PIX4D データ処理契約
PIX4D データ処理契約
最終更新日:2021 年 10 月
本データ処理契約およびその付属書(以下、総称して「DPA」といいます)は、お客様と Pix4D(Pix4D とお客様、それぞれを「当事者」といい、総称して「両当事者」といいます)の間の契約であり、エンドユーザ使用許諾契約(以下「EULA」といいます)に関連して、お客様に代わって Pix4D がお客様の個人データを処理することについて規定しています。本 DPA は、EULA に盛り込まれており、EULA の不可欠な一部とします。
Pix4D は、本DPA を随時更新することがあります。弊社ウェブサイト pix4d.com/legal
で公開されているバージョンが最新版となります。
本DPA で定義されていない、大文字で記載されている全ての用語は、EULA に記載されている意味を持つものとします。誤解を避けるために記しますと、本 EULA に対する全ての参照文献には、本 DPA(別紙および本契約で定義される EU SCC を含みます)、および適用可能な範囲で、Pix4D のお客様向け一般利用規約(以下「一般利用規約」といいます)、および特定の提供品の使用に関連して適用される可能性のある別紙の追加条項(以下「追加条項」といいます)が含まれるものとします。
目次
説明条項
A. 両当事者は、一般利用規約および追加条項に基づいて本 EULA を締結しています。
B. EULA の履行に関連して、Pix4D および/またはその関連会社は、お客様(またはお客様の指示)または認定ユーザーが EULA に基づいてライセンス提供品を介して開示またはその他の方法で利用可能にしたお客様の個人データにアクセスする場合があります。
C. Pix4D がお客様の処理者としてお客様の当該個人データを処理する限りにおいて、両当事者は、当該処理が適用されるデータ保護法に準拠していることを希望し、本 DPA に定める当該処理に適用される一定の条件に合意するものとします。
したがって、両当事者はここに次のとおり合意します。
1. 契約の始期と存続期間
1.1. 契約の始期。本DPA は、規約発効日(以下で定義するとおり)から有効となり、以前に適用されていたデータ処理契約に取って代わります。
1.2. 存続期間。本EULA が終了または失効したかどうかにかかわらず、本DPA(該当する P-C 条項を含みます)は、Pix4D が本DPA に記載されているとおりに全てのお客様のデータを削除するまで有効であり、その時点で自動的に失効するものとします。
2. データ保護法の適用範囲
2.1. データ保護法の適用。両当事者は、Pix4D によるお客様の個人データの処理に対し、欧州データ保護法、および、場合によっては欧州データ保護法以外の法令が適用されることを承諾するものとします。
2.2. 本DPA の規定の適用。本DPA は、特に欧州データ保護法を目的として作成されていますが、可能な限り、欧州データ保護法以外の法令の要件、特に第 17.条に記載されている CCPA の要件も、適用される範囲内で考慮しています。本 DPA に別段の定めがない限り、本 DPA の規定は、お客様の個人データの処理に欧州データ保護法または欧州データ保護法以外の法令のいずれが適用されるかにかかわらず、適用されるものとします。
3. データの処理と両当事者の役割
3.1. 両当事者の役割。欧州データ保護法が適用される範囲において、両当事者は、
(i) お客様がアカウントを管理する(特に、誰が、どの程度まで組織にアクセスできるかを決定する)ライセンス提供品の認定ユーザー、および/または、(ii) EULA に基づいてライセンス提供品を介して Pix4D に開示またはその他の方法で提供されたコンテンツに表示されるその他の第三者に関する、EULA の履行に伴うお客様の個人データの処理について、お客様が管理者であり、Pix4D がお客様のために行動する処理者であることを確認して、同意するものとします
3.2. Pix4D による、さらなる処理.上記第 3.1.条にかかわらず、お客様は、以下の場
合に、Pix4D が処理者としての役割を超えて、すなわち自らの目的のために、
管理者として個人データを処理することに同意するものとします。
(a) 利用状況データを含む、ライセンス提供品の認定ユーザーの個人データについては、ライセンス提供品の運営(例えば、請求目的のため)および EULA の履行またはその権利の行使に必要な場合に限ります。具体的に、利用状況データについては、(a) 特定の個人に関連しない統計、分析およびその他の目的のために使用され、かつ (b) 第三者(守秘義務を負うPix4Dのサービスプロバイダーを除く)に提供される情報がある場合には、これらが (i) 認定ユーザーの特定可能な個人データを含まず、(ii) お客様に関する特定可能な個人データを含まない場合に限ります。(a) および (b) が該当しない場合、弊社は、お客様が個人アカウントのプライバシー設定において当該処理に同意した場合に限り、利用分析および製品改善の目的で匿名化されていない利用データを処理します。
(b) ライセンス提供品を介して Pix4D に開示またはその他の方法で提供されたコンテンツに表示される第三者の個人データについては、(a) 特定の個人に関連しない統計、研究開発、ベンチマーク、その他の目的のために使用され、かつ (b) 第三者(守秘義務を負うPix4D のサービスプロバイダーを除く)に提供される情報がある場合には、(i) 第三者の特定可能な個人データを含まず、(ii) お客様に関する特定可能な個人データを含まない限りにおいて、弊社は管理者としての自らの目的のために処理します。
(c) いずれの場合も、データ保護法およびその他の適用法で義務付けられる、または認められる、その他の目的のために行います。
3.3. お客様のコンプライアンスと Pix4D への指示。お客様は、(i) お客様によるお客様の個人データの処理、Pix4D へのその委任、およびお客様が Pix4D に行った処理指示に関して、データ保護法を含むすべての適用法を遵守しており、今後も遵守し続けること、および、(ii) Pix4D がEULA に記載されている内容を目的としてお客様の個人データを処理するために、データ保護法に基づいて必要な全ての通知を提供し、全ての同意と権利を取得しており、今後も取得し続けることを表明し、保証します。お客様は、お客様の個人データの正確性、品質、適法性、およびお客様がお客様の個人データを取得した手段について、単独で責任を負うものとします。前述の一般性を損なうことなく、お客様は、EULAに基づいてライセンス提供品を通じて作成、送信または管理されるあらゆるコンテンツに適用される全ての法律(データ保護法を含みます)を遵守する責任を 負 う こ と に 同 意 す る も の と し ま す 。 お 客 様 は 、 (i) ユ ー ザ ー が data_protection@pix4d.comor を通して、またはその他の手段で Pix4D に直接、ユーザーアカウントの削除要求を送信し、かつ (ii) ユーザーがお客様の認定ユーザーの一人である場合に限り、Pix4D がお客様に代わり、ユーザーアカウントの削除要求を管理および処理することを、ここに承認し指示します。この場合、Pix4D が必要と判断した場合には、当該アカウント削除要求をお客様に通知することがあります。本 EULA(本DPA を含みます)は、EULA に従ったお客様によるライセンス製品の使用およびその設定方法とともに、お客様の Pix4D に対する、お客様の個人データの関連処理に関する完全な指示を構成します。お客様は期間中、EULA、ライセンス製品の性質、機能範囲、および適法な使用に合致する追加指示を行うことができますが、その際、別段の定めがない限り、お客様は結果として生じる費用を負担するものとします。Pix4D は、
お客様からのデータ処理指示が欧州データ保護法に違反していることを認識または確信した場合、速やかにお客様に書面で通知するものとします。
3.4. Pix4D の義務。Pix4D は、EULA に基づき、適用されるデータ保護法および第 3.2.条に記載されているお客様の文書による正当な指示に従い、お客様の個人データを処理するものとします。
3.5. 処理の詳細。Pix4D によるお客様の個人データの処理の要旨は、本 EULA の履行です。個人データの種類およびデータ主体のカテゴリー、移転の頻度、処理の性質、移転の目的、データの保存期間、および副処理の詳細は、本 DPA の別 紙C(移転の内容)にさらに明確に記載されています。
4. データ主体の要求
契約期間中、Pix4D がお客様の個人データに関連して、データ主体から欧州データ保護法に基づくデータ主体の権利行使の要請を受けた場合、Pix4D は以下を行います。(i) データ主体にお客様に要求を提出するように助言し、(ii) 速やかにお客様に通知し、(iii) 適切な場合(例えば、データ主体にお客様に連絡するように指示を行うなど)または法的に要求される場合を除き、お客様の事前の承認なしに、データ主体の要求に直接対応しません。また、Pix4D は、処理の性質を考慮して、欧州データ保護法に基づくデータ主体の権利に関するデータ保護義務をお客様が遵守できるよう、可能な範囲で合理的な追加支援を行うものとします。両当時者間で事前にテキストで合意することを条件として、お客様は、本第 4.条に従ってお客様を支援するためにPix4D が負担した合理的な費用および経費を Pix4D に払い戻すことに同意するものとします。
5. PIX4D の社員
Pix4D は、お客様の個人データを処理する権限を Pix4D から与えられた人物
(スタッフ、代理店、下請け業者を含みます)が適切な守秘義務(契約上の義 務または法律上の義務)を負っていること、特にお客様の個人データを第三者 に開示しないこと、および EULA に従ってPix4D から与えられた業務を遂行す る以外の目的で当該データを処理しないことに同意していることを保証します。なお、Pix4D がPix4D の社員の行為について自らの行為と同様に責任を負うこ とが、両当事者間で了解され合意されるものとします。
6. 副処理者
6.1. 認定副処理者。お客様は、Pix4D がお客様に代わってお客様の個人データを処 理するために、副処理者を従事させることに同意するものとします。現在、 Pix4D によってデータ処理に従事し、お客様が承認している副処理者は、(i) Pix4D の関連会社、および (ii) https://www.pix4d.com/legal にて参照可能な Pix4D の副処理者リストに記載されている第三者です。さらに、お客様は、本 第 6.条に従い、Pix4D に代わって特定の処理活動を行う他の副処理者を任命す るために、Pix4D に対し、一般的な書面による承認を行うものとします。
6.2. 副処理者の変更に対する異議申し立ての機会。欧州のデータ保護法が適用される場合、Pix4D は副処理者の追加または交換に関する変更の予定をお客様に通知します。お客様は通知を受けてから 30 日以内に、客観的かつ合理的に正当化できる理由で当該変更に異議を唱える機会を与えられます。お客様が適時に異議を唱えた場合、お客様は商業的に合理的な解決を目指して、Pix4D とお客様
の懸念について話し合う機会が与えられます。そのような解決に至らない場合には、Pix4D は独自の判断により、新たな副処理者を任命しないか、EULA の終了条項に従ってお客様がEULA を終了することを許可し、Pix4D は責任を負わないものとします(ただし、EULA の終了前にお客様が負担した費用には影響を与えません)。
6.3. 副処理者の関与に対する要件。Pix4D は、副処理者を関与させる際に、当該副処理者が提供する処理活動の性質に適用される範囲で、少なくとも EULA(本 DPA を含みます)の規定と同等の厳格な機密保持およびデータ保護に関する義務に拘束されることを保証します。なお、Pix4D が副処理者の行為について自らの行為と同様に責任を負うことが了解され、合意されるものとします。
7. データセキュリティ
Pix4D は、お客様の個人データを偶発的または非合法的な破壊、損失、改ざん、不正な開示またはアクセスから保護するために、適切な技術的および組織的措 置を講じ、維持します。この措置には、特に、少なくとも本 DPA の別紙D(セ キュリティ対策)に記載されている対策(以下「セキュリティ対策」といいま す)が含まれます。当該セキュリティ対策には、お客様の個人データの暗号化 Pix4D のシステムおよびサービスの継続的な機密性、完全性、可用性および回 復力の確保支援、データ侵害後のお客様の個人データへのタイムリーなアクセ スの回復支援、有効性の定期的なテストなどの対策が含まれます。お客様は、 データセキュリティに関連して Pix4D が提供する情報を確認し、本セキュリ ティ対策がお客様の要件およびデータ保護法に基づく法的義務を満たしている かどうかを独自に判断する責任を負うものとします。お客様は、本セキュリ ティ対策が技術的な進歩や開発の対象となること、および Pix4D がセキュリ ティ対策を適宜更新または修正することを了承するものとします。ただし、当 該更新および修正が、お客様に提供されるライセンス提供品の全体的なセキュ リティを低下させる結果とならないことを条件とします。
8. 非ホワイトリスト国へのデータ移転
8.1. EU SCC。両当事者は、Pix4D が、EULA の履行を目的として、または EULA の履行に関連して、お客様の個人データを非ホワイトリスト国に移転することに同意するものとします。Pix4D が欧州データ保護法の対象となるお客様の個人データを、非ホワイトリスト国に所在する管理者であるお客様に移転する(返送)場合、両当事者は、Pix4D を「データ輸出者」、お客様を「データ輸入者」とし、別紙 A(EU SCC のモジュール 4(処理者から管理者への移転))に記載され、以下のようにまとめられた EU SCC のモジュール 4(処理者から管理者への移転)(以下「P-C 条項」といいます)に拘束され、および本条項を遵守することに同意するものとします。なお、本条項には、本 DPA の別紙B(EU SCC の国別修正条項)に記載された該当する国別修正条項が含まれます。
(d) 第 1 条から第 6 条
(e) 第 7 条は適用されません
(f) 第 8 条、「モジュール 4」の規定、序文を含む
(g) 第 10 条、「モジュール 4」の規定を含む
(h) 第 11 条(a)項、ただし、第 11 条(a)項の「オプション」の規定を除く
(i) 第 12 条、「モジュール 4」の規定を含む、EU SCC に反しない範囲で、本 DPA の第 14 条に従い、データ輸入者とデータ輸出者の間の責任(データ主体に対する責任ではない)は、制限または除外される
(j) 第 14 条および第 15 条、「モジュール 4」の規定を含む、データ輸出者が、データ輸入者から受け取った個人データを、データ輸出者がホワイトリスト国で収集した個人データと組み合わせる場合に関して
(k) 第 16 条、「モジュール 4」の規定を含む
(l) 第 17 条、「モジュール 4」の規定を含む、第 17 条の目的のために両当事者が合意した法律がフランスの法律であること
(m) 第 18 条、「モジュール 4」の規定を含む、第 18 条の目的のために両当事者が合意した法がフランスの裁判所であること
8.2. EU SCC の付属書類。P-C 条項で言及される附属書類は以下のように形成されるものとします。
(a) 付属書 I.A は以下の内容で構成されます。
i. EULA で指定され、お客様が関連する組織形態で提供した情報。Pix4Dは 「データ輸出者」になり「処理者」として機能し、お客様は「データ輸入者」になり「管理者」として機能します。
ii. データ輸出者の連絡先情報:データ輸出者の連絡先情報は、Pix4D SA とし、スイスのRoute de Renens 24、1008 Prilly になります。データ輸出者 の デ ー タ 保 護 チ ー ム へ は 、 電 子 メ ー ル ア ド レ ス data_protection@pix4d.com 宛に連絡することができます。データ輸出者のデータ保護責任者へは、フランス、パリの Parrot Drones、c/o Mr Victor Vuillard、174 Quai de Jemmapes、75010 宛に連絡することができます。
iii. データ輸入者の連絡先情報:データ輸入者の連絡先情報は、データ保護責任者の連絡先を含め、関連する組織形態においてデータ輸出者に提供されます(データ輸入者から当該情報が提供された場合)。または、個々の事例において、後に、データ輸出者が別途要求することができます。
iv. 本DPA の別紙 C(移転の内容)に記載されている活動
v. 両当事者は、データ輸入者およびデータ輸出者が本EULA を締結することにより、本規約の発効日に両当事者が本 P-C 条項を締結したものとみなされることに同意するものとします。
(b) 付属書 I.B は、別紙 C(移転の内容)の該当条項で構成されます。
(c) 付属書 II は、本 DPA の別紙 B(技術的および組織的措置)で構成されます。
(d) 付属書 III は、該当する場合、https://www.pix4d.com/legal にて参照可能な
Pix4D の副処理者リストで構成されます。
8.3. 移転影響評価。お客様は、その知る限り、Pix4D からお客様への個人データの予定された移転(返送)が適用される法律の下で許可されており、両当事者は予定された移転が許可されていないと信じる理由がないことを了承するものとします。
8.4. 補償。各当事者は、P-C 条項に基づく義務の違反により第三者から請求があった場合、他方当事者を補償するものとします。
9. データ侵害
データ侵害に気付いた場合、Pix4D は、(i) いかなる場合でも、実現可能であれば、遅延なく、データ侵害に気付いてから 48 時間以内にお客様に通知し、(ii)データ侵害が判明したとき、またはお客様から合理的に要求されたときに、データ侵害に関連する情報を適時に提供し、(iii) データ侵害を封じ込め、調査するための合理的な手段を速やかに講じるものとします。 本第 9.条に基づく Pix4D のデータ侵害の通知またはデータ侵害への対応は、当該データ侵害に関する過失または責任を Pix4D が認めるものとは解釈されません。
10. 政府のデータアクセス要求
Pix4D は、欧州データ保護法の下でお客様の処理者としてお客様の個人データを処理する場合、適用法によって義務付けられていない限り、法執行機関を含む政府機関または当局に対して、お客様のデータを含む Pix4D アカウントへのアクセスまたは情報を提供しません。お客様および/または認定ユーザーに属するお客様のデータを含む、Pix4D アカウントへのアクセスまたはそれに関する情報を求める、法執行機関を含む政府機関または当局からの強制的な要求
(召喚状、裁判所命令、捜査令状、その他の有効な法的手続きによるものであるかどうかを問いません)に対応するための費用は、お客様が負担するものとします。
11. コンプライアンスの確認と監査
Pix4D は、本DPA に基づく義務の遵守を示すために合理的に必要な全ての情報をお客様に提供し、お客様またはお客様が任命した独立監査人が Pix4D の本 DPA に基づく義務の遵守を確認するために行う、検査を含む監査を許可し、これに貢献するものとします。また、Pix4D は、Pix4D の監査人が作成した Pix4Dの本DPA の遵守状況を確認する監査報告書を、任意または要求に応じて、無償でお客様に提供することができます。
12. 影響評価と協議
適用されるデータ保護法で要求される範囲で、Pix4D は、処理の性質と Pix4Dが入手できる情報を考慮し、お客様がデータ保護法で要求されるデータ保護の影響評価またはデータ保護当局との事前協議を実施できるように、ライセンス提供品に関して合理的に要求される全ての情報を提供するものとします。両当時者間で事前にテキストで合意することを条件として、お客様は、本第 12.条に従ってお客様を支援するために Pix4D が負担した合理的な費用および経費を Pix4D に払い戻すことに同意するものとします。
13. データの返却または削除
EULA の終了または満了時に、Pix4D は、その所有または管理下にある全ての お客様の個人データ(コピーを含みます)を削除(匿名化の手段を含みます) またはお客様に返却(お客様が選択)するものとします。ただし、この要件は、 Pix4D がお客様の個人データの一部または全部を保持することが適用法で要求 されている場合、またはバックアップ システムにアーカイブされているお客様
の個人データには適用されません。当該お客様の個人データは、適用法で要求されている場合を除き、Pix4D が安全に隔離し、それ以上の処理から保護し、最終的に Pix4D の削除ポリシーに従って削除するものとします。
14. 責任制限
第 8.1.条および第 8.2.条のP-C 条項で規定されている場合、および本DPA で明示的に合意されている場合を除き、Pix4D の責任、およびお客様の責任は、適用法で認められる範囲内で除外されます。
15. 雑則
15.1. 修正。本DPA の修正は、書面により行われ、両当事者の正式な代表者が正式に
署名するものとします。
15.2. 矛盾。お客様の個人データの処理に関連して、本 DPA と本EULA との間に矛盾または不一致がある場合は、ドキュメントの規定を (i) EU SCC、次に (ii) 本 DPA、次に (iii) 本EULA の順に優先させるものとします。
15.3. 分離可能性条項。本 DPA のいずれかの条項が何らかの理由で執行不能とされた 場合、両当事者の法的および経済的意図を可能な限り最大限に実現するために、当該条項は、可能であれば、無効ではなく調整されるものとします。いかなる 場合でも、本DPA の他の全ての条項は、可能な限り最大限に有効に存続し、執 行可能であるものとします。
15.4. 通知。両当事者間の全ての書面による通信を目的として、EULA に関連して行われる通知またはその他の通信は書面(電子形態は満足できるものとみなされます)によるものとし、以下のアドレスに電子メールで送信するものとします。
Pix4D 宛の場合:電子メールアドレス legal@pix4d.com を送信先とします。
お客様宛の場合:お客様のアカウントに登録されています電子メールアドレスを送信先とします。変更があった場合には、お客様ご自身の責任で新しい連絡先の詳細を Pix4D までお知らせください。 方法としましては、 https:// support.pix4d.com を通じて Pix4D のサポートチームまでご連絡いただくか、お客様のアカウントに登録されています連絡先の詳細を更新してください。
このような場合、Pix4D が使用している電子通信システムが、当該電子通信の
内容および配信時刻および受領の唯一の証明となります。
15.5. 費用。各当事者は、適用される P-C 条項を含む本 DPA の遵守に伴う費用を自ら
負担するものとします。
16. 準拠法–紛争解決
16.1. 準拠法。EULA の準拠法にかかわらず、本 DPA は、排他的にスイスの実体法が 適用され、これに従って解釈されるものとします。これにより、(i) 1980 年 4 月 11 日に採択された国際物品売買契約に関する国連条約(CISG)を含む国際条約、および (ii) スイスの抵触法規則は、本DPA には適用されないことが明示されて います。
16.2. 法域および裁判管轄。EULA の管轄地にかかわらず、本DPA に起因または関連して両当事者間に生じた紛争については、スイス・ローザンヌの通常裁判所が専属管轄権を有するものとします。
17. カリフォルニア州個人情報に対する追加条項
17.1. 範囲と適用性。本DPA の本第 17.条は、Pix4D がCCPA の対象となるEULA に基づいてカリフォルニア州の個人情報を処理する限りにおいて、本 DPA の条件に加えて適用されます。本 DPA の本第 17.条と他の条項との間に矛盾または不明瞭な点がある場合は、本第 17.条が優先されますが、本条が Pix4D に適用される範囲内に限定されます。
17.2. 両当事者の役割。お客様の指示に従ってカリフォルニア州の個人情報を処理する場合、両当事者は、CCPA の目的上、お客様が事業者であり、Pix4D がサービスプロバイダーであることを確認して、同意するものとします。
17.3. 責任。両当事者は、Pix4D がサービスプロバイダーとしてカリフォルニア州の個人情報を、EULA に基いてライセンス提供品にライセンスを供与する目的
(以下「事業目的」といいます)またはCCPA により許可された目的のためにのみ処理することに同意します。
18. 用語の定義
追加条項 表紙に記載のとおりです。
認定ユーザー EULA に従い、お客様によって、ライセンス製品の使用
を許可された者を意味します。明確にするために、認定ユーザーには、お客様の従業員、お客様の関連会社、および、お客様のアカウント管理者から組織のメンバーになることを正式に承認されたお客様の法人以外の第三者が含まれ、お客様は当該第三者の管理者として行動します。
事業 CCPA で定義されている意味を持つものとします。
事業目的 第 17.3.条に記載のとおりです。
カリフォルニア州個人情報
CCPA の保護の対象となる個人データを意味します。
CCPA 「カリフォルニア民法典第 1798.83 節」を意味し、「カ
リフォルニア州消費者プライバシー法 2018 年」としても
知られています。
CNIL 第 8.2.条に記載のとおり、「情報処理と自由に関する国
家委員会」を意味します。
お客様 CCPA で定義されている意味を持つものとします。
管理者 単独でまたは他者と共同で個人データの処理の目的および手段を決定する自然人または法人、公的機関、代理店、その他の組織を意味します。
お客様のデータ お客様またはエンドユーザーが、またはお客様またはエ
ンドユーザーのために、ライセンス提供品を介して、かつ本アカウントの下で、提供されるデータを意味します。
お客様の個人データ 特別なカテゴリーの個人データを含む、お客様のデータ
に含まれる個人データを意味します。
データ侵害 別紙D(セキュリティ対策)の違反を含むがこれに限定
されない、Pix4D が送信、保存、またはその他の方法で処理した個人データの偶発的または違法な破壊、損失、改ざん、不正な開示、またはアクセスにつながるセキュリティ違反を意味します。
データ保護法 本EULA に基づいて、Pix4D またはお客様がお客様の個
人データを処理する際に適用される全てのデータ保護法および規制を意味し、該当する場合、欧州データ保護法および欧州データ保護法以外の法令が含まれます。
データ主体 個人データに関連する、識別された、または識別可能な
自然人を意味します。
データ主体要求 第 4.条に記載のとおりです。
DPA 表紙に記載のとおりです。
EEA 欧州経済領域を意味します。
EULA 表紙に記載のとおりです。
EU SCC 欧州議会および欧州理事会の規則(EU)2016/679 に基づく個人データの第三国への移転のための標準契約条項に関 す る 2021 年 6 月 4 日 の 欧 州 委 員 会 の 決 定
[C(2021)3972 final]で承認された標準契約条項、およびその修正を意味します。
欧州データ保護法 適用可能な場合は、(a) GDPR、およびGDPR を実施して
いる地方、州、または国の法令、(b) UK GDPR、および
(c) スイスのDPA、および、いずれの場合も本契約期間中に発効する可能性のあるその最新版または改訂版を意味します。
FDPIC 第 8.2.条に記載されているとおり、スイスの連邦データ保護情報コミッショナーを意味します。
GDPR 個人データの処理に関する自然人の保護および当該デー
タの自由な移動に関する 2016 年 4 月 27 日の欧州議会および理事会の規則( EU)2016/679、および指令 95/46/ EC の廃止本契約期間中に発効する可能性のあるその新版または改訂版を意味します。
一般利用規約 表紙に記載のとおりです。
欧州データ保護法以外の法令
EEA、英国、スイス以外で施行されている、CCPA を含むがこれに限定されない、データ保護法またはプライバシー法を意味します。
組織形態 お客様のアカウントを登録するために Pix4D が提供する
企業ユーザー管理内における組織設定を意味します。
両当事者 表紙に記載のとおりです。
P-C 条項 第 8.1.条および第 8.2.条に記載されている EU SCC のモ
ジュール 4(処理者から管理者への移転)を意味します。
Pix4D、弊社 スイスの株式会社(société anonyme)である Pix4D SA
を意味し、スイスへの登録番号を CHE-207.009.701 として、スイスの Route de Renens 24, 1008 Prilly に登録事業所を置いています。
セキュリティ対策 別紙D(セキュリティ対策)に記載されているセキュリ
ティの技術的および組織的措置を意味します。
サービスプロバイダー CCPA で定義されている意味を持つものとします。
スイスのDPA 1992 年 6 月 19 日付のデータ保護に関するスイス連邦法
および 1993 年 6 月 14 日付の連邦データ保護法に関するスイス条例、および、いずれの場合も本契約期間中に発効する可能性のあるその新版または改訂版を意味します。
期間 規約発効日から Pix4D によるライセンス提供品の提供が終了するまでの期間を意味します。この期間には、該当する場合には、ライセンス提供品の提供が一時停止される期間、終了後に Pix4D がライセンス提供品の提供を継続する期間、または過渡的な目的のための期間が含まれます。
規約発効日 お客様が本DPA を受諾した日、または両当事者がその他
の方法で本 DPA に合意した日を意味します。
UK GDPR 英国の 2018 年EU 離脱法に基づいて改正され英国国内法
に組み込まれた EU GDPR、および同法に基づいて作成された適用可能な第二次法、および本契約期間中に発効する可能性のあるその新版または改訂版を意味します。
ホワイトリスト国 以下を意味します
- GDPR の対象となるお客様の個人データの場合: EEA または GDPR 第 45 条第 1 項に基づく欧州委員会の適切性に関する決定の対象となる国または地域。
- UK GDPR の対象となるお客様の個人データの場合: 英国または UK GDPR 第 45 条第 1 項および 2018 年データ保護法第 17A 条に基づく適切性に関する規制の対象となる国または地域、および/または
- スイスのDPA の対象となるお客様の個人データ:スイス、または (i) スイスの連邦データ保護情報コミッショナーが公表した、法律によって十分な保護レベルが確保されている国のリストに含まれるか、場合によっては、(ii) スイスのDPA に基づくスイス連邦参事会の適切性に関する決定の対象となる国または地域。
お客様 認定ユーザーがライセンス提供品を使用できるよう、EULA に基づいて当該提供品のライセンスを当該ユーザーに付与する法人を意味します。
本 DPA で使用される「個人データ」、「データ主体」、「処理」、「管理者」および
「処理者」という用語は、欧州データ保護法または欧州データ保護法以外の法令のいずれが適用されるかにかかわらず、GPDR で与えられた意味を持ちます。
添付書類:
別紙 A:EU SCC のモジュール 4(処理者から管理者への移転)別紙 B:EU SCC の国別修正条項
別紙 C:移転の内容
別紙 D:セキュリティ対策
別紙 A:EU SCC のモジュール 4(処理者から管理者への移転)
第 1 章
第 1 条
目的と範囲
(a) 本標準契約条項の目的は、個人データの第三国への移転について、個人データの処理に関する自然人の保護および当該データの自由な移動に関する 2016 年 4月 27 日の欧州議会および理事会の規則( EU)2016/679(一般データ保護規則)(1)の要件を確実に遵守することにあります。
(b) 両当事者
(i) 付属書I.A に記載されている個人データを移転する自然人または法人、公的機関、代理店、またはその他の団体(以下「事業体」といいます)
(以下、各「データ輸出者」といいます)、および
(ii) データ輸出者から、付属書 I.A に記載されている本条項の当事者でもある他の事業体を介して、直接または間接的に個人データを受け取る第三国の事業体/事業者(以下、各「データ輸入者」といいます)
両当事者が、本標準契約条項(以下「条項」といいます)に同意したものとし
ます。
(c) 本条項は、付属書 I.B に規定される個人データの移転に関して適用されます。
(d) 本条項の付録は、本規約で言及されている付属書類を含み、本条項の不可分な一部を構成します。
第 2 条
条項の効果と不変性
(a) 本条項は、規則(EU)2016/679 の第 46 条第 1 項および第 46 条第 2 項第(c) 号に基づき、強制力のあるデータ主体の権利および効果的な法的救済を含む適 切な保護措置を規定しており、また、管理者から処理者および/または処理者 から処理者へのデータ移転に関しては、規則( EU)2016/679 の第 28 条第 7 項 に基づく標準契約条項を規定していますが、適切なモジュールを選択したり、 付録の情報を追加または更新する場合を除き、これらの条項は変更されません。このことは、両当事者が本条項に定められた標準契約条項をより広範な契約に 含めること、および/または他の条項や追加的な保護措置を追加することを妨 げるものではありません。ただし、これらが直接的または間接的に本条項と矛 盾したり、データ主体の基本的な権利または自由を損なわないことが条件とな ります。
1データ輸出者が、管理者としてEU 機関または団体を代表して行動する規則(EU)2016/679 の対象となる処理者であ る場合、規則(EU)2016/679 の対象とならない別の処理者(副処理者)を従事させる際に本条項に依拠することで、 EU の機関、団体、事務所および代理店による個人データの処理に関する自然人の保護、および、当該データの自由な
移動に関する 2018 年 10 月 23 日の欧州議会および理事会の規則( EU)2018/1725 の第 29 条第 4 項の遵守が、規則
(EC)No 45/2001 および決定 No 1247/2002/EC(OJ L 295, 21.11.2018, p. 39)が廃止され、本条項、および、規則
(EU)2018/1725 の第 29 条第 3 項に基づく管理者と処理者の間の契約またはその他の法的行為に定められたデータ保護義務とが整合する範囲内で、保証されます。これは特に、管理者と処理者が決定 2021/915 に含まれる標準契約条項に依拠している場合に当てはまります。
(b) 本条項は、規則(EU)2016/679 によってデータ輸出者が負う義務を損なうものではありません。
第 3 条
第三者利益
(a) データ主体は、以下の例外を除き、データ輸出者および/またはデータ輸入者に対して、第三者利益として本条項を行使し、執行することができます。
(i) 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条
(ii) 第 8.1 条(b)項および第 8.3 条(b)項
(iii) 該当なし
(iv) 該当なし
(v) 第 13 条
(vi) 第 15.1 条(c)項、(d)項および(e)項
(vii) 第 16 条(e)項
(viii) 第 18 条
(b) (a)項は、規則(EU)2016/679 に基づくデータ主体の権利を損なうものではありません。
第 4 条
解釈
(a) 本条が規則(EU)2016/679 で定義されている用語を使用している場合、それらの用語は同規則と同じ意味を持つものとします。
(b) 本条項は、規則(EU)2016/679 の規定に照らして読み、解釈されるものとします。
(c) 本条項は、規則(EU)2016/679 に規定されている権利および義務と矛盾する方法で解釈されません。
第 5 条
階層
本条項と、本条項が合意された時点で存在する、またはその後に締結された、両当事者間の関連契約の規定との間に矛盾がある場合には、本条項が優先されるものとします。
第 6 条
移転の内容
移転の詳細、特に移転される個人データのカテゴリーおよび移転目的は、付属書 I.B.に明記されています。
第 7 条–オプション
ドッキング条項
(a) 本条項の当事者ではない事業体は、両当事者の合意のもと、付録に記入し、附属書I.A.に署名することにより、データ輸出者またはデータ輸入者として、いつでも本条項に同意することができるものとします。
(b) 同意する事業体は、付録に記入し附属書 I.A.に署名した時点で本条項の当事者となり、附属書I.A.での指定に従い、データ輸出者またはデータ輸入者の権利および義務を有するものとします。
(c) 同意する事業体は、当事者となる前の期間には、本条項に基づいて生じる権利および義務を持たないものとします。
第 2 章–両当事者の義務
第 8 条
データ保護措置
データ輸出者は、データ輸入者が適切な技術的および組織的措置の実施を通じて、本条項に基づく義務を満たすことができることを判断するために合理的な努力をしたことを保証します。
8.1 指示
(a) データ輸出者は、その管理者として行動するデータ輸入者からの文書化された指示に基づいてのみ、個人データを処理するものとします。
(b) データ輸出者は、当該指示が規則(EU)2016/679 または他の EU もしくは加盟国のデータ保護法を侵害する場合を含め、当該指示に従うことができない場合は、直ちにデータ輸入者に通知するものとします。
(c) データ輸入者は、データ輸出者が規則(EU)2016/679 に基づく義務を果たすことを妨げるような行為を控えるものとし、これには、副処理に関連して、または管轄権を有する監督機関との協力に関するものも含まれます。
(d) 処理サービスの提供終了後、データ輸出者は、データ輸入者の選択により、データ輸入者の代わりに処理を行った全ての個人データを削除し、その旨をデータ輸入者に証明するか、またはデータ輸入者にデータ輸入者の代わりに処理を行った全ての個人データを返却し、既存のコピーを削除するものとします。
8.2 処理のセキュリティ
(a) 両当事者は、送信時を含むデータのセキュリティを確保するための適切な技術的および組織的措置を実施し、偶発的または違法な破壊、損失、改ざん、不正な開示またはアクセスにつながるセキュリティの侵害(以下「個人データ侵害」といいます)から保護するものとします。適切なセキュリティレベルを評価する際には、最先端の技術、導入コスト、個人データの性質( 2)の性質、処理の性質、範囲、状況、目的、およびデータ主体に対する処理に伴うリスクを
2これには、移転およびさらなる処理が、人種または民族的出自、政治的意見、宗教的または哲学的信念、労働組合への
加入を明らかにする個人データ、自然人を一意に識別する目的のための遺伝的・生体認証データ、健康状態や性生活・性的指向に関するデータ、または犯罪歴や犯罪に関するデータを含むかどうかが含まれます。
十分に考慮し、特に、処理の目的がその方法で達成できる場合には、送信時を含めて暗号化または偽名化に頼ることを検討するものとします。
(b) データ輸出者は、(a)項に従ってデータの適切なセキュリティを確保するためにデータ輸入者を支援するものとします。本条項に基づいてデータ輸出者が処理した個人データに関する個人データ侵害が発生した場合、当該データ輸出者は、当該侵害を確認後、不当に遅延することなくデータ輸入者に通知し、データ輸入者が当該侵害に対処することを支援するものとします。
(c) データ輸出者は、個人データを処理する権限を与えられた者が守秘義務を約束していること、または適切な法律上の守秘義務を負っていることを保証するものとします。
8.3 ドキュメンテーションとコンプライアンス
(a) 両当事者は、本条項の遵守を実証できるものとします。
(b) データ輸出者は、本条項に基づく義務の遵守を実証するために必要な全ての情報をデータ輸入者に提供し、かつ監査を可能にし、それに貢献するものとします。
第 9 条
副処理者の使用
該当なし
第 10 条
データ主体の権利
両当事者は、データ輸入者に適用される現地法、または EU 域内のデータ輸出者によるデータ処理の場合は規則(EU)2016/679 に基づき、データ主体が行う問い合わせおよび要求に対応する際に、相互に支援するものとします。
第 11 条
救済
(a) データ輸入者は、データ主体に対し、透明性があり容易にアクセスできる形式で、個別の通知またはウェブサイト上で、苦情を処理する権限を有する連絡窓口を通知するものとします。データ輸入者は、データ主体から受け取った苦情に迅速に対応するものとします。
[オプション:データ輸入者は、データ主体が独立した紛争解決機関(3)に無償
で苦情を申し立てることもできることに同意するものとします。データ主体は
(a)項に定める方法により、当該救済メカニズムについて通知するものとし、データ主体は、救済メカニズムを利用したり、救済を求める際に特定の順序に 従う必要はないものとします]。
第 12 条
3データ輸入者は、仲裁機関が仲裁判断の執行に関するニューヨーク条約を批准している国に設立されている場合に限り、
仲裁機関を通じて独立した紛争解決を提供することができます。
責務
(a) 各当事者は、本条項の違反によって他方の当事者に与えた損害について、他方の当事者に対して責任を負うものとします。
(b) 各当事者は、本条項に基づく第三者受益者の権利に違反することにより当該当事者がデータ主体に与える物質的または非物質的な損害について、当該データ主体に対して責任を負い、当該データ主体は補償を受ける権利を有するものとします。これは、規則(EU)2016/679 に基づくデータ輸出者の責任を損なうものではありません。
(c) 本条項の違反の結果としてデータ主体に生じた損害について複数の当事者が責任を負う場合、責任を負う当事者全員が連帯責任を負うものとし、データ主体はこれらの当事者のいずれかに対して裁判所に訴訟を提起する権利を有します。
(d) 両当事者は、一方の当事者が第(c)項に基づき責任を負う場合、他方の当事者に対し、損害に対する自己または他者の責任に対応する補償金の一部の返還を請求する権利を有することに同意するものとします。
(e) データ輸入者は、自らの責任を回避するために、処理者または副処理者の行為を援用することはできません。
第 13 条
監督
該当なし
第 3 章–現地法および公的機関がアクセスをしてきた場合の義務
第 14 条
本条項の遵守に影響を与える現地の法律および慣行
(EU の処理者が、第三国の管理者から受け取った個人データを、EU 域内の処理者が
収集した個人データと組み合わせる場合)
(a) 両当事者は、個人データの開示要件または公的機関によるアクセスの許可措置を含む、データ輸入者による個人データの処理に適用される目的地の第三国の法律および慣行が、データ輸入者が本条項に基づく義務を履行することを妨げると信じる理由がないことを保証するものとします。これは、基本的な権利および自由の本質を尊重し、規則(EU)2016/679 の第 23 条第 1 項に記載された目的の 1 つを保護するために、民主主義社会において必要かつ釣り合いのとれたものを超えない法律および慣行が、本条項と矛盾しないという理解に基づいています。
(b) 両当事者は、(a)項の保証を提供するにあたり、特に以下の要素を十分に考慮したことを宣言するものとします。
(i) 処理連鎖の長さ、関与する関係者の数、使用される送信チャネルを含む移転の具体的な状況、意図される次の移転、受領者タイプ、処理目的、移転された個人データのカテゴリーおよびフォーマット、移転が行われる経済部門、移転されるデータの保管場所
(ii) 移転先の第三国の法律および慣行で、公的機関へのデータの開示を要求するもの、または当該公的機関によるアクセスを許可するものを含め、移転の特定状況に照らして関連するもの、および適用される制限と保護措置(4)
(iii) 送信時および送信先の国での個人データの処理に適用される措置を含む、本条項に基づく保護措置を補完するために実施される関連する契約上、 技術的または組織的保護措置。
(c) データ輸入者は、(b)項に基づく評価を実施するにあたり、データ輸出者に関連情報を提供するために最善の努力をしたことを保証し、本条項の遵守を確保するためにデータ輸出者との協力を継続することに同意するものとします。
(d) 両当事者は、(b)項に基づく評価を文書化し、要求に応じて管轄権を有する監
督機関が利用できるようにすることに同意するものとします。
(e) データ輸入者は、本条項に合意した後、契約期間中に、第三国の法律の変更や当該法律の適用が実際の(a)項の要件に沿っていないことを示す措置(開示要求など)に従うなど、(a)項に基づく要件に沿っていない法律または慣行の対象である、または対象となったと信じる理由がある場合には、速やかにデータ輸出者に通知することに同意するものとします。
(f) (e)項に基づく通知後、またはデータ輸出者がデータ輸入者が本条項に基づく 義務をもはや履行できないと信じる理由がある場合、データ輸出者は、状況に 対処するためにデータ輸出者および/またはデータ輸入者が採用すべき適切な 措置(セキュリティおよび機密性を確保するための技術的または組織的措置な ど)を速やかに特定するものとします。データ輸出者は、データ移転のための 適切な保護措置が確保できないと判断した場合、または管轄権を有する監督機 関から指示があった場合、データ移転を一時停止するものとします。この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を終了 する権利を有するものとします。契約に複数の当事者が関与している場合、 データ輸出者は、両当事者が別段の合意をしていない限り、当該当事者に関し てのみ契約を修了する権利を行使することができます。本条項に基づいて契約 が終了された場合、第 16 条(d)項および(e)項が適用されます。
第 15 条
公的機関がアクセスをしてきた場合のデータ輸入者の義務
(EU の処理者が、第三国の管理者から受け取った個人データを、EU 域内の処理者が
収集した個人データと組み合わせる場合)
15.1 通知
4このような法律および慣行が本条項の遵守に与える影響については、全体的な評価の一環として、様々な要素を考慮す
ることができます。このような要素には、代表的な時間枠を十分にカバーする、公的機関からの開示要求の過去の事例またはそのような当該要求がなかった場合の、関連する文書化された実践的経験が含まれます。これは特に、公正精密審査に基づいて継続的に作成され、上級管理職レベルで認定された内部記録またはその他の文書を指します。ただし、これらの情報を第三者と合法的に共有できる場合に限ります。データ輸入者が本条項の遵守を妨げられないと結論づけるためにこの実践的経験に依拠する場合は、他の関連する客観的な要素によって裏付けられる必要があり、これらの要素が一体となり、その信頼性と代表性の観点から、この結論を裏付けるのに十分な役割を果たすかどうかは、両当事者が慎重に検討する必要があります。特に、両当事者は、自分たちの実践的経験が、判例法や独立した監視機関による報告書など、同じ分野内における要請の有無および/または実際の法律の適用に関する、公的に入手可能な、またはその他の方法でアクセス可能な信頼できる情報によって裏付けられ、矛盾しないかどうかを考慮する必要があります。
(a) データ輸入者は、以下の場合、データ輸出者および、可能であれば、データ主体に速やかに(必要に応じてデータ輸出者の協力を得て)通知することに同意するものとします。
(i) 移転先国の法律に基づき、司法当局を含む公的機関から、本条に基づいて移転された個人データの開示を求める法的拘束力のある要求を受けた場合。当該通知には、要求された個人データ、要求した当局、要求の法的根拠および提供された回答に関する情報が含まれます。
(ii) 移転先国の法律に従い、本条項に基づいて移転された個人データに公的機関が直接アクセスしていることに気付いた場合。当該通知には、データ輸入者が入手可能な全ての情報が含まれます。
(b) 移転先国の法律に基づき、データ輸入者がデータ輸出者および/またはデータ主体に通知することが禁止されている場合、データ輸入者は、可能な限り多くの情報を可能な 限り早く伝達することを目的として、禁止事項の免除を得るために最善の努力をすることに同意するものとします。データ輸入者は、データ輸出者の要求に応じて最善の努力を示すことができるように、その努力を文書化することに同意します。
(c) 移転先国の法律で認められている場合、データ輸入者は、契約期間中、定期的に、受け取った要求に関する可能な限りの関連情報(特に、要求の数、要求されたデータの種類、要求した当局/国、要求に異議を唱えたかどうか、およびその結果など)をデータ輸出者に提供することに同意するものとします。
(d) データ輸入者は、契約期間中、(a)項から(c)項に従った情報を保存し、要求に応じて管轄権を有する監督機関に提供することに同意するものとします。
(e) (a)項から(c)項は、第 14 条(e)項及び第 16 条に基づくデータ輸入者の義務を損なうものではなく、データ輸出者がこれらの条項を遵守できない場合には、速やかにデータ輸出者に通知するものとします。
15.2 合法性とデータ最小化の検討
(a) データ輸入者は、開示要求の合法性、特に要求した公的機関に付与された権限の範囲内であるかどうかを検討し、慎重に評価した結果、移転先国の法律、国際法の下で適用される義務および国際礼譲の原則に基づいて、要求が違法であると考える合理的な根拠があると結論づけた場合、当該要求に異議を唱えることに同意するものとします。データ輸入者は、同じ条件の下で不服申し立ての可能性を追求するものとします。要求に異議を唱える場合、データ輸入者は、管轄権を有する監督機関がその是非を判断するまで、当該要求の効果を一時的に停止することを目的とした暫定的措置を求めるものとします。データ輸入者は、適用される手続き規則に基づいて開示するよう要求されるまで、要求された個人データを開示してはなりません。これらの要件は、第 14 条(e)項に基づくデータ輸入者の義務を損なうものではありません。
(b) データ輸入者は、開示要求に対する法的評価および異議申し立てを文書化し、移転先国の法律で許容される範囲で、データ輸出者に当該文書を提供することに同意するものとします。また、要求に応じて、管轄権を有する監督機関にも提供します。
(c) データ輸入者は、開示要求の合理的な解釈に基づき、当該要求に回答する際に許容される最小限の情報を提供することに同意するものとします。
第 4 章–最終規定
第 16 条
本条項の不遵守および契約の終了
(a) データ輸入者は、理由の如何を問わず、本条項を遵守できない場合、速やかにデータ輸出者に通知するものとします。
(b) データ輸入者が本条項に違反した場合、または本条項を遵守することができな い場合、データ輸出者は、遵守が再び確保されるか、または契約が終了するま で、データ輸入者への個人データの移転を一時停止するものとします。これは、第 14 条(f)項を損なうものではありません。
(c) データ輸出者は、以下の場合、本条項に基づく個人データの処理に関する限り、契約を終了する権利を有するものとします。
(i) データ輸出者が(b)項に従ってデータ輸入者への個人データの移転を一時停止し、合理的な時間内に、いかなる場合でも、当該停止から 1 ヶ月以内に本条項の遵守が回復されない場合。
(ii) データ輸入者が本条項に実質的または持続的に違反している場合。
(iii) データ輸入者が、本条項に基づく義務に関する管轄裁判所または監督機関の拘束力のある決定に従わない場合。
このような場合、データ輸出者は、管轄権を有する監督機関に当該不遵守を通知するものとします。契約に複数の当事者が関与している場合、データ輸出者は、両当事者が別段の合意をしていない限り、当該当事者に関してのみ契約を修了する権利を行使することができます。
(d) データ輸出者がEU 域内で収集した個人データのうち、(c)項に基づく契約の終了前に移転されたものは、そのコピーを含めて直ちに完全に削除されるものとします。データ輸入者は、データ輸出者に対してデータの削除を証明するものとします。データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を保証するものとします。データ輸入者に適用される現地法が、移転された個人データの返還または削除を禁止している場合、データ輸入者は、本条項の遵守を引き続き確保し、当該現地法で要求される範囲および期間でのみデータを処理することを保証します。
(e) いずれの当事者も、(i) 欧州委員会が、本条項が適用される個人データの移転を 対象とする規則(EU)2016/679 の第 45 条第 3 項に基づく決定を採択した場合 または (ii) 規則(EU)2016/679 が個人データの移転先の国の法的枠組みの一部 となった場合には、本条項に拘束されるという合意を取り消すことができます。これは、規則(EU)2016/679 に基づく当該処理に適用される他の義務を損な うものではありません。
第 17 条
準拠法
本条項は、第三者受益者の権利を認めている国の法律に準拠するものとします。両当事者は、これが (国を指定)の法律となることに同意します。
第 18 条
裁判所および法域の選択
本条項に起因する紛争は、 (国を指定)の裁判所で解決されるものとします。
付属書
注記:
各移転または移転のカテゴリーに適用される情報を明確に区別することが可能でなければならず、これに関連して、データ輸出者および/またはデータ輸入者としての両当事者のそれぞれの役割を決定することができなければなりません。これは、1 つの付属書でこの透明性が達成できる場合には、各移転または移転のカテゴリーおよび/または契約関係について別々の付属書に記入および署名することを必ずしも必要としません。しかし、十分な明確性を確保するために必要な場合は、別々の付属書を使用する必要があります。
付属書 I
A. 当事者リスト
データ輸出者:[データ輸出者の識別情報および連絡先情報、および該当する場合、そのデータ保護責任者および/または欧州連合における代表者]
1.
氏名:
住所:
ご担当者様のお名前、役職、連絡先詳細:
本条項に基づくデータ移転に関する活動:
署名および日付
役割(管理者/処理者)
2.
データ輸入者:[データ輸入者の識別情報および連絡先情報、データ保護の責任を有する連
絡先担当者を含みます]
1.
氏名:
住所:
ご担当者様のお名前、役職、連絡先詳細:
本条項に基づくデータ移転に関する活動:
署名および日付
役割(管理者/処理者)
2.
B. 移転の内容
個人データが移転されるデータ主体のカテゴリー
移転される個人データのカテゴリー
移転されたセンシティブなデータ(該当する場合)とデータの性質および関連するリスクを十分に考慮した制限または保護措置を適用した場合。厳格な目的の制限、アクセス制限
(専門的なトレーニングを受けたスタッフのみのアクセスを含みます)、データへのアクセス記録の保持、移転の制限、または追加のセキュリティ対策など。
移転の頻度(データの移転が 1 回限りで行われるのか、継続的に行われるのかなど)。
処理の性質
データ移転およびさらなる処理の目的
個人データを保持する期間、または、不可能な場合は、その期間を決定するための基準
(副)処理者への移転の場合、処理の対象、性質、期間も特定
別紙 B:EU SCC の国別修正条項スイス
EULA に基づくお客様の個人データの移転が GDPR およびスイスのDPA の対象となる場合、スイスの DPA の目的のために、本 DPA の第 8.1.条および第 8.2.条に従って適用されるP-C 条項が、以下の修正を加えて適用されるものとします(疑念を避けるために、これらの修正は、GDPR の目的のために適用されるP-C 条項に影響を与えないものとします)。
「規則(EU)2016/679」または「当該規則」への言及は、適用可能な範囲でスイスの
DPA への言及と解釈されます。
「規則(EU)2018/1725」への言及は削除されます。
「連合」、「EU」、および「EU 加盟国」への言及は、スイスを意味すると解釈されます。
第 17 条を「本条項は、移転がスイスの DPA に準拠する限りにおいて、スイスの法律
に準拠します。」に置き換えます。
第 18 条を以下に置き換えます。
「スイスのDPA に関連する本条項に起因する全ての紛争は、スイスの裁判所で解決されるものとします。また、データ主催は、データ輸出者および/またはデータ輸入者に対して、その当時者が常居所を有するスイスの裁判所で法的手続きをとることができます。両当事者は、当該裁判所の管轄権に服することに同意するものとします。」
改正されたスイスのDPA が発効するまでは、P-C 条項は法人の個人データも保護するものとし、法人は、P-C 条項に基づき、自然人と同等の保護を受けるものとします。
EULA に基づくお客様の個人データの移転がスイスの DPA のみの対象となる場合、スイスのDPA の目的のために、本 DPA の第 8.1.条および第 8.2.条に従って適用される P- C 条項が、以下の修正を加えて適用されるものとします。
「規則(EU)2016/679」または「当該規則」への言及は、スイスの DPA への言及と解釈されます。
「規則(EU)2018/1725」への言及は削除されます。
「連合」、「EU」、および「EU 加盟国」への言及は、スイスを意味すると解釈されます。
第 17 条を「本条項は、スイスの法律に準拠します。」に置き換えます。
第 18 条を以下に置き換えます。
「スイスのDPA に関連する本条項に起因する全ての紛争は、スイスの裁判所で解決されるものとします。また、データ主催は、データ輸出者および/またはデータ輸入者に対して、その当時者が常居所を有するスイスの裁判所で法的手続きをとることができます。両当事者は、当該裁判所の管轄権に服することに同意するものとします。」
改正されたスイスのDPA が発効するまでは、P-C 条項は法人の個人データも保護するものとし、法人は、P-C 条項に基づき、自然人と同等の保護を受けるものとします。
別紙 C:移転の内容
個人データが移転されるデータ主体のカテゴリー:
データ主体には、お客様(またはお客様の指示)、またはコンテンツに表示されている第三者を含む認定ユーザーによって、ライセンス提供品を介して Pix4D にデータが提供される個人が含まれます。
移転される個人データのカテゴリー:
お客様(またはお客様の指示)または認定ユーザーによって、本サービスを介して Pix4D に提供される個人に関するデータです。これには、コンテンツに表示されている第三者のデータが含まれます。
移転されたセンシティブなデータ(該当する場合)とデータの性質および関連するリスクを十分に考慮した制限または保護措置を適用した場合(厳格な目的の制限、アクセス制限(専門的なトレーニングを受けたスタッフのみのアクセスを含みます)、データへのアクセス記録の保持、移転の制限、または追加のセキュリティ対策など):
両当事者は、センシティブなデータの移転を想定しません。
移転の頻度(データの移転が 1 回限りで行われるのか、継続的に行われるのかなど):
定期的または 1 回限り処理の性質:
Pix4D は、EULA に従って、お客様および認定ユーザーが使用するためにライセンス提供品を提供する目的で、お客様の個人データを処理します。
データ移転およびさらなる処理の目的:
個人データを保持する期間、または、不可能な場合は、その期間を決定するための基準:
該当期間に加え、期間終了後から EULA および本DPA に基づいて Pix4D が全てのお客様のデータを削除するまでの期間とします。
(副)処理者への移転の場合、処理の対象、性質、期間も特定:
https://www.pix4d.com/legal にて提供しております Pix4D の副処理者リストをご覧くだ
さい。
別紙 D:セキュリティ対策
以下は、処理の性質、範囲、状況、目的、およびデータ主体の権利と自由に対するリスクを考慮して、適切なセキュリティレベルを確保するために Pix4D が実施する(関連する認証を含む)技術的および組織的な対策(以下、「セキュリティ対策」)を説明しています。
1. 個人データの仮名化および暗号化の措置
a) 仮名化は、追加情報なしに特定のデータ主体と一致するデータが存在しないように行います。
b) 個人データを特定のデータ主体に帰属させるための追加情報は、限られた人数の個人のみがアクセスできる、独立した安全なシステムに保管されます。
c) 個人データを暗号化する際、アルゴリズムおよびキーの長さは、データの
機密性レベルに比例して保管されます。
d) 暗号化キーは安全に保管され、限られた人数の個人にのみ与えられます。
e) 開示された場合、または法定削除期間が過ぎた後でも、可能な限り匿名化
/仮名化を実施するよう内部で指示します。
2. 処理システムおよびサービスの継続的な機密性、完全性、可用性および回復力を確保するための措置
a) セキュリティ責任者または上級管理職の指名されたメンバーが、情報セキュリティ規則および手順の調整および監視に責任を持つよう任命されます。
b) データ保護の観点は、企業のリスク管理の不可欠な部分として確立されています。
c) 個人データを処理する情報システムが設置されている施設には、緊急対策および危機管理計画が維持されています。
d) 必要に応じて、データ保護影響評価(DPIA)を実施します。
e) 社員は訓練を受けており、機密性とデータの秘密保持に拘束されます。
f) 社員は、関連するセキュリティ手順およびそれぞれの役割について理解しています。
g) 社員は,セキュリティ規則および手順に違反した場合に起こりうる結果について理解しています。
h) アクセス制御、通信セキュリティ、運用セキュリティに関する作業指示書がスタッフに提供されています。
i) 作業指示書には、セキュリティ対策、関連手順、責任が明確に記述されています。
j) 全てのデータ保護規則、指示、ガイドラインは、一元的に文書化され,全
従業員がアクセスできます。
k) システム運用に不可欠なコンポーネントは、常に監視され、火、水、湿度、衝撃、熱、寒さ、不測の停電などから保護するために必要な範囲で保護シ ステムによって保護されています。
l) システム運用に不可欠なコンポーネントは、バックアップコンポーネント、 RAID システム、データミラーリングなどにより、崩壊した場合でも要求 された時間内に交換できます。
m) 必要に応じて、運用システム用とデータ用に別々のパーティションを使用します。
3. 物理的または技術的なインシデントが発生した場合に、個人データの可用性とアクセスを適時に回復する能力を確保するための措置
a) バックアップ戦略は、データの量とその変更の頻度に基づいて設定されています。
b) バックアップ戦略は、個人データをデータ損失またはデータ破壊の前の最
後の状態に回復するように設計されています。
c) バックアップシステムは本番システムから物理的に分離されています。
d) バックアップサーバーには、本番サーバーと同じセキュリティ対策が適用されています。
e) データの復元を任された個人は、この職務のために特別な訓練を受けています。
4. 処理の安全性を確保するために、技術的および組織的な手段の有効性を定期的に試験、査定、評価するプロセス(TOMS)
a) TOMS の有効性は、「データ輸入者」によってあらかじめ定義された間隔で試験されます。これらの試験の性質および試験を行うは、それぞれの対策に応じて定義されます。
b) 試験の結果、TOMS が実施されていない、または十分に実施されていない、あるいは必要な有効性を示していない場合には、適切な措置が定められ、 実施されます。
c) 既存のTOMS の見直しにより、既存の TOMS がもはや十分ではないと判断された場合(新たな脅威など)、新たな TOMS が導入されます。
d) TOMS の有効性を継続的に監視し、試験やあらゆる対策を調整するために、 1 人以上の個人が指定されます。
5. ユーザーの識別と認証のための措置
a) 情報システムへのアクセスは、業界標準の識別および認証手続きによって保護されます。
b) データ記憶装置、ワークステーション、ノートブック、スマートフォン、タブレットは、業界標準の暗号化手法で暗号化されています。
c) ユーザーアカウントおよびユーザー権限は、指定された個人(管理者)によって管理されます。
d) データベース権の制限的かつ必要に応じた権限概念は、最小限の数の管理者によって管理されます。
e) 個人データへのアクセスは、個々の職務権限または職務内容の範囲内で、当該個人データにアクセス する正当な必要性を有する従業員に制限されます。
f) 異なる目的のために収集されたデータは、他のデータとは別に処理することができます。
g) 承認されたアクセスを超えるシステム活動は阻止されます。
h) 「安全なパスワード」、「削除/破棄」、「クリアデスク」、「モバイルデバイス」に関するガイドラインを作成し、実施します。
i) 認証をご利用いただけるユーザーアカウントは、個人的なものであり、使用者は 1 人のみとします。
j) 社員は、外出時やワークステーションが無人になるときには、管理セッションを無効にするよう指示されています。
k) ユーザーのパスワードは、大文字、小文字、数字、特殊文字を含む 8 文字以上で構成されるものとします。
l) 重要なシステムへのアクセスには二要素認証を使用します。
m) ファイルシュレッダーおよび/または外部ファイル破壊は、DIN 66399 セキュリティ基準を満た
6. 移転中のデータを保護するための措置
a) リモートアクセスは、暗号化された回線(仮想プライベートネットワーク:VPN)でのみ行われます。
b) データの電子的移転および個人データの送信は、業界標準の暗号化方式で行われます。電子メールについては、サポートされている場合には、少なくとも回線の暗号化(TLS)を使用します。
c) 必要に応じて署名手続きを実施します。
d) データは未確認の第三者には転送されません。
7. 保存中のデータを保護するための措置
a) 特定のデータへのアクセスは、当該データを処理する必要のある者に制限されます。これは、ユーザー認証モデルによって制御されます。
b) 適切な場合には、お客様のデータによって、異なるデータベースに保存します。
c) センシティブな個人データを含む外部記憶媒体は、暗号化され、物理的に保管されます。
d) データを入力、変更、および削除する権利は、権限概念に基づいて割り当てられます。
e) 消去の権利は制限的に付与されます。
8. 個人データが処理される場所での物理的セキュリティを確保するための措置
a) システムおよびサービスは、偶発的または違法な破壊、偶発的な損失、改ざん、不正な開示またはアクセスから保護されています。
b) 24 時間 365 日の警報を含む強盗警報システムが設置されています。
c) 外装および間仕切り用の室内ドアは、磁気および開閉式の接点で固定されています。
d) キーやカードキーは個人に割り当てられています。
e) 入り口や受付には、勤務時間中いつでも社員がいます。
f) 建物および入口は常にビデオで監視されています。
g) 訪問者には必ず従業員が同行します。
h) 外部の人材は慎重に選定されています。
i) 外部のサービスプロバイダーによって収容、ホスト、および保守されているシステムについては、当該サービスプロバイダーによって実施および保守されるべき対応措置が手配されます。
9. イベントログを確実に記録するための措置
a) アクセス権限とデータ検索は監視され、記録されます。
b) キーやカードキーの割り当ては記録されます。
c) 訪問者のアクセスは記録されます。
d) データの入力、変更、削除は記録されます。
e) データの復旧作業は記録されます。
f) TOMS の有効性試験結果は記録されます。
g) 報告体制試験結果は記録されます。
h) セキュリティインシデントおよびデータ侵害は記録されます。データ侵害の性質、関係するデータ主体のカテゴリーおよび概数、関係する個人データ記録のカテゴリーおよび概数、期間、データ侵害の結果、データ回復の手順、悪影響を緩和するために取られた措置、データ侵害を報告した者の氏名およびデータ侵害が報告された者の氏名を含む記録が維持されます。
i) ログは、ユーザーグループではなく、個々のユーザーの追跡を可能にします。
10. デフォルト設定を含む、システム設定を確保するための措置
a) データ主体が同意を撤回する権利を容易に行使できるような技術的措置が
講じられています。
b) データ保護に配慮したデフォルト設定を、標準および個別のソフトウェアで使用しています。
11. 内部IT およびIT セキュリティのガバナンスおよび管理のための措置
a) 悪意のあるソフトウェアによるシステムへの不正アクセスを防ぐために、サーバーやクライアントにウイルス対策ソフトやファイアウォールを導入しています。
b) 侵入検知システムを実装しています。
c) セキュリティインシデントに対処するための正式な手順が実施されています。
d) 外部からのリモートアクセスを監視しています。
e) IT ハードウェアおよびソフトウェアは、セキュリティ上の理由で更新または交換が必要かどうか を評価するために、あらかじめ定義された間隔でチェックされます。
12. プロセスおよび製品の認証/保証のための措置
a) システムや製品に対する認証の必要性を定期的に評価しています。
b) データセキュリティ認証(該当する場合)および監査(場合によっては侵
入テストを含みます)は定期的に繰り返し実施されます。
13. データ最小化を確保するための措置
a) 個人データは、意図された目的を果たすために必要な範囲でのみ収集されます。
b) 保有する個人データの見直しを定期的に行います。これ以上使用されず、かつ法的または契約上の要件で削除が禁止されていない場合には、当該個人データを削除します。
14. データ品質を確保するための措置
a) 必要に応じて、データの入力には妥当性のテストが行われます。
b) 必要に応じて、ユーザーに、入力されたデータを確認する機会を提供します。
15. 限定的なデータ保持を確保するための措置
a) 適切かつ可能な場合は、保存期間を定めます。
b) 可能かつ適切な場合には、本番システム内の文書およびデータに自動アーカイブプロトコルを使用します。
16. 説明責任を果たすための措置
a) セキュリティインシデントおよびデータ侵害をフォローアップするための、
正式な手順が定義されています。
b) データ保護原則の遵守に関連する管理メカニズムは、適用されるデータ保護法の要件に基づいています。
c) 報告体制は、グループおよび各部署の組織と連携しており、合理的かつ、該当する場合には、法的な時間枠内での対応を可能にしています。
d) 報告体制の有効性は、あらかじめ定義された間隔で試験されます。
e) 試験の結果、報告体制が実施されていない、または十分に実施されていない、あるいは必要な有効性を有していない場合には、適切な措置が定められ、実施されます。
17. データポータビリティを可能にし、ならびにデータ削除を確保するための措置
a) データポータビリティに関する責任が明確に定義されてい
b) データからのデータポータビリティの要求に対する正式な手順が実施されています。
c) 採用しているシステムの選択機能により、データセットを識別・分離でき
ます。
d) データポータビリティの要求は、遅滞なく適切な部署に送信され、いかなる場合も法定期限に間に合うように迅速に対処されます。
e) 主契約の終了時にプロバイダーのシステムから個人データを確実に削除するための適切な措置が講じられています。
f) データポータビリティを担当する個人はトレーニングを受けており、データポータビリティに関する要求を処理する能力を有しています。特に、どの情報を開示、転送または削除しなければならず、どの要求またはその一部に応じてはならないかが明確に定義されています。
g) 個人データは、構造化され、一般的に利用され、機械可読な形式で、安全な方法で送信されます。