Brain Corporation EULA データ保護追加契約
Brain Corporation EULA データ保護追加契約
この EULA データ保護追加契約(以下「本追加契約」といいます)は、お客様(以下「エンドユー ザー」といいます)と Brain Corporation(以下「Brain」といいます)との間で締結されるエンドユーザー使用許諾ライセンス契約書(以下「EULA」といい、EULAと本追加契約を合わせて以下「本契約」といいます)に組み込まれ、その条件に従うものです。
1. 定義された用語。本追加契約で使用されている用語のうち、本契約で特に定義されていないものは、EULA に記載されているのと同じ意味を持つものとします。
a. 「関連会社」とは、対象事業体を直接的または間接的に支配しているか、支配されているか、または対象事業体と共通の支配下にある事業体を意味します。この定義において「支配」と は、対象事業体の議決権の50%以上を直接または間接的に所有または支配することを意味し ます。
b. 「BrainOS 搭載ロボット 」とは、本ソフトウェアを搭載し、EULA に基づく有効なサブスクリプションの下で提供されるロボットを意味します。
c. 「エンドユーザー個人データ」とは、BrainOS 搭載ロボットのソフトウェアを利用する際に、エンドユーザーの従業員、契約者、その他の指定された代理人から Brain に提供された個人 データをいいます。
d. 「管理者」とは、個人データの処理の目的および手段を決定する事業者をいいます。
e. 「データ法」とは、関連する法域において個人データの処理に適用されるデータ保護およびプライバシーに関する法律および規制を意味します。
f. 「データ主体」とは、エンドユーザー個人データが関連する、識別された、または識別可能な人を意味します。
g. 「EEA」とは、欧州経済領域を意味します。
h. 「欧州データ法」とは、欧州の管轄区域で適用されるすべてのデータ保護およびプライバシ ーに関する法令を意味し、EEA 領域については、一般データ保護規則(EU)2016/679 およ びその後継法とそれに関連する各国の実装(以下「GDPR」といいます)、英国については、 2018 年英国データ保護法を含みます。
i. 「非欧州データ法」とは、別紙 4 に記載されている欧州以外の地域で適用されるすべてのデータ保護およびプライバシーに関する法律および規制をいいます。
j. 「処理」とは、自動化されているか否かにかかわらず、エンドユーザー個人データまたはエンドユーザー個人データの集合に対して行われるあらゆる操作または一連の操作を意味し、収集、記録、整理、構造化、保存、適応または変更、検索、相談、使用、送信による開示、配布またはその他の利用可能な状態にすること、整列または結合、制限、消去または破壊などが含まれます。
k. 「セキュリティ・インシデント」とは、本サービスに関連して、以下を意味します。(i) エンドユーザー個人データの損失または誤用(手段を問わない)、(ii) エンドユーザー個人データの不注意、不正、および/または違法な開示、処理、改変、破損、販売、貸与、もしくは破壊、またはエンドユーザー個人データに関するその他の違反行為。(iii) 本サービスにおけるエンドユーザー個人データの脆弱性の侵害もしくは悪用、または (iv) 本項(1.k.i)もしく
は(1.k.iii)に記載された事象のいずれかにつながるエンドユーザー個人データの脆弱性の確認された暴露もしくは悪用(作為もしくは不作為に起因する可能性があります)。
l. 「本サービス」とは、EULA に基づいて Brain がエンドユーザーに提供するサービスをいいます。
m. 「標準契約条項」または「SCC」とは、欧州委員会が 2020 年 11 月 12 日に公表した「規則
(EU)2016/679 に基づき、十分なデータ保護水準を確保していない第三国に設立された処理者への個人データの移転のための標準契約条項」に関する実施決定案に基づき、エンドユーザーと Brain の間で締結され、別紙 V として添付されている契約書を意味します。
n. 「復処理者」とは、処理を実行するために、本追加契約の別紙 III に従って Brain が関与する第三者をいいます。
o. 「本期間 」とは、EULA に基づく有効な利用権の期間を意味します。
2. データの処理
a. 両当事者の役割。両当事者は、本サービスに基づくエンドユーザー個人データの処理に関して、エンドユーザーが管理者であり、Brain が処理者であることを認めます。
b. Brain による個人データの処理。Brain およびその関連会社は、エンドユーザーの文書化された指示に従って、エンドユーザー個人データを処理するものとします。Brain およびエンドユーザーは、Brain およびその関連会社がエンドユーザー個人データを別紙I に記載された目的、期間およびその他の詳細のために処理することに同意するものとします。
c. エンドユーザーの遵守義務。本第 2 条(データの処理)の一般性を制限することなく、エンドユーザーは以下を保証します。
i. エンドユーザーは、エンドユーザー個人データの正確性、品質、適法性、およびエンドユーザーがエンドユーザー個人データを取得した手段について単独で責任を負うものとします。
ii. エンドユーザーは、本サービスの使用が、データ法に基づき適用される範囲で、エンドユーザー個人データの販売またはその他の開示を拒否したデータ主体の権利を侵害しないことを明確に認めます。
iii. エンドユーザーは、GDPR 第 13/14 条の基準および要件を満たすのに十分な、本追加契約の下で、および本追加契約に関連して行われるエンドユーザー個人データのすべての処理について、影響を受けるデータ主体に、正確で、理解しやすく、簡潔で、目立ち、かつ容易にアクセスできる説明を提供するために、(エンドユーザー個人データが収集される状況の性質を考慮して)すべての必要な手段を講じたこ と、また本期間中を通じて講じることをさらに約束しています。
3. データ・セキュリティ
a. Brain のセキュリティ対策。Brain は、自然人の権利および自由に対する様々な可能性および重大性のリスクと同様に、技術の状況、実施費用、処理の性質、範囲、状況および目的(別紙 I に記載)を考慮して、別紙 II にさらに記載されているように、エンドユーザー個人データに対する偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスからエンド
ユーザー個人データを保護するために設計された技術的および組織的措置を実施し、維持しています。 Brain は、そのような更新および修正がエンドユーザー個人データの全体的なセキュリティを著しく低下させないことを条件に、そのセキュリティプログラムを適宜更新または修正することができます。
b. Brain のスタッフによるセキュリティの遵守。Brain は、エンドユーザー個人データへのアクセスを、適切な機密保持義務に服する、業務上アクセスが必要な従業員、契約者、および復処理者にのみ許可します。
c. Brain のセキュリティ支援。エンドユーザー個人データの処理の性質および Brain が入手可能な情報を考慮して、Brain は、以下のとおり、エンドユーザーがGDPR 第 32 条から第 34 条を含む欧州データ保護法に基づくエンドユーザー個人データに関する義務を遵守するために必要な合理的な支援をエンドユーザーに提供します。
i. Brain の復処理者が、第 3 条(a)(セキュリティ対策)に従い、セキュリティ対策を実施し、維持していることを確認すること。
ii. 第 4 条(セキュリティ・インシデント)の条件に従うこと、および
iii. 第 5 条(監査)および本追加契約を含む本契約に従って、エンドユーザーに資料を提供すること。
4. セキュリティ・インシデント
a. Brain の義務。Brain は、実際にセキュリティ・インシデントが発生したことを認識した後、遅滞なくエンドユーザーに電子メールおよび/または電話で通知するものとします。Brainは、当該セキュリティ・インシデントの原因を調査し、エンドユーザーへの被害を最小限にとどめ、当該セキュリティ・インシデントの再発を防止するために合理的な措置を講じるものとします。Brain は、かかるセキュリティ・インシデントを調査し、Brain のセキュリティ・プログラムおよび適用法令に従い、かかるセキュリティ・インシデントに至った問題を排除または抑制するために必要な措置をとるものとします。両当事者は、影響を受けるデータ主体に対する公表文、必要な通知、および/または関連するデータ保護当局への通知の内容を作成するにあたり、誠意をもって調整することに同意します。
b. エンドユーザーの義務。関連する公表文または必要な通知の内容に同意することを除き、エンドユーザーは、エンドユーザーに適用される事故通知法令を遵守し、セキュリティ・インシデントに関連する第三者への通知義務を果たすことに単独で責任を負います。セキュリティ・インシデントに関する Brain の通知または対応は、セキュリティ・インシデントに関する Brain の過失または責任を認めるものとは解釈されません。
エンドユーザーは、第 4 条(セキュリティ・インシデント)に基づく Brain の義務にかかわらず、エンドユーザーが以下を含む本サービスの利用について単独で責任を負うことに同意します。
i. 本サービスを適切に利用し、エンドユーザー個人データのリスクに応じたセキュリティレベルを確保すること。
ii. エンドユーザーが本サービスにアクセスするために使用するアカウント認証資格、システム、およびデバイスのセキュリティを確保すること。
iii. 本サービスを提供するために Brain が使用するエンドユーザーのシステムおよびデバイスの安全性を確保すること、および
iv. エンドユーザー個人情報をバックアップすること。
5. 監査。Brain は、Brain のセキュリティ・プログラムの有効性を評価、テスト、およびモニタリン グし、かかる評価、テスト、およびモニタリングの結果によって合理的に保証される場合には、 Brain のセキュリティ・プログラムを調整および/または更新します。Brain は、随時、Brain の エンドユーザー個人データ保護プログラムの実施および維持、ならびに関連するデータ法の遵 守に関する評価(以下「監査報告書」といいます)を行うことがあります。エンドユーザーの 合理的な要求に応じて、Xxxxx はその時点で最新の監査報告書を提供するものとします。ただし、エンドユーザーは、xxx監査報告書が Brain の秘密情報であることに同意するものとします。
6. 法的に必要な開示。Xxxxx は、行政機関、規制機関、その他の政府機関の召喚令状、司法、行政、仲裁命令を含む法的要請、要求、命令に対応するため、Brain または第三者の安全、財産、権利 を保護するため、違法、非倫理的、または法的に対処可能な活動を防止または停止するため、 または適用される法律を遵守するために、Brain の合理的な裁量により、必要または適切である と判断した場合、エンドユーザー個人データおよびエンドユーザーに関するその他の情報を政 府または法執行機関の職員または民間人に開示することができます。適用法令により別途要求 される場合を除き、Brain は、Brain が受領した、エンドユーザー個人データの処理に関連する法 的要請、要求、および命令をエンドユーザーに通知します。
7. データ主体の権利
a. 要請に対するエンドユーザーの責任。Brain がデータ主体からエンドユーザー個人データに関する要請を受けた場合、Brain はデータ主体に対し、エンドユーザーに要請を提出するよう助言し、エンドユーザーはかかる要請に対応する責任を負うものとします。
b. Brain のデータ主体要請支援。エンドユーザー個人データの処理の性質を考慮して、Brain は、その復処理者に対し、エンドユーザーがデータ主体からの要請に対応する適用法上の義務を 果たすために必要な合理的な支援をエンドユーザーに提供するよう要求します。エンドユー ザーは、本サービスの一部として含まれるセルフサービス機能の提供を超える支援について は、要請に応じてエンドユーザーに提供される Brain のその時点でのプロフェッショナルサ ービス料金を Brain に支払うものとします。
8. EEA 域外へのデータ移転。エンドユーザー個人データの保管および/または処理が EEA 内で行われ、EEA またはスイス国外へのエンドユーザー個人データの移転を伴い、当該データの移転に欧州データ保護法が適用される場合、Brain およびその復処理者は、SCC に従って当該移転を行い、要求に応じて当該移転に関する情報をエンドユーザーに提供します。
9. 復処理者。エンドユーザーは、Brain がエンドユーザーに代わってエンドユーザー個人データを処理するために復処理者を従事させることができることを認め、同意するものとします。承認された復処理者のリストは、別紙III に記載されています。エンドユーザーは、かかる承認されたすべての復処理者が、本契約に定める性質および目的のためにエンドユーザー個人データを処理することが認められることに同意します。Brain は、別紙 III に記載された復処理者のリス
トを維持します。Brain は、復処理者がエンドユーザー個人データの処理を開始する前の 10 暦 日以内に、新しい復処理者を反映させるためにウェブサイトを更新します。エンドユーザーは、新たな復処理者の追加に対して合理的に異議を唱えるために、10 暦日の猶予を持つものとしま す。
10. 記録の保持および破棄。Brain は、エンドユーザーのために行ったエンドユーザー個人データに関する処理活動に関する記録を、少なくとも本期間中は保持するものとします。本契約が終了した場合、Brain は、保有するすべてのエンドユーザー個人データを削除するものとします。ただし、Brain は、適用法令で要求される範囲内で、かかるエンドユーザー個人データのコピーを保持することができます。
11. 通知。本契約に基づきエンドユーザーに対して必要なまたは許可される通知は、エンドユーザーの Brain との主たる連絡先に提供することができます。本契約に基づき Brain に対して必要なまたは許可される通知は、xxxxxxx@xxxxxxxxx.xxx に電子メールを送信することにより提供することができます。エンドユーザーは、当該電子メールアドレスが有効であることを確認することに単独で責任を負います。
12. 法域固有の条件。非欧州データ法で保護されたエンドユーザー個人データを Brain が処理する場合、本契約に定める条件に加えて、これらの適用法域に関する別紙 IV に規定された条件が適用されます。当該法域固有の条件と本追加契約の間に矛盾がある場合は、当該法域固有の条件が優先するものとします。
13. 各条項の効果。本契約に別段の定めがある場合を除き、別紙を含む本追加契約の条項は、本契約の一部であり、本契約に組み込まれています。また、本追加契約の条項は、その主題に関する両当事者の完全かつ排他的な合意を構成します。本追加契約と EULA の条項との間に矛盾や不一致がある場合は、本追加契約が優先されます。
別紙 I - 処理の詳細
主題 | 本契約に基づき、本契約に従ってエンドユーザーに本サービスを提供することに関連して、エンドユーザーが特定の敷地内に BrainOS 搭載ロボットを展開すること。 |
処理の期間 | 本契約に基づく Brain によるエンドユーザー個人データの処理の全体的な期間は、本期間に加えて、本期間の満了から本契約に従って Brain がすべてのエンドユーザー個人データを削除するまでの期間となります。 |
処理の性質と目的 | Brain は、かかるエンドユーザー個人データを以下の目的で処理します。 i. 本サービスの提供、サポート、保守など、本サービスをサポートするための処理(EULA に規定されたその他の処理を含む)。 ii. エンドユーザーとのコミュニケーション、サポートチケットおよび要請の処理、ならびに Brain とエンドユーザーとの間のビジネス関係を一般的にサポートすることを含むがこれに限定されない、本契約に合致したエンドユーザーの指示に従うための処理。 iii. EULA に規定された、または要求された処理。 iv. 本サービスの利用に関連して、エンドユーザーまたは自然人を特定できない匿名および/または集計データを作成および創出し、Brain の製品およびサービスを向上させるために当該データを使用、公表または第三者と共有すること。 |
データおよびデータ主体のカテゴリー | データのカテゴリーには、本サービスを利用するエンドユーザーの従業員、契約者、またはその他の指定されたエージェントの連絡先情報が含まれます。この情報には、姓名、ユーザー名、パスワード、携帯電話番号が含まれることがあります。 データ主体とは、本サービスにアクセスするエンドユーザーの従業員、契約者、またはその他の指定された代理人を指します。 |
別紙 II - セキュリティ対策
Brain の対策措置には、処理によってもたらされるリスクおよび保護されるべき個人データの性質に 適したレベルのセキュリティを確保するために設計された、適切な技術的、物理的、組織的な手段、基準、要件、仕様、または義務が含まれます。これには、技術の状況、実施費用、処理の性質、範 囲、状況、および目的、ならびに自然人の権利および自由に対する様々な可能性および重大性のリ スクが考慮されます。データ輸入者が実施する技術的および組織的なセキュリティ対策については、本追加契約に記載されています。
別紙 III - 承認された復処理者
エンドユーザーは、承認された Brain の復処理者のリストを xxxxx://xxx.xxxxxxxxx.xxx/xxxxx-xxxx- data-sub-processors/. で見ることができます。
別紙 IV - 法域固有の条件
カリフォルニア
(1) カリフォルニア州居住者の個人データの処理については、以下の追加条件が適用されます。
a. 各当事者は、California Consumer Privacy Act(CCPA)を遵守します。
b. 本契約に基づきエンドユーザーに代わって「処理」(CCPA で定義)するために、 Brain がエンドユーザーから「消費者」(CCPA で定義)の「個人情報」(CCPA で定義)を受領する範囲において、Brain は以下を行うものとします。
i. CCPA の下でエンドユーザーに対する「サービスプロバイダー」となること。
ii. 本サービスの特定の目的、または CCPA で許可された目的以外の目的で、個人情報を保持、使用、または開示しないこと(「ビジネス目的」(CCPA で定義)を含む)。
iii. 本サービスの提供以外の「商業目的」(CCPA で定義)のために、個人情報を保持、使用または開示しないこと。
iv. 個人情報を「販売」(CCPA で定義)しないこと。
v. 個人情報に関するプライバシー権の行使を求める個人の要請への対応に関連して、エンドユーザーの書面による指示に速やかに(いかなる場合も受領後 7 日以内に)従うこと。
(2) Brain が業務委託先、サービスプロバイダーまたは第三者にエンドユーザーの個人情報の処理を許可する場合、Brain は、当該業務委託先、サービスプロバイダーまたは第三者が CCPA に定義される「サービスプロバイダー」であり、CCPA に定義される「第三者」には該当しないように、契約を締結するものとします。
カナダ
(1) カナダ居住者の個人データの処理については、以下の追加条件が適用されます。
a. 復処理者がカナダ居住者に関連するエンドユーザー個人データを処理する限り、当該復処理者は、個人情報保護および電子文書法に基づく第三者であり、Brain は、本追加契約に定めるものと実質的に同様の保護を伴う書面による契約を締結しています。さらに、Brain は、かかる復処理者に対して適切なデューディリジェンスを行っています。
別紙 V - 標準契約条項
標準契約条項
十分なデータ保護水準を確保していない第三国に設立された処理者への個人データの移転に関する指令 95/46/EC の第 26 条(2)の目的のため。
エンドユーザー(EULA に定義されています。)
上の表で特定されたデータ輸出者(以下「データ輸出者」といいます)
- および-
Brain Corporation
(以下「データ輸入者」といいます)
それぞれを「当事者」といい、合わせて「両当事者」といいます。
データ輸出者によるデータ輸入者への別紙 1 に指定された個人データの移転について、個人のプラ
イバシーおよび基本的な権利と自由の保護に関する適切な保護策を導入するために、2020 年 11 月 12日の実施決定案に従って欧州委員会が採択する規則(EU)2016/679 に基づく、欧州経済領域のデータ管理者から米国のデータ処理者への個人データの第三国への移転に関する契約条項(本条項)について合意しました。
本条項は、以下のように選択されたオプションおよびオプションモジュールを参照として添付されています。
• 全セクション: Module TWO
• セクション II, 1.5 条: OPTION 1
• セクション II, 4(a)条: OPTION 1, 10 日
• セクション II, 6(a)条: OPTION Not Included
• セクション III, 1(e)条: OPTION 1, データ輸入者の所在地
• セクション III, 3(b)条: データ輸入者に関連する法域付属書 I、II、III は、本条項に添付されています。
別紙 V の付属書 I
A.当事者のリスト
データ輸出者: エンドユーザー(EULA で定義)
データ輸入者: Brain Corporation
B.移転の説明
両当事者は、Brain の処理活動の詳細が、本追加契約の別紙 I に記載されていることに同意します。
別紙 V の付属書 II
データのセキュリティを確保するための技術的・組織的措置を含む、技術的・組織的措置。
両当事者は、技術的および組織的措置が本追加契約の別紙 II に記載されていることに同意します。
別紙 V の付属書 III
復処理者のリスト
両当事者は、承認された復処理者のxxxが本追加契約の別紙 III に記載されていることに同意します。