原契約に付随するデータ処理に関する覚書(以下、「DPA」といいます)は、Dell が貴社(以下、「お客様」といいます)に対し、プライバシー法が適用される個人データの処理を伴い、Dell が管理者であるお客様の代わりに処理者として対応する、提 供クラウドサービス契約に基づく提供クラウドサービス(以下、「提供サービス」といいます)を提供する場合に、適用されます。Dell が管理者である場合には、DPA は適用されません。DPA と原契約との間に矛盾がある場合、DPA の対象となる事項に関しては DPA...
データ処理に関する覚書
原契約に付随するデータ処理に関する覚書(以下、「DPA」といいます)は、Dell が貴社(以下、「お客様」といいます)に対し、プライバシー法が適用される個人データの処理を伴い、Dell が管理者であるお客様の代わりに処理者として対応する、提供クラウドサービス契約に基づく提供クラウドサービス(以下、「提供サービス」といいます)を提供する場合に、適用されます。Dell が管理者である場合には、DPA は適用されません。DPA と原契約との間に矛盾がある場合、DPA の対象となる事項に関しては DPA が優先するものとします。
1. 定義
DPA で定義されていない用語の意味は、原契約に規定するとおりとします。DPA 内の次の用語の意味は以下のとおりとします。
1.1 「原契約」とは、提供クラウドサービス契約のことをいいます。
1.2 「管理者」とは、単独でまたは他者と共同で、個人データを処理する目的および手段を決定する法人のことをいいます。
1.3 「GDPR」とは、EU 一般データ保護規則(2016/679)のことをいいます。
1.4 「モデル条項」とは、欧州経済領域(以下、「EEA」といいます)から英国を含む EEA 以外の国への移転に関する個人データの移転にかかる標準契約条項(決定 2021/914 / EU)のことをいい、随時変更または差替えが行われる場合があり、また英国から英国 GDPR により適格認定されていない国への移転に関し、処理者への個人データの移転にかかる標準契約条項(決定 2010/87/EU)を意味します。
1.5 「個人データ」とは、Dell が原契約を履行する際に処理する、識別された、または識別可能な自然人に関連するあらゆる情報のことをいいます。
1.6 「個人データ侵害」とは、DPA に基づき処理される個人データに対する、偶発的または違法な破棄、喪失、改ざん、不正開示、および不正アクセスを引き起こすセキュリティ侵害のことをいいます。
1.7 「プライバシー法」とは、原契約の当事者が従い、提供される提供サービスに適用されるデータ保護およびプライバシーに関するあらゆる法律のことをいいます。プライバシー法には(適用がある場合)GDPR、英国 GDPR、カリフォルニア州消費者プライバシー法(以下、「CCPA」といいます)およびこれらと同様のその他の法律が含まれます。
1.8 「処理」とは、自動的な手段によるものか否かを問わず、個人データまたは個人データ一式に対して実施する作業または一連の作業で、収集、記録、整理、構造化、保存、翻案、変更、抽出、参照、利用、送信による開示、拡散もしくはその他の方法による提供、調整、結合、制限、消去、または破棄などのことをいいます。
1.9 「処理者」とは、管理者の代わりに個人データを処理する法人のことをいいます。
1.10 「副処理者」とは、提供サービスを提供するために、Dell が従事させる処理者のことをいいます。
1.11 「英国 GDPR」とは、英国国内法に基づいて欧州連合から英国が離脱するまで維持される GDPR を意味し、英国データ保護法 2018 と併せて読む必要があり、随時修正される可能性があります。
2. 個人データの処理
2.1 両当事者の役割
Dell は、管理者であるお客様の代わりに、処理者として、原契約に基づき個人データを処理することができます。
2.2 指示
Dell は、お客様の書面による指示に従い、個人データを処理するものとします。お客様は、DPA、原契約およびそれに続く作業範囲記述書またはサービス注文書、ならびに、お客様またはお客様に権限を付与されたユーザーによる設定が、個人データの処理に関する Dell への完全な指示を構成することに同意します。追加の指示または代替的な指示(かかる指示を遵守することに関連する費用を含みます)については、両当事者が書面で合意しなければなりません。Dell は、お客様の指示が適用される法律に準拠しているか否かを判断する責任を負わないものとします。ただし、お客様の指示が適用されるプライバシー法
に違反していると Dell が自ら判断した場合、Dell は合理的に実務上可能な限りすみやかにお客様に通知するものとし、かかる違反している指示を遵守する義務を負わないものとします。Dell および副処理者は、お客様の指示に従った作為または不作為の範囲において、Dell および/または副処理者による作為または不作為に起因するお客様または第三者による請求に対してはいかなる責任も負わないものとします。
2.3 処理の詳細
処理の対象となる事項の詳細、処理の期間、性質および目的、ならびに個人データの種類およびデータ主体は、原契約および付属書 1 に記載のとおりとします。
2.4 法令遵守
お客様および Dell は、提供サービスに関連して処理する個人データに適用されるプライバシー法における各自の義務を遵守することに合意します。お客様は、個人データを Dell に開示、移転またはその他の方法で提供する前に、個人データの処理の適法性に関して、プライバシー法を遵守する責任を単独で負います。
3. 副処理者
3.1 副処理者の使用
Dell は、お客様から包括的または限定的な書面による同意を得て、副処理者を使用することができます。お客様は、提供サービスに関連して個人データを処理するために、Dell が副処理者を任命し、かかる副処理者を使用することができることに同意します。ただし、Dell が、(i)副処理者が提供するサービスに関連する義務、および(ii)DPA における Dell の権利もしくは義務またはその両方と実質的に同等の義務を課す書面による契約を各副処理者と締結することを条件とします。副処理者には第三者または Dell のグループ企業が含まれる場合があります。副処理者が上述の自己のデータ保護義務を履行しなかった場合、Dell は副処理者による義務の履行について、お客様に対する責任を負うものとします。
3.2 副処理者の一覧
Dell は、Dell が提供サービスの提供をサポートさせる副処理者の一覧を xxx.xxxx.xxx/xxxxxxxxxxxxx に掲載します。
4. セキュリティ
4.1 技術的セキュリティ対策および組織的セキュリティ対策
業界基準、導入コスト、処理の性質、範囲、背景および目的、ならびに Dell のシステム上の個人データの処理に関連するその他の状況を考慮して、Dell は、個人データの処理に関わる処理システムおよび提供サービスのセキュリティ、機密性、完全性、可用性および耐障害性が当該個人データに関するリスクに対応したものであることを確保するために、適切な技術的セキュリ ティ対策および組織的セキュリティ対策を導入するものとします。お客様は、原契約に記載されている技術的セキュリティ対策および組織的セキュリティ対策が個人データ保護のための適切な水準のセキュリティを実現し、本条の要件を満たしていることに同意します。Dell は、定期的に(i)Dell の保護策、管理策、システムおよび手順の有効性をテストおよび監視し、(ii)個人データのセキュリティ、機密性および完全性に対する合理的に予見可能な社内外のリスクを特定するものとします。お客様は、お客様が提供または管理するサービスおよび製品に対するプライバシー対策およびセキュリティ対策を導入、設定および維持す る責任を負います。
4.2 技術の進歩
情報セキュリティ対策は技術の進歩および開発によって変わるものであり、Dellはかかる対策を変更することができます。ただし、かかる変更によって、原契約に基づき提供される提供サービスの全体的なセキュリティが低下しないことを条件とします。
4.3 アクセス
Dell は、個人データにアクセスする権限を有する者が(i)機密保持を誓約していること、または適切な法律上の機密保持義務を負っていること、および(ii)適用される法律が個人データへのアクセスを義務付けている場合を除き、Dell の書面による指示のみに従って個人データにアクセスすることを確保するものとします。
5. 個人データ侵害
Dell は、原契約に基づき Dell が提供する提供サービスに関連する個人データ侵害を知った場合、不当に遅滞することなく、お客様に通知し、合理的な努力を尽くして、お客様が個人データ侵害の悪影響を(可能な場合に)軽減することを支援するものとします。
6. 越境移転
提供サービスの提供に関連して、または事業の通常の過程において、Dell は、世界中の Dell の関係会社もしくは副処理者またはその両方に個人データを移転する権限を有しています。かかる移転を行う場合、Dell は、原契約に基づきまたは原契約に関連して移転する個人データを守るための適切な保護を整備することを徹底するものとします。提供サービスの提供において、 EEA または英国から EEA または英国以外の(プライバシー法に基づく十分性の決定の対象とならない)国に個人データを移転する場合、Dell は、適用されるプライバシー法に従って、適切な補完措置またはその他の適切なデータ移転のプロセスとともに、モデル条項を利用することに同意します。
7. 個人データの削除
両当事者は、提供サービスの終了時(理由は問いません)には、原契約に定めるデータ削除プロセスに従うことに合意します。
8. 協力
8.1 データ主体からの要求
Dell は、個人からプライバシー法におけるデータ主体としての自己の権利を行使する旨の要求を受けた場合、すみやかにお客様に通知するものとします。お客様は、かかる要求に対応する責任を負います。Dell は、お客様が提供サービスの利用において関連する個人データにアクセスすることができない限りにおいて、お客様がデータ主体からの要求に対応することを合理的に支援するものとします。支援費用が通常料金を上回った場合、Dell は当該支援にかかる費用をお客様に請求する権利を留保します。
8.2 第三者からの要求
提出命令、裁判所の命令、行政機関の決定、またはその他の法令上の要求により、Dell がお客様のコンテンツを開示する必要がある場合、Dell は、適用される法律が禁止していない限り、実務上可能な限りすみやかにお客様に通知し当該要求の写しを提供するものとします。お客様が要求した場合、Dell は、お客様の費用負担により、要求された開示に異議を唱えるための合理的な措置を講じるものとします。
8.3 プライバシー影響評価および事前協議
プライバシー法により要求される範囲において、Dell は、Dell が引き受けた個人データの処理に関連するデータ保護影響評価もしくは監督機関との必要な事前協議またはその両方をお客様が実施することを合理的に支援するものとします。Dell は、当該支援にかかる合理的な費用をお客様に請求する権利を留保します。
9. コンプライアンスの実証
Dell は、お客様からの監査要求に応じて、Dell 組織のセキュリティに関する取組みおよび姿勢に関連する標準化された情報収集(以下、「SIG」といいます)についての質問票(以下、「セキュリティ質問票」といいます)に回答することに同意します。セキュリティ質問票は、1 年に 1 回見直され、Dell の方針および基準に関連付け、関連する最新の米国内外の規制基準およ びプライバシー基準(NIST 800-53r4、NIST CSF 1.1、CIS トップ 20、または ISO 27001 など(該当する場合))に合わ せて更新されます。標準契約条項または適用されるプライバシー法に基づく監査に関するお客様の要求事項を、セキュリティ質問票、証拠書類またはDell が顧客に一般提供しているコンプライアンス情報では合理的に満たすことができない限りにおいて、 Dell は、監査に関するお客様の追加指示にすみやかに回答するものとします。監査の開始前に、お客様および Dell は、当該監査の範囲、時期、期間、管理証拠の要件、および料金について相互に合意するものとします。ただし、かかる合意義務は、 Dell が監査の実施を不合理に遅延することを認めるものではないものとします。監査実施の必要な範囲において、Dell は、 Dell の個人データの処理に関連する処理システム、施設、および裏付け証拠書類を閲覧可能にするものとします。かかる監査は、相当な期間を定めて事前に Dell に通知した上で、第三者である独立した認定監査事務所が、通常の営業時間内に、合理的な機密保持手順に従って、実施するものとします。お客様および監査人のいずれも、Dell の他の顧客のデータ、ならび に提供サービス外の Dell のシステムおよび施設へのアクセスしないものとします。お客様は、Dell が実施するサービスの対価に加えて、Dell が当該監査のために支出した合理的なすべての費用および料金を含め、時期を問わず、当該監査に関連するすべての費用および料金を支払う責任を負います。お客様による監査の結果として作成された監査報告書において重大な不
適合が指摘されている場合、お客様は当該監査報告書を Dell に共有し、Dell は重大な不適合をすみやかに是正するものとします。
10. CCPA
Dell がCCPA の範囲内で個人データを処理している場合、Dell は、お客様の代わりに個人データを処理するものとし、DPAに定める目的および CCPA において認められている目的以外の目的のために個人データを保持、利用および開示してはならないものします。また、いかなる場合でも、Dell は個人データを販売してはならないものとします。
付属書 1
データ処理の詳細
1. 処理の主題および期間
処理の内容および期間は原契約に定めるとおりとします。
2. 処理の目的
選択したサービスレベルおよびサポートオプションによって規定されるとおり適切に提供サービスを提供するために個人データを処理するものとします。詳細および将来発生する可能性がある追加のサービスについては、原契約、ならびに関連する提供サービス概要および作業範囲記述書(以下、「提供サービス説明書」といいます)が適用されるものとします。
3. 処理の性質
処理対象の個人データの性質は、関連するサービス概要および提供サービス説明書に記載されます。
4. データ主体の類型
データ主体は、お客様のエンドユーザー、従業員、請負業者、サプライヤーおよび提供サービスに関連するその他の第三者とします。
5. 個人データの種類
お客様が提供する可能性がある個人データの種類は、関連する提供サービス概要および作業範囲記述書に記載されます。別段の明示がない限り、Dell は、特別な種類の個人データを処理せず、お客様は、特別な種類の個人データ、個人保健情報、およびこれらに類似するその他の個人データを提供してはならないものとします。