する、委託者が保有(受託者が委託者に代わって行う委託業務の過程で収集したものを含む)または管理する個人データ(以下「委託者個人データ」という)の処理および管理について定める。
2. データ保護法令の遵守
(a) 両当事者は、個人データの処理に関し、自己の立場に適用されるデータの保護に関する法令(以下
「データ保護法令」という)を遵守する。データ保護法令は、本契約に基づく個人データの処理に適用される、個人データおよびプライバシーの保護に関する全ての法令を指し、EU 一般データ保護規則
(GDPR)、英国一般データ保護規則(英国 GDPR)を含む欧州のデータ保護法令およびその他の地域(シンガポール、米国・カリフォルニア州を含むがこれらに限られない)のデータ保護法令を含 む。また、委託者及び受託者は、いかなる場合においても、データ保護法令に違反する行為を行う義務を負わないことを確認する。
(b) 受託者は、法令により別途求められる場合を除き、処理方法に関する委託者からの文書化された指示に従ってのみ、委託者個人データを処理する。
(c) 両当事者は、委託者個人データにつき、委託者が「管理者(Controller)」であり、受託者が「処理者 (Processor)」となることを確認する。
処理対象データ | 本契約に基づき委託者の委託を受けて取得した外国の関係団体、国、地方自治体、大学、関連イベント及びそれらに関する担当者の個人データ、参加者等に係る 個人データ |
処理する期間および目的 | 本契約に記載されている期間において、本契約に基づ く委託業務の目的を達成するために使用 |
個人データの種類および個人データの主体の類型 | 本契約に基づく委託業務の対象となる外国の関係団 体、国、地方自治体、大学、関連イベント及びそれらに関する担当者の個人データ、参加者等に係る個人データについて以下のもの:氏名、部署名、役職名、メ ールアドレス、住所、電話番号、SNS アカウント名等 |
(d) 本契約に基づく委託業務における処理の対象データ、期間および目的、ならびに、個人データの種類および個人データの主体の類型は、以下のとおりであることを確認する。
3. セキュリティ
(a) 受託者は、不正利用もしくは偶発的な喪失または破壊から委託者個人データを保護するため、委託者の定める、本契約仕様書別紙5「個人情報に関する特記事項」を遵守するものとする。委託者は、受託者が本契約仕様書別紙5「個人情報に関する特記事項」を遵守する限り、受託者による委託者個人データの取扱いが、適切なセキュリティ水準を満たすことを確認する。
(b) 委託者個人データを処理することが許可された全ての受託者要員(再委託先を含む)は、秘密保持義務を負う。
4. 受託者の責任
(a) 受託者は、本契約に基づく委託者からの委託による業務(以下「本業務」という)の履行の一環として、データ保護法令に基づく権利の行使にかかるデータ主体からの要請について、委託者の指示する方法に従い、委託者に代わって対応作業を行う。
(b) 受託者は、前項の記載以外の、データ保護法令に基づく委託者の義務が生じた場合、委託者からの合理的な要請に従い、委託者による義務の履行を合理的に支援する。
(c) 受託者は、本条で定める義務の遵守状況を示すために、委託者が合理的に要請した情報を提供し、また、本業務の妨害を回避し、受託者およびその顧客の秘密情報を保護するように両当事者で合意した方法に従い、委託者(またはその委託する第三者)による監査および調査に従う。本項について、受託者は、委託者の指示がデータ保護法令に違反すると考える場合、委託者にその旨通知する。
(d) 受託者は、別途法令により求められる場合を除き、本契約の終了時(引き続き受託者が本契約と同一趣旨・目的の次年度事業に採択された場合は、次年度事業の契約の終了時)において、委託者個人データを返還または廃棄する。受託者は、別途合意されない限り、合理的および現実的に可能な限り速やかに、かつ、最大 180 日以内に委託者の削除指示に従う。また、受託者は、「破棄証明書」の交付を以て委託者に対し廃棄の事実を証するものとする。
(e) 委託者が権限の有する監督機関に対し(受託者が実施する本業務の詳細を含む)情報を提供しなければならない場合に、受託者またはその復処理者が当該情報を単独で保有する限りにおいて、委託者の合理的な要請に従い、委託者を支援する。
(f) 受託者は、本業務の性質および受託者に入手可能な情報を考慮の上、委託者の合理的な要請に従い、データ保護法令に基づく個人データの処理に関するプライバシー、データ保護の影響評価を実施する委託者の義務の履行を支援する。委託者は、データ保護法令上,個人データの処理に関するプライバシー、データ保護の影響評価を行う義務の存在を認識した場合には,遅滞なく受託者と協議する。
(g) 委託者は、本契約で定める受託者の関連事業体および第三者を、本業務の一部を提供するために委託者個人データにアクセスし、利用する「復処理者」として起用することにつき承諾する。受託者は、本覚書に基づきデータの保護に関して自らが遵守すべき義務と同等の義務を復処理者に課すものとする。受託者は、復処理者による業務の履行につき責任を負う。受託者は、委託者に対し、復処理者を起用し,追加し,又は交代する場合には,通知する。委託者が異議を述べた場合,受託者は,当該副処理者の起用,追加または交代を行うことができない。
(h) 受託者は、委託者の明示的な事前の承諾がない限り、欧州経済地域(EEA)の加盟国および英国(以下「EEA 等」という)に由来する委託者個人データ(以下「EEA 等個人データ」という)を処理し、
また EEA 等(適切なデータ保護を提供すると欧州委員会または英国が指定する国、地域、組織を含 む)外へと移転しないものとする。EEA 等個人データがEEA 内および英国から欧州委員会または英国により個人データの保護水準が十分と認められない国へ移転される場合、受領当事者が処理者にかかる拘束的企業準則(Binding Corporate Rules)などの個人データの保護の水準が十分であると権限の有する監督機関や裁判所が認めた適切な枠組みの適用を受けていなければ、EU モデル条項(または GDPR に従い欧州委員会により採択または承認されたその他のデータ保護に関する標準条項,英国 GDPR においてこれらに相当するものを含む)または EEA 等外移転についての同意に基づき委託者個人データの適切な保護を確保する。EU モデル条項に準拠する場合、データ発信者に当たる委託者は、データ受信者に当たる受託者の事業体または第三者との間で、EU モデル条項を締結し、または、関連する委託者事業体に EU モデル条項を締結させる。GDPR で想定されるとおり、受託者が拘束的企業準則、承認された行動規範または認証措置など他の移転措置に依拠することを選択する場合、委託者は当該措置の利用につき、合理的な理由がない限り、合意するものとする。なお、「EU モデル条項」とは、EU 指令 95/46/EC の第 25 条および第 26 条(2018 年 5 月 28 日以降は GDPR 第 46 条)に定める、個人データの保護が十分と認められていない EU 外の国で設立された処理者への個人データの移転に関する標準契約条項をいう。
受託者は,前項の EEA 等外移転をデータ主体の同意によって行う場合,当該同意を委託者に指定された条件に従って取得する。
5. 情報セキュリティインシデント
受託者は、受託者が取り扱う暗号化されていない委託者個人データの偶発的もしくは不法な破壊、喪失、改ざん、または、不正な取得、開示、使用もしくはアクセスを招くセキュリティ侵害(以下「情報セキュ リティインシデント」という)を検知し、これに対応のための手順を維持する。情報セキュリティインシ デントが発生した場合、受託者は委託者に遅滞なくその旨通知する。受託者は、委託者と協力して情報セ キュリティインシデントを調査し、本業務の性質および受託者に入手可能な情報を考慮の上、データ保護 法令に基づく委託者の違反通知の義務の履行を合理的に支援する。
6. 疑義についての協議
本取扱いで規定する事項について疑義等が生じたとき、または、本契約に関連する仕様書等に定めのない事項については、両当事者で協議する。