PANOPTO DATA PROCESSING AGREEMENT
PANOPTO DATA PROCESSING AGREEMENT
(PANOPTO データ処理契約)
最終更新日:2022 年11 月
本データ処理契約(以下「本契約」)は、Panopto によるサービスの提供および顧客によるサービスの使用に関して Panopto と顧客との間で締結された技術サービス契約または類似の書面による契約(以下「技術サービス契約」)に従い、Panopto が処理者として処理する個人データに関して、データ保護法(以下に定義)に基づく両当事者の責任を規定するものである。顧客および Xxxxxxx は、それぞれ当事者といい、総称して両当事者という。
本契約について言及する技術サービス契約に基づき注文書を締結することにより、顧客は、本契約に拘束されることに同意したものとみなされる。あなたが勤務する会社などの事業体を代表して本契約を締結する場合、あなたは、顧客を本契約に拘束する法的権限を自身が有することを Panopto に対して表明する。あなたが当該権限を有していない場合、または顧客が本契約の条件に同意しない場合、あなたは、注文書を締結すること、またはその他の方法で本契約に同意することはできない。
本契約の適用
本契約を締結する顧客企業が技術サービス契約の当事者である場合、本契約は、技術サービス契約の追加条項であり、本契約の一部となる。この場合、技術サービス契約の当事者である Panopto 事業体(すなわち、Panopto, Inc.またはその関連会社のいずれか)が本契約の当事者となる。
本契約を締結する顧客企業が技術サービス契約に基づき Panopto またはその関連会社と注文書を締結した場合、本契約は、当該注文書および適用される更新注文書の追加条項であり、当該注文書の当事者である Panopto 事業体が本契約の当事者となる。
第1条 定義 本契約において使用されている用語のうち本契約に定義のないものは、技術サービス契約においてそれらの用語に割り当てられた意味を有する。本契約において、以下の鍵括弧で表示される用語は、以下に定める意味を有する。
1.1. 「顧客」とは、上記「本契約の適用」の項に規定される、本契約の当事者である顧客企業をいう。
1.2. 「データ保護法」とは、本契約に基づいて行われる Panopto の個人データの処理に適用されるデータ保護法または規則をいい、(a) EU 域内法、(b) 2018 年カリフォルニア消費者プライバシー法
(「CCPA」)、(c) 前記を批准、実施、補足し、またはこれに置き換わる法律もしくは規則、および
(d) 前記を遵守するために政府機関もしく規制機関または当局が発する指針または実施規則も含まれるが、これらに限定されない。いずれの場合にも、有効な範囲内で、随時更新、修正または置き換えられた版と する。
1.3. 「データ主体要求」とは、データ保護法に基づくデータ主体の権利を行使することを求めるデータ主体からの要求をいう。これには、GDPR 第3 章に基づくデータ主体の権利が含まれるが、これに限定されない。
1.4. 「本契約発効日」とは、本契約の発効日を意味する。
1.5. 「EU 域内」とは、欧州連合、欧州経済地域、英国(「英国」)およびスイスをいう。
1.6. 「EU 域内法」とは、(a)規則(EU) 2016/679(「GDPR」)、(b)2018 年英国欧州連合離脱法により修正され、英国法に組み込まれ、かつ 2019 年データ保護、プライバシーおよび電子通信規則(改正等) (EU 離脱)(SI 2019/419)別表1 により改正された GDPR(「英国GDPR」)、(c)1992 年6 月19 日付データ保護に関するスイス連邦法(SR 235.1)(「FADP」)、および 2023 年1 月1 日以降は、2020 年9月25 日付データ保護に関する改正スイス連邦法(「改正 FADP」)、(d)それらの後継版または修正版
(加盟国による GDPR の国内法への移植を含むが、これらに限定されない)、あるいは(d)EU 域内において適用される個人のデータ保護、セキュリティまたはプライバシーに関する他の法律をいう。
1.7. 「Panopto」とは、本契約の当事者であり、上記の「本契約の適用」の項に規定されるPanopto 事業体、すなわち、主たる事業所を 000 0 xx Xxxxxx, Xxxxx 0000, Xxxxxxx, 00000 に有する会社である Panopto, Inc.または、Panopto, Inc.の関連会社(場合に応じて)をいう。
1.8. 「個人データ」とは、(i)適用されるデータ保護法に基づき「個人データ」、「個人情報」、「個人識別情報」または実質的にこれらに類似するものと見なされるデータ、(ii)技術サービス契約に関連して Panopto が顧客に代わり処理するデータをいう。
1.9. 「個人データ違反」とは、送信、保管またはその他の方法で処理された個人データの偶発的または不法な破棄、紛失、改変、不正開示または不正アクセスにつながるセキュリティ違反をいう。
1.10. 「対象スタッフ」とは、Panopto の権限に基づいて個人データを処理する権限を与えられた Panopto のスタッフをいう。
1.11. 「サービス」とは、技術サービス契約に基づき Panopto が顧客に提供するサービスをいう。
1.12. 「標準契約条項」とは、欧州委員会、英国情報局長(英国から第三国への移転を申請することができる)により採択された欧州地域の個人データの第三国への移転に関する標準契約条項またはその後継条項をいう。「標準契約条項」とは、2021年EU標準契約条項および/または英国補足契約による改正後の2021年EU標準契約条項、または上記のいずれかに適用可能な後継条項を意味する。「2021年EU標準契約条項」とは、欧州委員会が採択した欧州域内の個人データの第三国への移転に関する標準契約条項、または、その後継条項を意味する。
1.13. 「復処理者」とは、技術サービス契約に関連した個人データの処理に関して、Panopto によりまたは
Panopto に代わり任命される者または事業体をいう。
1.14. 「第三国」とは、(a) GDPRに規定されているように欧州委員会からデータ移転に関する十分性の認定を受けていない国または地域、および/または(b) 英国GDPRに規定されているように「本質的に同等の」プライバシー法を有していない国または地域を指す。
1.15. 「英国補足契約」とは、2022年3月21日発効の2018年英国データ保護法第119A(1)に基づき英国情報コミッショナーが発行したEU委員会標準契約条項の国際データ移転の補足契約(バージョンB1.0)、または英国情報コミッショナーが随時承認する代替案を指す。
1.16. 本契約において、以下の用語(およびデータ保護法に基づき定義される実質的にこれらに類似する用語)は、データ保護法に定める意味を有し、別途同法に従い解釈される:業務、管理者、データ管理者、データ処理者、データ主体、処理者、販売、サービスプロバイダ、処理、移転。
第2条 本契約の範囲
2.1. 範囲 本契約は、Panopto が技術サービス契約に基づき個人データを処理する場合およびその範囲(「業務目的」)においてのみ適用される。処理の対象および期間、処理の性質および目的、個人データの種類およびデータ主体のカテゴリーは、本契約に添付される別紙 1 の付属書 I に記載される。同付属書は言及することにより本契約に組み込まれる。
2.2. 両当事者の役割 顧客と Panopto との関係において、顧客は、個人データのデータ管理者(データ保護法により定義される)および取引相手(総称して「管理者」という)であり、Panopto は、顧客によるサービスの入手および使用に関連して Panopto が処理する個人データのデータ処理者(データ保護法により定義される)およびサービスプロバイダ(総称して「処理者」という)である。
2.3. データ保護法の遵守 各当事者は、個人データの処理に関連してデータ保護法に基づく各自の義務を遵守する。サービスの入手および使用に関連して、管理者は、サービスの範囲内で個人データを処理し、データ保護法に基づき処理者に指示を付与する。
第3条 管理者の義務
3.1. 一般 管理者は、処理者に対し、以下を表明および保証する:(a)管理者は、技術サービス契約、本契約に規定される指示(以下に定義される)または管理者が別途与える指示を付与する正当かつ有効な権限を引き続き有すること、(b)管理者は、顧客コンテンツに関連して、個人データに関する問合せ(データ主体要求を含むがこれに限定されない)に対応する責任を有し、かつこれに速やかに対応すること。
3.2. データの品質およびインテグリティ 管理者は、個人データに関する正確性、品質および法令遵守について単独で責任を負う。管理者によるサービスの使用は、自然人のプライバシーまたはデータ保護の権利を侵害しない。処理者は、個人データの性質、範囲、出所、または管理者が個人データを取得する方法について管理責任を有さない。
3.3. 通知および選択 管理者は、そのエンドユーザーに管理者の処理活動に関する適切な通知を付与することにつき単独の責任を負う。管理者は、顧客コンテンツ、顧客コンテンツに対するコメントまたは顧客コンテンツへの言及、および顧客コンテンツへの閲覧アクセスを制限するためのサービスの設定(該当する場合)に含まれるまたはこれらに言及される個人データおよび個人機密データに関する必要または適切な仮名化または匿名化、およびこれらの合法的かつ適切な使用に関するすべての必要な同意および権利(処理に関するすべての必要な同意または許認可を含むがこれらに限らない)の収集および維持に単独で責任を負い、またはその他サービスに関連して管理者またはそのエンドユーザーが提供する個人データの処理に
関し、データ保護法に基づき有効な法的根拠を有する。また、管理者は、顧客コンテンツのバックアップの作成、保守およびテストについても責任を負う。
第4条 処理者の義務
4.1. 指示 管理者は、業務目的のために、技術サービス契約、本契約およびデータ保護法に合致する方法で、個人データの処理(第三国または国際機関への個人データの移転に関する場合を含む)を処理者に指示す
る(また、処理者の対象スタッフおよび復処理者に個人データの処理を指示する権限を処理者に付与する)
(総称して「指示」という)。処理者は、業務目的またはその他管理者もしくはデータ保護法により明示的に許可される目的以外の目的のために、個人データを販売せず、または個人データを保持、使用または開示しない。両当事者は、処理の性質および目的に関する管理者の完全かつ最終的な指示が、技術サービス契約および本契約に記載されることに合意する。指示の範囲を逸脱して処理を行う場合(もしあれば)は、管理者と処理者の間の書面による事前合意を必要とする。
4.2. 個人データの結合禁止 処理者は、自身が管理者に代わり処理する個人データと、他者からもしくは他者に代わり受領する個人データまたは個人とのやりとりから収集する個人データとを結合することを禁止される。ただし、処理者は、業務目的を遂行するため、またはその他サービスを提供するために必要な場合は、個人データを結合することができる。
4.3. 秘密保持 処理者は、データ保護法、規則もしくは公的機関により要求される場合、または本契約もしくは技術サービス契約により別途許可される場合を除き、管理者の書面による事前の同意なしに、第三者に個人データを開示または移転しない。
4.4. 法令遵守の協力 処理の性質および処理者が入手可能な情報を考慮の上、処理者は、以下の各号のいずれかまたは両方に関して、データ保護法に基づく管理者の義務(GPDR 第 32 条~第 36 条に基づくものを含む)を遵守するために管理者が合理的に要請した場合には、データ保護法により求められる協力および支援を管理者の費用負担で管理者に提供する:(a)管理者によるサービスの使用に関連したデータ保護影響評価(または適用されるデータ保護法に基づいて要求される類似のリスク評価)。ただし、処理者が情報を入手可能であり、かつ管理者が評価を行うために必要な情報にアクセスすることができない場合とする。(b)データ保護当局との事前協議(必要かつ適切な場合)。
4.5. セキュリティ対策 処理者は、技術水準、実施費用、処理の性質、範囲、背景および目的、ならびに個人の権利および自由に対する危険の様々な可能性および重大性、ならびに技術サービス契約に基づく活動の性質(適宜、GDPR 第 32 条(1)に言及される措置を含む)を考慮の上、サービスに関連して処理者が処理する個人データのセキュリティ、秘密保持、可用性およびインテグリティの水準を確保するために、合理的かつ適切な技術的および組織的措置を実施する。
4.6. 法的に義務付けられる開示 捜査当局が(召喚状または裁判所の命令等により)個人データ請求を処理者に送付した場合、処理者は、(i)捜査機関に対し、当該個人データを管理者に直接要求するよう再指令することを試み、かつ(ii)法的拘束力のある個人データの開示請求を直ちに管理者に通知して、管理者が保護命令または他の適切な救済を求めることができるようにする。ただし、別段の禁止(捜査の機密保持のための刑法上の禁止など)がある場合を除く。(i)に関連して、処理者は、捜査当局に管理者の基本的連絡先情報を提供することができる。
4.7. データ主体要求 処理者は、(i)データ主体から直接受領した要求(個々のオプトアウト要求、アクセス要求、訂正要求、ポータビリティ要求、および/または削除要求、ならびに類似するすべての個人の権利要求を含む)、または(ii)本契約に基づく個人データの処理に関連する苦情もしくは問い合わせ(処理が個人または第三者の権利を侵害するとの申し立てを含む)について、直ちに管理者に通知する。処理者は、適用されるデータ保護法により要求されない限り、当該要求または苦情に対応しない。管理者は、サービスの特徴および機能を使用して、サービスの一部として処理される個人データに変更を加えることができる。管理者がサービスの特徴および機能を使用してデータ主体要求またはその他の要求もしくは苦情に対応することができない場合、処理者は、管理者の書面による要求に応じて、データ保護法により要求される場合に限り、データ主体要求に関連して個人データの収集、処理または使用に関する情報を提供する管理者の義務を履行するために、商業上合理的な協力および支援を、管理者の費用負担で管理者に提供する。
4.8. 指示の抵触、法律との相違 処理者は、その合理的な見解において、管理者の指示が適用されるデータ保護法の要件に抵触する場合、または処理者が、理由の如何を問わず、契約上および法律上の義務を遵守することができないと予見する場合、直ちに管理者に連絡する。その場合、いずれの当事者も、本契約に準拠するデータ処理業務を中断する権利を有する。処理者は、データ保護法により指示を遵守せずに個人データを処理することを要求される場合(適用法により禁止される場合を除く)、管理者に通知する。
4.9. 違反の管理および公表 処理者は、個人データ違反を確認した後、不当に遅滞することなく、管理者にこ
れを通知する。処理者は、個人データ違反の原因を特定するために合理的な努力を尽くし、データ保護法の遵守を実証するために管理者が必要とするすべての違反関連情報を管理者に提供する。本項に基
づく個人データ違反を報告しまたはこれに対応する処理者の義務は、個人データ違反に関する過失または責任を処理者が承諾するものではなく、今後もそのように解釈されない。個人データ違反が管理者に関連するものである限り、処理者は、(a)管理者の書面による事前の同意および(b)違反公表の内容、媒体および時期に関する管理者の書面による事前の承認を得ずに、個人データ違反に関する公表
(「違反公表」)を行わない。ただし、適用法により開示または公表が要請される場合はその限りではない。
4.10. 個人データの返却 管理者は、サービスのその時点で有効な特徴および機能を使用して、有効期間中いつでも、サービスから個人データをエクスポートすることができる。顧客は、個人データに関するデータ保持義務につき、単独で責任を負う。技術サービス契約の満了または解除に関する顧客からの書面による要求に基づき、管理者がその時点で有効なサービスの特徴および機能を使用して処理者のシステムに保存された個人データを削除または上書きできない場合、処理者は、技術サービス契約の満了または解除後 60日以内に、データ保護法に基づいて、すべての個人データを削除しまたは管理者に返却する。ただし、処理者が、法律により、個人データの一部または全部の保持を義務付けられた場合はこの限りではない。ただし、管理者は、技術サービス契約による許諾に基づき、管理者およびそのユーザーが処理者のクラウドベースのアプリケーションにアップロードするファイルに含まれる個人データの既存のコピーについて責任を負う。処理者が保管または管理する個人データを返却または削除する義務は、(i)処理者がバックアップシステム上にアーカイブした個人データ(データベースバックアップを含むが、これに限定されない)、または(ii)監査ログに組み込まれた個人データには適用されない。個人データのバックアップおよびアーカイブコピーならびに監査ログに組み込まれた個人データは、それらが処理者の社内データ保持ポリシーに従って破棄されるまで、本契約の対象となる。管理者は、処理者の通常のデータ保持ポリシーの範囲外であるときは、管理者が処理者に実施要請する個人データの返却または削除に関連して処理者が負担するすべての費用を負担し、これを支払う。
第5条 記録および監査
5.1. 情報の提供 データ保護法により要求される範囲において、処理者は、顧客からの書面による要求に応じて、管理者がデータ保護法を遵守していることを立証するために必要な、処理者の管理下にある情報を管理者に提供する。
5.2. 管理者の監査権 管理者は、(i)技術サービス契約に定める秘密保持義務に従うことを条件として、処理者のその時点で最新の SOC-2 タイプ II 報告書の写し、および(ii)本契約に基づき処理者が実施するデータ処理活動に関連して EU 域内監督当局が追加情報を要請または要求する場合は、処理者が EU 域内監督当局に対して保有または管理する追加情報を提供することにより、データ保護法に基づく監査権を処理者を通じて行使することができる。
第6条 対象スタッフおよび復処理者
6.1. 指示 処理者は、データ保護法により別途義務付けられない限り(別途義務付けられた場合、処理者は、管理者に通知する)、指示に従ってのみ個人データを処理するよう処理者の対象スタッフおよび復処理者に要求する。
6.2. 秘密保持 処理者は、業務目的のために、個人データを処理者の対象スタッフおよび復処理者に開示または移転することができる。処理者は、その対象スタッフおよび復処理者が、技術サービス契約に定める義務と実質的に類似する秘密保持義務に服することを保証する。
6.3. 復処理者の任命 管理者は、業務目的による個人データの処理のために、別紙 3(「復処理者リスト」)に現在記載されている第三者たる復処理者の任命および処理者による当該復処理者の使用を承認する。処理者は、30 日前までに管理者に通知することにより(当該通知は、電子メールまたはサービスを通じて付与することができる)、復処理者リストに追加または変更を行うことができ、処理者は、処理の詳細および場所を含む復処理者リストの更新版を管理者に提供する。管理者が、上記通知から 14 日以内に、合理的なデータ保護理由に基づき、新しい復処理者の任命に異議を申し立てた場合、処理者は、次の選択肢
(処理者の単独裁量により選定される)のうち 1 つを通じて管理者が申し立てた異議を是正する権利を有する:(a)処理者は、当該復処理者なしでサービスを提供する合理的な代替案を提示する。
(b)処理者は、個人データに関して、適用される復処理者に対する管理者の異議を解消するための合理的な措置を講じた上で、当該復処理者の使用を続行する。(c)処理者は、当該復処理者の使用を伴うサービスの特定面の提供を中止する、または管理者はその使用を(一時的またはxx的に)中止することができる。上記の選択肢のいずれも処理者に合理的に提供されず、かつ処理者が管理者の異議を受領後
30 日以内に各当事者が合理的に満足するように異議が解消されない場合、いずれの当事者も、対象とな
る注文書を解除することができ、管理者は、解除日時点において履行されていないサービスの前払手数料 につき、按分で返金を受ける権利を有する。前記事項にかかわらず、処理者は、その単独の裁量において、処理者のサービスを提供するために変更の必要性が緊急かつ必要であり、また変更の理由が処理者の合理 的な支配を超えるものである場合、管理者に事前に通知することなく、復処理者を交代させることができ る。その場合、処理者は、合理的範囲で実際上可能な限り速やかに当該交代につき管理者に通知し、管理 者は、上記に従い、交代復処理者に異議を申し立てる権利を留保する。
6.4. 処理者の義務 処理者は、すべての復処理者が、かかる復処理者により提供されるサービスの性質に適用される範囲において、個人データの保護に関して、本契約に記載される条件と実質的に類似する条件を含む、書面による契約に拘束されることを保証する。技術サービス契約に別段の規定がある場合を除き、処理者は、本契約に基づき各復処理者のサービスを自ら直接実施する場合に処理者が負う責任と同等の範囲内で、自らの復処理者の作為および不作為につき、責任を負う。
第7条 国境を越えたデータ移転
7.1. 移転の一般承認 顧客は、Panopto およびその復処理者が、以下を行うことができることを承諾し、これに同意する:(a)州、県、国もしくはその他の管轄区域からサービスを提供すること、ならびに/または(b)Panopto もしくはその復処理者がデータ処理業務を継続している世界のいずれかの場所で個人データを移転および処理すること。Panopto は、常に、データ保護法の要件に従って、処理される個人データに対して適切なレベルの保護を提供する。上記にかかわらず、EU 域内個人データの移転は、下記の第
7.2 条(EU 域内個人データ移転)に定める要件に従うものとする。
7.2. EU 域内個人データ移転
7.2.1. 顧客からPanopto への移転
(a) EU 域内個人データ 管理者が EU 域内個人データ(英国個人データを除く)を第三国の処理者へ移転する場合は、2021年EU標準契約条項モジュール 2(管理者から処理者)(本契約に添付され、言及することにより別紙 1 として組み込まれる)に従う。明確にするため付言すると、2021 年EU標準契約条項が適用される場合、顧客および
Panopto が技術サービス契約に同意して署名した場合、2021 年EU標準契約条項にも同意して署名したものとみなされる。データを第三国に移転するために EU 域内法に基づく代替または追加の適切な保護措置またはメカニズムが必要となる場合、両当事者は、かかる保護措置またはメカニズムを合理的に可能な限り速やかに実施し、本契約の添付書類として実施に必要な要件を文書化することに合意する。
(b) スイス個人データ FADP および/または改正 FADP (場合に応じて) の対象となる個人データを移転する場合、2021 年EU標準契約条項が適用されるが、FADP により要求される範囲において以下の差異が生じる。
(i) 2021 年EU標準契約条項において GDPR に関する言及は、データ移転が FADPおよび/または改正 FADP (場合に応じて)のみに準拠し、GDPR に準拠しない限りにおいて、FADP および/または改正 FADP (場合に応じて)に関する言及として解釈される。2021 年EU標準契約条項においてGDPR に関する言及は、データ移転が FADP および/または改正 FADP (場合に応じて)ならびに GDPRの双方に準拠する限りにおいて、FADP および/または改正 FADP (場合に応じて) ならびにGDPR の両方に関する言及として解釈される。
(i) 「加盟国」という用語は、2021 年EU標準契約条項第 18 条(c)に基づき、スイスのデータ主体がその常居所(スイス)において権利を求めて訴えを起こす可能性を排除するような方法で解釈しない。
(i) 2021 年EU標準契約条項において個人データに関する言及は、より広範囲の解釈を排除する FADP の改正が発効するまでは、特定可能な法人に関するデータも言及する。
(iv) 2021 年EU標準契約条項付属書 I.C(管轄監督当局)に基づき、(a)移転が FADP および/または改正 FADP (場合に応じて)のみに準拠し、GDPR に準拠しない場合、監督当局はスイス連邦データ保護情報局とし、(b)移転が FADPおよび
/または改正 FADP (場合に応じて)ならびに GDPR の両方に準拠する場合、移転が FADP および/または改正 FADP (場合に応じて)に準拠する限りにおいては、監督当局はスイス連邦データ保護情報局とし、移転が GDPR に準拠する
限りにおいては、付属書 I.C に定める監督当局とする。
(c) 英国個人データ 管理者が英国個人データを第三国の処理者へ移転する場合は、英国補足契約によって修正された2021年EU標準契約条項(本契約に添付され、言及することにより別紙 2 として組み込まれる)に従う。明確にするため付言すると、英国補足契約が適用される場合、顧客およびPanopto が技術サービス契約に同意して署名した場合、英国補足契約にも同意して署名したものとみなされる。以下の本第7.2.1条(b)項または下記第 7.2.2 条に基づき使用されるかを問わず、以下の条件が 2010 年標準契約条項に適用される。明確にするため付言すると、英国補足契約が適用される場合、およびその範囲において、本契約に対する顧客とPanoptoの同意の署名は、英国補足契約に対する署名とみなされる。
(d) 以下の用語は、本 7.2.1 条または下記7.2.2条に従って使用されたか否かにかかわらず、 2021年EU標準契約条項および英国の補足契約によって修正された2021年EU標準契約条項に適用される。
(i) データ主体の要求があった場合、2021年EU標準契約条項の第8.3項に従って、顧客は本契約の全体を提供せずに、2021年EU標準契約条項の写しのみを提供するものとし、顧客は2021年EU標準契約条項をデータ主体と共有する前に、 Panoptoの事業秘密またはその他の機密情報を保護するために必要な範囲で 2021 年EU 標準契約条項を編集するために、商業的に妥当な努力をもって Panoptoと協議するものとする。両当事者は、合理的に実行可能な範囲で、編集された情報を明らかにすることなく、編集の理由に関するデータ主体への回答を調整するために誠実に努力するものとする。
(i) Panoptoは、2021年EU標準契約条項第8.4条に従い、不正確な個人データを消去または修正するために、サービスを通じて、および/または文書化に概説されているように、可能な限り適切な技術および組織的措置を提供し、顧客を支援する。
(i) 2021年EU 標準契約条項第8.5条に基づき、Panoptoは、(1)本契約の第4.10項
(個人データの返却)に規定されるすべての個人データを返却または破棄する義務を遵守し、(2)顧客からの書面による要請があった場合には、当該破棄の証明書を提供する。
(iv) 2021 年EU標準契約条項第8.9条に基づく顧客の監査権は、本契約第5条(記録および監査)に規定されたとおりに行使することができる。2021年EU標準契約条項第9条(a)に基づくPanoptoの復処理者に関する顧客の権利は、本契約の第6条(人員および復処理者)に従うものとする。
(v) 両当事者は、Panoptoが2021年EU標準契約条項第9条(c)に従って顧客に提供しなければならない復処理者契約書の写しは、商業情報、または2021年EU標準契約条項とは無関係の条項またはその同等物がPanoptoによって事前に削除されている可能性があること、およびその写しは顧客からの書面による要求によってのみ提供されることに同意する。
7.2.2. 転送 顧客へのサービスの提供に関連して、Panopto は、EU 域内個人データを第三国から受領し、または第三国に移転し、処理することができる。ただし、Panopto の復処理者がデータ保護法に基 づいて当該データを適切に保護する措置を講じることを条件とする。当該措置には、当該データ保 護法に基づき利用可能かつ適用可能な範囲内で、以下の措置を含めることができる:
(a) 十分性 データ保護法に基づき十分なレベルのデータ保護を提供すると見なされる国、地域、または 1 つ以上の特定セクターにおいて処理すること。
(b) 標準契約条項 Panopto は、第三国への個人データ移転に関する標準契約条項を締結し、遵守することができること。これには、当該条項の承継条項もしくは修正条項、またはデータ保護法に基づき採択および承認されたその他の適用可能な契約条項も含まれる。
(c) BCR データ保護法に準拠した拘束的企業準則(「BCR」)に従って処理すること。
(d) その他の承認された移転メカニズム データ保護法に基づき承認されたその他のデータ転送メカニズムまたは認証を実施すること。これには、EU・米国間プライバシーシールドフレームワークまたはスイス・米国間プライバシーシールドフレームワークの承認された後継物または代替物も含まれる。
データを第三国に移転するために EU 域内法に基づく代替もしくは追加の適切な保護措置またはメ
カニズムが必要となる場合、両当事者は、かかる保護措置やメカニズムを合理的に可能な限り速やかに実施し、本契約の添付書類として実施に必要な要件を文書化することに合意する。
7.2.3. 補足措置 データ保護法で要求される範囲において、適用される EU 域内法に基づき付与される保護レベルと同等の保護レベルを提供していない第三国に EU 域内個人データを移転する場合、両当事者は、個々の状況に応じて必要とされる追加の補足措置を実施することに合意する。このような補足措置には、次のものが含まれる:
(a) 暗号化 Panopto は、適切な場合および以下の場合は、個人データを暗号化する:(a)個人データが Panopto のシステムを超えて第三国に電子的に移転、通信またはその他の形で送信される場合、(b)対象となる個人データについて遠隔アクセス接続を使用する場合、
(c)個人データを処理するためにポータブル機器を使用する場合、(d)適用されるデータ保護法に基づき暗号化が要求される状況にある場合。
(b) 監視要求 Panopto は、Panopto が個人データを処理する国または地域の捜査当局およびその他の当局による個人データへのアクセス要求の範囲、ならびにデータ主体を保護するために実施されている保護措置および手段を定期的に見直し、評価し、継続して監視するとともに、当局によるアクセスまたはデータ主体が利用可能な手段に重大な影響を及ぼすデータ保護法の変更があった場合は、直ちにこれを顧客に通知する。
第8条 処理者の責任 本契約(標準契約条項を含む)に起因または関連して生じる処理者のすべての責任は、契約、不法行為、またはその他の責任理論に基づくかを問わず、技術サービス契約に規定される適用除外条項および責任制限条項に準拠する。疑義を避けるため明記すると、技術サービス契約または本契約に起因または関連して生じる管理者およびそのすべてのユーザーからのすべての請求に対する処理者の責任総額は、技術サービス契約および本契約の両方に基づくすべての請求に対して総計で適用される。本契約のいかなる規定も、データ保護法に基づき制限されない責任または損失に関する処理者の責任を制限するものではない。
第9条 雑則
9.1. 準拠法 本契約は、データ保護法により別途義務付けられない限り、技術サービス契約の準拠法および裁判管轄規定に準拠し、それに基づいて解釈される。
9.2. 第三受益者の不存在 本契約の当事者でない者は、本契約の条項を執行する本契約に基づく権利(1999 年契約(第三者の権利)法に基づくものを含む)を有さない。本契約の当事者(およびその各々の承継人および許可された譲受人)以外の者は、データ保護法により別途義務付けられない限り、本契約の条項を執行する権利を持たない。
9.3. 分離可能性 本契約の条項は、分離可能である。いずれかの語句、条項または規定が、全部または一部を問わず、無効または執行不能である場合、かかる無効または執行不能は、当該語句、条項または規定のみに影響を及ぼし、本契約の残りの部分は、引き続き全面的に有効に存続する。
9.4. 優先順位 本契約によってなされた変更を除き、技術サービス契約は変更されず、全面的に有効に存続する。本契約と技術サービス契約との間に矛盾がある場合、主題が個人データの処理に関する限り、本契約がその矛盾する範囲内で優先する。本契約の条項と標準契約条項との間に矛盾または不一致がある場合、標準契約条項が適用される限りにおいて、標準契約条項が優先する。
9.5. 完全合意 本契約は、本契約の主題に関する両当事者間の完全な合意および了解であり、かつこれを具体 化するものであり、かかる主題に関する両当事者間のすべての従前または同時期の書面、電子的または口 頭の通信、表明、合意または了解に取って代わる。不正になされた声明に関する場合を除き、その他のx xまたは条件は、本契約に適用されず、または本契約の一部とならない。本契約は、引き続き完全な効力 を有する技術サービス契約に基づく両当事者の権利および義務を害するものではない。Panoptoは、適切 な更新版をPanoptoのウェブサイト(xxxxx://xxx.xxxxxxx.xxx/xxxx-xxxxxxxxxx-xxxxxxxxx/)に掲載することにより、または本契約に定めるその他の方法で顧客に通知することにより、本契約に含ま れる条件をいつでも変更することができる。変更された条件は、掲載された時点で、またはPanoptoが本 契約に定める方法で顧客に通知する場合は通知で定める時点で、有効となる。かかる変更の発効日以降も サービスの使用を継続することにより、顧客は変更された条件に拘束されることに同意するものとする。 また、顧客は定期的にPanoptoのウェブサイトをチェックし、かかる変更を確認する責任を負う。
別紙 1
標準契約条項
モジュール 2:管理者から処理者への移転
EU 域内個人データ(英国個人データを除く)移転の場合
セクション 1
第 1 条
目的および範囲
(a) 本標準契約条項の目的は、第三国へのデータの移転に伴い、「個人データの処理に関する自然人の保護および当該データの自由な移動に関する 2016 年4 月27 日付欧州議会および理事会規則(EU)2016/679」(一般データ保護規則)の要件を確実に遵守することである。1
(b) 当事者
(i) 付属書 I.A に記載される、個人データを移転する自然人もしくは法人、公的機関、機関またはその他の団体(以下「該当者」)(以下それぞれを「データ輸出者」という)。
(i) データ輸出者から直接、または別紙 I.A に記載される本標準契約条項の当事者でもある別の該当者
(本標準契約条項(以下「本標準契約条項」)に同意している)を通じて間接的に、個人データを受領する第三国の該当者(以下それぞれを「データ輸入者」という)。
(c) 本標準契約条項は、付属書 1.B に定める個人データの移転に関して適用される。
(d) 本標準契約条項に言及される付属書を含む本標準契約条項の付録は、本標準契約条項の不可分の一部となる。
第 2 条
本標準契約条項の効力および不変性
(a) 本標準契約条項では、規則(EU)2016/679 の第46 条(1)および第 46 条(2)(c)に基づく強制力のある データ主体の権利および有効な法的救済を含む適切な保護措置、また管理者から処理者または処理者から処 理者へのデータ移転に関しては、規則(EU)2016/679 の第 28 条(7)に基づく標準契約条項を規定してい る。ただし、適切なモジュールの選択、または付録に記載される情報の追加もしくは更新を行う場合を除 き、本標準契約条項を修正しないことを条件とする。両当事者はこれにより、本標準契約条項に定める標準契約 条項をよりxxな契約に含めること、および/またはその他の条項もしくは追加の保護措置を追加すること を妨げられないが、これらが直接もしくは間接的に本標準契約条項と矛盾しないこと、またはデータ主体の 基本的権利もしくは自由を損なわないことを条件とする。
(b) 本標準契約条項は、規則(EU)2016/679 に基づきデータ輸出者が従う義務に影響を与えない。
第 3 条
第三受益者
(a) データ主体は、以下の例外を除き、データ輸出者および/またはデータ輸入者に対して、第三受益者として、本標準契約条項を行使し、執行することができる。
(i) 第1 条、第2 条、第3 条、第6 条、第7 条
1データ輸出者が、EU の機関または団体を代理する処理者で、規則(EU)2016/679 の対象となる場合、規則
(EU)2016/679 の対象とならない別の処理者(復処理者)と契約する際に本標準契約条項に依拠するのであれば、本標準契約条項と規則(EU)2018/1725 第29 条(3)項に基づく管理者と処理者間の契約またはその他の法的行為に規定されるデータ保護義務が整合している範囲において、2018 年10 月23 日付「欧州議会および欧州理事会の
EU の機関、組織、職員および外部機関による個人データの処理に関する自然人の保護および当該データの自由な移動に関する規則(EU)2018/1725」第 29 条(4)項ならびに廃止規則(EC) No 45/2001 および決定 No 1247/2002/ED (OJ L 295, 21/Nov/2018, p. 39)にも必ず準拠するものとする。上記は、とりわけ、管理者および処理者が決定 2021/915 に含まれる標準契約条項に依拠する場合に該当する。
(i) 第8.1 条(b)、第8.9 条(a)、(c)、(d)および(e)
(i) 第9 条(a)、(c)、(d)および(e)
(iv) 第12 条(a)、(d)および(f)
(v) 第13 条
(vi) 第15.1 条(c)、(d)および(e)
(vi) 第16(e)
(vi) 第18 条(a)および(b)
(b) (a)項は、規則(EU)2016/679 に基づくデータ主体の権利に影響を与えない。
第 4 条
解釈
(a) 本標準契約条項が規則(EU)2016/679 において定義されている用語を使用している場合、これらの用語は当該規則における用語と同一の意味を有する。
(b) 本標準契約条項は、規則(EU)2016/679 の条項に照らして解読および解釈される。
(c) 本標準契約条項は、規則(EU)2016/679 に定める権利および義務と矛盾する態様で解釈されない。
第 5 条
階層
本標準契約条項と両当事者間の関連契約の条項との間に矛盾が生じた場合、本標準契約条項に合意した時点またはその後締結された時点の本標準契約条項が優先する。
第 6 条
移転の内容
移転の詳細、とりわけ移転される個人データのカテゴリーおよび移転の目的は、付属書 I.B に明記される。
第 7 条
ドッキング条項(結合条項)
(a) 本標準契約条項の当事者ではない該当者は、付録に記入し、付属書 I.A に署名することにより、両当事者の同意を得ることを条件に、いつでもデータ輸出者またはデータ輸入者として本標準契約条項に参加することができる。
(b) 参加者は付録に記入し、付属書 I.A に署名した時点で、本標準契約条項の参加者となり、付属書 I.A の指定に従ってデータ輸出者またはデータ輸入者の権利および義務を有する。
(c) 参加者は、当事者となる前の期間は本標準契約条項に基づいて生じる権利または義務を有さない。セクション II-両当事者の義務
第 8 条
データ保護措置
データ輸出者は、データ輸入者が本標準契約条項に基づく義務を履行する能力を有すると判断するにあたり、技術上および組織上の適切な措置を講じることで合理的な努力を尽くしたことを保証する。
8.1 指示
(a) データ輸入者は、データ輸出者からの指示書に基づいてのみ個人データを処理する。データ輸出者は、契約期間中、当該指示を与えることができる。
(b) データ輸入者は、当該指示に従うことができない場合には、直ちにデータ輸出者に連絡する。
8.2 目的の制限
データ輸入者は、データ輸出者から追加指示がない限り、付属書 I.B に定める特定の移転目的に限り個人データを処理する。
8.3 透明性
データ輸出者は、要請があれば、両当事者が記入した付録を含む本標準契約条項の写しを、データ主体に無償で提供する。業務上の機密またはその他の秘密情報(付属書II に記載される措置および個人データを含む)を保護するために必要な範囲で、データ輸出者は、コピーを共有する前に、本標準契約条項の付録の文章を一部編集することができ
る。ただし、データ主体がその内容を理解することができず、または自らの権利を行使することができない場合には、理解の助けとなる要約を提供する。両当事者は、要求があれば、編集した情報を開示することなく可能な範囲で、x xの理由をデータ主体に提供する。本標準契約条項は、規則(EU)2016/679 第13 条および第 14 条に基づくデータ輸出者の義務を害するものではない。
8.4 正確性
データ輸入者は、データ輸入者が受領した個人データが不正確であるまたは失効していることを知った場合、不当に遅滞することなくデータ輸出者にその旨を通知する。この場合、データ輸入者は、データ輸出者と協力して、データの消去・修正を行う。
8.5 データの処理・消去・返却期間
データ輸入者による処理は、付属書 I.B に定める期間に限り行われる。処理サービスの提供終了後、データ輸入者は、データ輸出者の選択により、データ輸出者に代わり処理したすべての個人データを削除し、その旨をデータ輸出者に 証明するか、またはデータ輸出者に代わり処理したすべての個人データを返却し、かつ、既存のコピーを削除する。 データが削除または返却されるまで、データ輸入者は、引き続き本標準契約条項の遵守を徹底する。データ輸入者に 適用される現地法により、個人データの返却または削除が禁止される場合、データ輸入者は、引き続き本標準契約条 項の遵守を徹底し、当該現地法に基づき要求される範囲および期間に限り個人データを処理することを保証する。上 記の定めは、データ輸入者が、本標準契約条項第 14 条、とりわけ第 14 条(e)項に基づき、第 14 条(a)項の要件に準拠していない法律または慣行に従っているまたは過去に従っていたと判断するに足る理由がある場合、契約期間 を通じてデータ輸出者に通知するという要件を損なうものではない。
8.6 処理のセキュリティ
(a) データ輸入者およびデータの送信中についてはデータ輸出者も、データの偶発的または不法な破壊、紛失、変更、不正開示または不正アクセス(以下「個人データ違反」という)につながるセキュリティ違反に対する保護を含め、データのセキュリティを確保するための適切な技術的および組織的措置を実施する。両当事者は、適切なセキュリティ水準を評価するに当たり、技術水準、実施に要する費用、処理の性質、範囲、状況および目的ならびにデータ主体に関する処理に伴うリスクを十分に考慮する。とりわけ両当事者は、処理の目的が達成できる場合は、暗号化または仮名化(送信中を含む)の利用を検討する。仮名化の場合、個人データを特定のデータ主体に帰属させるための追加情報は、可能な限り、引き続きデータ輸出者の独占的な管理下に置く。データ輸入者は、本項の規定に基づく義務を履行するに当たり、少なくとも付属書Ⅱに定める技術および組織的措置を実施する。データ輸入者は、これらの措置が適切なセキュリティ水準を確実に継続して提供しているか定期的にチェックする。
(b) データ輸入者は、個人データのアクセス権を、契約の実施・管理・監視のために厳格に必要な範囲に限り、そのスタッフに許諾する。データ輸入者は、個人データの処理を許諾された者が秘密保持を誓約し、または適切な法定守秘義務を負担するよう徹底する。
(c) 本標準契約条項に基づきデータ輸入者が処理した個人データについて個人データ違反が発生した場合、データ輸入者は、その悪影響を軽減させる措置を含めて、当該違反に対処するための適切な措置を講じる。またデータ輸入者は、当該違反を知った後、不当に遅滞することなくデータ輸出者にその旨を通知する。当該通知には、追加情報を入手することができる連絡先の詳細、違反の性質の説明(可能な場合には、対象となるデータ主体および個人データ記録のカテゴリーおよび概数を含む。)、起こり得る影響および違反に対処するために講じられたまたは提案された措置(適当な場合には、違反により起こり得る悪影響を軽減するための措置を含む。)を記載する。すべての情報を同時に提供することができない場合には、提供することのできない限りにおいて、最初の通知にその時点で入手可能な情報を記載し、その後、入手可能となった情報を不当に遅滞することなく提供する。
(d) データ輸入者は、データ輸出者が規則(EU)2016/679 に基づく義務を遵守することができるように、とりわけ、処理の性質およびデータ輸入者が入手できる情報を考慮の上、管轄監督当局および影響を受けるデータ主体に通知できるよう、データ輸出者に協力し、支援する。
8.7 機密データ
移転が、人種もしくは種族的出身、政治的見解、宗教もしくは哲学的信条、労働組合員であること、遺伝データ、自然人を一意的に特定するための生体情報、医療データ、性生活もしくは性的指向に関するデータ、または犯罪の有罪判決および犯罪に関するデータ(以下「機密データ」という)を明らかにする個人データを含む場合、データ輸入者は、付属書 I.B に記載される特定の制限および/または追加の保護措置を適用する。
8.8 転送
データ輸入者は、データ輸出者の指示書に基づく場合にのみ、個人データを第三者に開示する。さらに、第三者が適切なモジュールに基づき、本標準契約条項に拘束される場合もしくは拘束されることに同意する場合、または、以下の場合に限り、データを EU 域外(データ輸入者と同じ国または他の第三国)の第三者に開示(以下「転送」という)することができる。2
(i) 転送が、転送について規定している規則(EU)2016/679 の第 45 条に基づく十分性の認定の利益を享受している国を転送先とする場合。
(i) 第三者が、対象となる処理に関して、規則(EU)2016/679 の第 46 条または第 47 条に基づく適切な保護措置を別途確保する場合。
(i) 特定の行政上、規制上または司法上の手続という観点から、法的請求の確立、行使または防御のために転送が必要である場合。
(iv) データ主体または他の自然人の重大利益を保護するために転送が必要な場合。
いずれの転送においても、データ輸出者が本標準契約条項に基づく他のすべての保護措置、とりわけ目的限定を遵守することを条件とする。
8.9 文書化および遵守
(a) データ輸入者は、本標準契約条項に基づき、処理に関するデータ輸出者からの問い合わせに迅速かつ適切に対応する。
(b) 両当事者は、本標準契約条項の遵守を立証できるものとする。とりわけ、データ輸入者は、データ輸出者に代わって行う処理活動に関する適切な文書を保管する。
(c) データ輸入者は、本標準契約条項に定める義務の履行を証明するために必要なすべての情報をデータ輸出者に提供し、データ輸出者からの要求に応じて、合理的な間隔で、または不履行の兆候が見られる場合に、本標準契約条項の対象となる処理活動の監査を許可し、これに協力する。データ輸出者は、検査または監査について判断を下すに当たり、データ輸入者が保有する関連証明書を考慮することができる。
(d) データ輸出者は、自ら監査を実施するか、または独立した監査人を任命するかを選択することができる。監査では、データ輸入者の敷地または物理的施設での検査を行うことができ、必要に応じて、合理的な通知をもって監査を実施する。
(e) 両当事者は、(b)および(c)項に規定する情報(監査の結果を含む)を要請に応じて管轄監督当局の閲覧に供する。
第 9 条
復処理者の使用
(a) 一般的な書面による承認 データ輸入者は、合意されたリストからの復処理者の雇用に関するデータ輸出者の一般的承認を受ける。データ輸入者は、復処理者の追加または交換により当該リストを変更しようとする
5 欧州経済地域協定(EEA 協定)では、EU の域内市場をアイスランド、リヒテンシュタイン、ノルウェーの 3 国に拡大することを定めている。規則(EU)2016/679 を含む EU データ保護法は、EEA 協定の対象であり、付属書 XI に組み込まれている。したがって、データ輸入者が EEA に所在する第三者に開示する場合は、本標準契約条項においては転送とはみなされない。
場合は、データ輸出者に対し、少なくとも 30 日前までに、予定する変更を書面で明確に通知し、データ輸出者に対し、復処理者を雇用する前に、当該変更に異議を申し立てることができる十分な時間を与える(5)。データ輸入者は、データ輸出者が異議を申し立てる権利を行使するために必要な情報をデータ輸出者に提供する。
(b) データ輸入者は、特定の処理活動を(データ輸出者に代わって)行うために復処理者を雇用する場合、本標準契約条項に基づきデータ輸入者を拘束する義務と実質的に同一のデータ保護義務(データ主体の第三者受益権に関するものも含む)を規定した書面による契約を締結することにより、当該復処理者を雇用する。(8)両当事者は、本標準契約条項を遵守することにより、データ輸入者が第 8.8 条に基づく義務を履行することに合意する。データ輸入者は、本標準契約条項に従ってデータ輸入者に課される義務を復処理者が履行するよう徹底する。3
(c) データ輸入者は、データ輸出者からの要求に応じて、当該復処理者契約の写しおよびその後の修正契約をデータ輸出者に提供する。営業秘密または個人データを含むその他の秘密情報を保護するために必要な範囲で、データ輸入者は、写しを共有する前に契約書の条文を編集することができる。
(d) データ輸入者は、データ輸入者との契約に基づく復処理者の義務の履行について、データ輸出者に対して引き続き全面的な責任を負う。データ輸入者は、復処理者が当該契約に基づく義務を履行しない場合、データ輸出者に通知する。
(e) データ輸入者は、復処理者との間で第三受益者条項に合意する。これにより、データ輸入者が事実上消滅し、法的に存在しなくなった場合、または支払不能になった場合、データ輸出者は、復処理者契約を解除し、復処理者に個人データの消去または返却を指示する権利を有する。
第 10 条
データ主体の権利
(a) データ輸入者は、データ主体から要求を受けた場合には、速やかにデータ輸出者に通知する。データ輸入者は、データ輸出者によって許可されない限り、自らその要求に応じない。
(b) データ輸入者は、データ輸出者が規制(EU)2016/679 に基づくデータ主体からの権利行使請求に対応する義務を履行する際にデータ輸出者を支援する。この点に関し、両当事者は、処理の性質ならびに必要な支援の範囲および程度を考慮の上、支援を提供するための適切な技術的および組織的措置を付属書Ⅱに定める。
(c) データ輸入者は、(a)および(b)項に基づく義務を履行するに当たり、データ輸出者の指示に従う。
第 11 条
救済
(a) データ輸入者は、苦情処理を受け付ける連絡窓口を、個々の通知またはウェブサイトを通じて、分かりやすく容易にアクセスできる形式でデータ主体に通知する。当該窓口は、データ主体から受領した苦情を速やかに処理する。
(b) 本標準契約条項の遵守に関してデータ主体と一方の当事者との間に紛争が生じた場合、当該当事者は、友好的な方法で問題を適時に解決するよう最善の努力を尽くす。両当事者は、当該紛争について相互に連絡し、必要に応じて、当該紛争の解決に協力する。
(c) データ主体が第 3 条に基づき第三者受益権を行使した場合、データ輸入者は、データ主体の以下の決定を受け入れる:
(i) データ主体が居住もしくは勤務している加盟国の監督当局または第 13 条に基づく監督当局に苦情を申し立てること。
(i) 紛争を第 18 条に規定する管轄裁判所に付託すること。
(d) 両当事者は、データ主体が、規則(EU)2016/679 の第 80 条(1)に定める条件に基づき、非営利団体、組織または団体による代理を受けることができることを承諾する。
8この要件は、第7 条に従って、適切なモジュールに基づき、本標準契約条項に参加する復処理者によって満たされる場合がある。
(e) データ輸入者は、適用される EU 法または加盟国法に基づいて拘束力を有する決定に従う。
(f) データ輸入者は、データ主体が行った選択により、適用法に従って救済を求めるデータ主体の実体法上および手続上の権利が損なわれないことに同意する。
第 12 条
責任
(a) 各当事者は、本標準契約条項に違反したことにより相手方当事者に与えた損害につき、相手方当事者に対し責任を負う。
(b) データ輸入者は、データ輸入者またはその復処理者が本標準契約条項に基づく第三者受益権に違反したことによりデータ主体に与えた損害につき、その重大性に関わらず、データ主体に対して責任を負い、データ主体は賠償を受ける権利を有する。
(c) (b)項にかかわらず、データ輸出者は、データ輸出者またはデータ輸入者(もしくはその復処理者)が本標準契約条項に基づく第三者受益権に違反したことによりデータ主体に与えた損害につき、その重大性に関わらず、データ主体に対して責任を負い、データ主体は賠償を受ける権利を有する。これは、データ輸出者の責任を損なうものではなく、また、データ輸出者が管理者を代理して行動する処理者である場合、規則
(EU)2016/679 または規則(EU)2018/1725(場合に応じて)に基づく管理者の責任を損なうものではない。
(d) 両当事者は、データ輸出者が(c)項に基づいてデータ輸入者(またはその復処理者)に起因する損害賠償責任を負う場合、データ輸入者がデータ輸入者の損害賠償責任に応じた賠償の一部をデータ輸入者に対して請求する権利を有することに合意する。
(e) 本標準契約条項に違反した結果としてデータ主体に与えた損害について複数の当事者が責任を負う場合、すべての責任ある当事者は連帯責任を負い、データ主体は、いずれの当事者に対しても訴訟を提起する権利を有する。
(f) 両当事者は、一方の当事者が(e)項に基づいて責任を負う場合、かかる当事者が損害に対する相手方当事者の責任に応じた賠償の一部を相手方当事者に対して請求する権利を有することに合意する。
(g) データ輸入者は、自身の責任を回避するために、復処理者の行為を引き合いに出すことはできない。
第 13 条
監督
(a) データ輸出者が EU 加盟国で設立されている場合: データ輸出者にデータ移転に関して規則(EU) 2016/679 の遵守を徹底させる責任を有する監督当局は、データ輸出者が設立されているEU 加盟国であり、管轄監督当局としての役割を担う。
データ輸出者が EU 加盟国において設立されていないものの、規則(EU)2016/679 の第 3 条(2)に基づく 同規則の適用地域内にあり、規則(EU)2016/679 の第 27 条(1)に従って代表者を任命している場合:付属書 I.C の記載により、規則(EU)2016/679 の第 27 条(1)の意味における代表者が設立されている加盟国の監督当局が、管轄監督当局としての役割を担う。
データ輸出者が EU 加盟国において設立されていないものの、規則(EU)2016/679 の第 3 条(2)に基づく 同規則の適用地域内にあり、規則(EU)2016/679 の第 27 条(2)に従って代理人を任命する必要がない場合:付属書 I.C の記載により、商品もしくはサービスの提供に関連して本標準契約条項に基づいて個人データが移転されるデータ主体、または行動が監視されているデータ主体が所在する加盟国のうち 1 か国の監督当局が管轄監督当局としての役割を担う。
(b) データ輸入者は、本標準契約条項の遵守を徹底するための手続きにおいて、管轄監督当局の管轄に服すること、および管轄監督当局と協力することに同意する。とりわけ、データ輸入者は、照会への対応、監査の受け入れ、および監督当局が採る措置(是正措置および補償措置を含む)の遵守に同意する。データ輸入者は、必要な措置を講じたことを確認する書面を監督当局に交付する。
セクション III – 現地法および公的機関によるアクセスの場合の義務
第 14 条
本標準契約条項の遵守に影響を及ぼす現地の法律および慣行
(a) 両当事者は、データ輸入者による個人データの処理に適用される移転先の第三国における法律および慣行
(個人データの開示要件または公的機関によるアクセスを許可する措置を含む)により、データ輸入者が本 標準契約条項に基づく義務を履行することを妨げられていると判断する理由がないことを保証する。これは、基本的権利および自由の本質を尊重し、かつ、民主主義社会において規則(EU) 2016/679 第23 条(1)に列挙される目的の一つを保護するために必要かつ相応するものを超えない法律および慣行が本標準契約条項に 抵触しないという考え方に基づいている。
(b) 両当事者は、(a)項の保証を提供するに当たり、特に以下の要素を十分に考慮したことを宣言する。
(i) 移転の具体的な状況。処理連鎖の長さ、関係する関係者の人数および使用される送信チャネル、予定される転送、受領者の種類、処理の目的、移転される個人データのカテゴリーおよび形式、移転が行われる経済分野、移転されるデータの保管場所などが含まれる。
(ii) 移転先の第三国の法律および慣行。移転の具体的状況、適用される制限および保護措置に照らして、 公的機関へのデータの開示または当局によるアクセスの承認を要求する法律および慣行を含む(12)。
(iii) 本標準契約条項に基づく保護措置を補足するために実施される関連する契約上の、技術的または組織的な保護措置。送信中に適用される措置および移転先となる国における個人データの処理に適用される措置も含まれる。
(c) データ輸入者は、(b)項に基づく評価を実施するに当たり、データ輸出者に関連情報を提供するため最善を尽くしたことを保証し、また、本標準契約条項を確実に遵守するために引き続きデータ輸出者と協力することに同意する。
(d) 両当事者は、(b)項に基づく評価を文書化し、要請があった場合には、管轄監督当局に当該評価書を提供することに合意する。
(e) データ輸入者は、本標準契約条項に同意した後の契約期間中に、(a)項の要件に準拠しない法律または慣行((a)項の要件に準拠しない法律の適用を示す第三国の法律の変更または措置(開示請求等)に従うことを含む)に従っているまたは従っていたと判断する理由がある場合には、速やかにその旨をデータ輸出者に通知することに同意する。
(f) データ輸出者は、(e)項に基づく通知を受けた場合、またはデータ輸入者が本標準契約条項に基づく義務をこれ以上履行できないと判断する別段の理由がある場合、当該状況に対処するためにデータ輸出者および
/またはデータ輸入者が採るべき適切な措置(例えば、セキュリティおよび秘密性を確保するための技術的
または組織的措置)を速やかに特定する。データ輸出者は、そのような移転のための適切な保護措置が確保 できないと考える場合、または管轄監督当局から指示を受けた場合には、データ移転を停止する。この場合、データ輸出者は、本標準契約条項に基づく個人データの処理に関するものである限り、契約を解除すること ができる。契約の当事者が 2 者を超える場合、データ輸出者は、両当事者が別段の合意をしない限り、関連当事者に関してのみ、解除権を行使することができる。本条に基づき契約が解除される場合、第16 条(d) お よび(e)項が適用される。
第 15 条
公的機関によるアクセスの場合のデータ輸入者の義務
12これらの法律および慣行が本標準契約条項の遵守に及ぼす影響に関しては、全体的な評価の一部として様々な要素
を考慮することができる。そのような要素としては、公的機関からの開示請求の従前の事例に関する関連性のある文書化された実務経験、またはそのような開示請求がない場合には、十分に典型的な時間枠を範囲とすることなどが挙げられる。これは、とりわけ、適正評価に基づき継続して作成され、上級管理者レベルで証明された内部記録またはその他の文書を指す。ただし、この情報を第三者と合法的に共有できることを条件とする。データ輸入者は本標準契約条項の遵守を妨げられないと結論づけるために上記の実務経験を利用する場合、他の関連する客観的要素によって裏付ける必要があり、また、両当事者は、これらの要素が、その信頼性および代表性の観点から、この結論を裏付けるために十分な重みを伴っているかどうかを慎重に検討する。特に、両当事者は、同一の分野における要請の有無および/または施行法令の適用(判例法や独立の監督機関による報告など)に関する公知の情報または他の方法により入手可能な信頼性のある情報により、実務経験が裏付けられるか、また、矛盾していないかを考慮する必要がある。
15.1 通知
(a) データ輸入者は、以下の場合には、データ輸出者および(可能な場合には)データ主体に対し、速やかに(必要に応じてデータ輸出者の協力を得て)通知することに同意する。
(i) 移転先となる国の法律に基づき、司法当局を含む公的機関から、本標準契約条項に基づき移転された個人データの開示を求める法的拘束力のある要請を受領した場合。当該通知には、要請される個人データ、要請当局、要請の法的根拠、および要請への対応に関する情報を記載する。
(ii) 公的機関が、移転先となる国の法律に従い、本標準契約条項に基づき移転された個人データに直接アクセスしたことを知った場合。当該通知には、輸入者が入手可能なすべての情報を記載する。
(b) データ輸入者が移転先となる国の法律に基づきデータ輸出者および/またはデータ主体に通知することを禁止されている場合、データ輸入者は、できる限り多くの情報をできるだけ早く伝達するために、禁止の免除を得られるよう最善を尽くすことに同意する。データ輸入者は、データ輸出者からの要求を受けた場合、それらの努力を証明するため、最善の取り組みを文書化することに同意する。
(c) 移転先となる国の法律に基づき許容される場合、データ輸入者は、契約期間中、受領した要請に関して可能な限りの関連情報(とりわけ、要請件数、要請されるデータの種類、要請当局、要請に異議申し立てがなされたか否かおよびかかる異議申し立ての結果など)を定期的にデータ輸出者に提供することに同意する。
(d) データ輸入者は、(a)~(c)項に基づく情報を契約期間中保持し、要求があれば管轄監督当局に提供することに同意する。
(e) (a)~(c)項は、本標準契約条項を遵守できない場合に速やかにデータ輸出者に通知するという第14 条(e)項および第 16 条に基づくデータ輸入者の義務を損なうものではない。
15.2 合法性の審査およびデータの最小化
(a) データ輸入者は、開示要請の適法性、とりわけ、当該要請が開示を求める公的機関に付与された権限の範囲内にあるか否かを審査し、慎重な判断の後、当該要請が移転先となる国の法律、国際法に基づく適用義務および国際礼譲の原則に基づき違法であると判断する合理的な根拠があると結論付ける場合には、当該要請に異議を申し立てることに同意する。データ輸入者は、同様の条件の下で、上訴の可能性を追求する。データ輸入者は、要請に異議を申し立てる場合には、所轄司法当局が本案を決定するまで、当該要請の効力を停止するための経過措置を求める。データ輸入者は、適用される手続き規則に基づき要請されるまで、要請される個人データを開示しない。これらの要件は、第14 条(e)項に基づくデータ輸入者の義務を損なうものではない。
(b) データ輸入者は、自らが行った法的評価および開示要請に対する異議申し立てを文書化し、移転先となる国の法律で許容される範囲内で、当該文書をデータ輸出者に提供することに同意する。データ輸入者は、要請を受けた場合には、管轄監督当局にも当該文書を提供する。
(c) データ輸入者は、開示要請への対応に当たり、当該要請の合理的な解釈に基づき、許容される最小限の情報を提供することに同意する。
セクション IV-最終規定
第 16 条
本標準契約条項の不遵守および解除
(a) データ輸入者は、理由の如何を問わず、本標準契約条項に従うことができない場合は、データ輸出者に速やかに通知する。
(b) データ輸入者が本標準契約条項に違反し、またはこれに従うことができない場合、データ輸出者は、再び遵守が徹底されるまでまたは契約が解除されるまで、データ輸入者への個人データの移転を停止する。これは、第14 条(f)項には影響を与えない。
(c) データ輸出者は、以下のいずれかの場合、本標準契約条項に基づく個人データの処理に関するものである限り、契約を解除する権利を有する。
(i) データ輸出者が(b)項の規定に基づきデータ輸入者への個人データの移転を停止し、かつ本標準契約条項の遵守が合理的な期間内に、ただしいかなる場合も停止から 1 か月以内に回復されない場合。
(i) データ輸入者が本標準契約条項の重大なまたは継続的な違反を犯している場合。
(i) データ輸入者が、本標準契約条項に基づく義務に関して、管轄裁判所または監督当局による拘束力のある決定に従わない場合。
上記の場合、データ輸出者は管轄監督当局に不遵守を通知する。契約の当事者が 2 者を超える場合、データ輸出者は、両当事者が別段の合意をする場合を除き、関連当事者に関してのみ、かかる解除権を行使することができる。
(d) (c)項に基づく契約解除の前に移転された個人データは、データ輸出者の選択により、直ちにデータ輸出者に返却するか、またはその全部を削除する。その写しについても、同様とする。データ輸入者は、データ輸出者に対し、データの消去を証明する。データが削除または返却されるまで、データ輸入者は、本標準契約条項の遵守徹底を継続する。データ輸入者に適用される現地法により、データ輸入者が移転された個人データの返却または削除を禁じられる場合、データ輸入者は、本標準契約条項の遵守徹底を継続し、当該現地法に基づき要求される範囲および期間に限り、データを処理することを保証する。
(e) (i)欧州委員会が、本標準契約条項が適用される個人データの移転を対象とする規則(EU)2016/679 第
45 条(3)に基づく決定を採択する場合、または(ii)規則(EU)2016/679 が個人データの移転先となる国の法的枠組みの一部となる場合、いずれの当事者も、本標準契約条項に拘束されることへの合意を取り消す ことができる。これは、規則(EU)2016/679 に基づき対象となる処理に適用される他の義務に影響しない。
第 17 条
準拠法
本標準契約条項は、第三者受益権を認めていることを条件として、EU 加盟国のいずれかの国の法律に準拠する。両当事者は、準拠法を(a)データ輸出者が設立された EU 加盟国の法律とすること、または(b)データ輸出者が EU加盟国で設立されていない場合はドイツ法とすることに合意する。
第 18 条
裁判地および裁判管轄の選択
(a) 本標準契約条項に起因する紛争は、EU 加盟国の裁判所で解決される。
(b) 両当事者は、それをドイツの裁判所とすることに合意する。
(c) データ主体はまた、データ主体が常居所を有する加盟国の裁判所にデータ輸出者および/またはデータ輸入者に対する訴訟を提起することができる。
(d) 両当事者は、当該裁判所の管轄権に服することに合意する。
付属書 I
A. 当事者のリストデータ輸出者:
1. 名称:本別紙 1 が添付されるデータ処理契約の当事者である顧客住所:関連する契約に定める
担当者の氏名、役職および連絡先の詳細:関連する契約に定める本標準契約条項に基づき移転されたデータに関連する活動:
データ輸出者は、データ輸入者のサービス型ソフトウェアおよび関連サービスを定期購入している事業体であり、詳細は技術サービス契約および該当する注文書に記載される。
役割(管理者/処理者):管理者
データ輸入者:
1. 名称:Panopto, Inc.(その関連会社を含む)
住所:506 2 nd Avenue, Suite 1600, Seattle, WA 98104
担当者の氏名、役職および連絡先の詳細: データ保護担当者、:data-protection@panopto.com 本標準契約条項に基づき移転されたデータに関連する活動:
データ輸入者は、サービス型ソフトウェアおよび関連サービスを提供する米国企業である。ソフトウェアとは、一般に言うところの記録、スクリーンキャスト、ビデオストリーミング、およびビデオコンテンツ管理を顧客に提供するソフトウェアである。詳細は本契約および注文書に記載される。
役割(管理者/処理者):処理者
B. 移転の内容
1. 個人データが転送されるデータ主体のカテゴリー:
● データ輸出者の一次管理者および請求連絡先(管理者と異なる場合)
● 処理者のサービスにアクセスするデータ輸出者の正規ユーザー
● データ輸出者がアップロードした顧客コンテンツの閲覧者
● データ輸出者がアップロードした顧客コンテンツ内でデータ輸入者が描写、言及、または記録するデータ主体
● データ輸出者が独自の裁量で定義するその他のデータ主体
2. 移転される個人データのカテゴリー:データ輸出者の個人データ:
a. 氏名
b. 電子メールアドレス
c. 郵送・請求先住所、電話・ファックス番号
d. 支払明細を含む請求および会計情報正規ユーザーの個人データ:
a. 氏名
b. 電子メールアドレス
c. 組織、雇用主、またはデータ輸出者との関係
閲覧者(ライセンス保有者または非保有者)の個人データには、以下のものが含まれる:
a. IP アドレス
b. アクセス、使用、およびイベントの詳細
c. 場所、日付、タイムスタンプ
d. 実施した措置
e. オペレーティングシステム、ブラウザ、およびデバイスの種類
f. プラットフォームの性能測定基準
g. 参照ページおよび終了ページ
エラーレポートと使用状況分析には、次のものが含まれる:
a. IP アドレス
b. アクセス、使用、およびイベントの詳細
c. 場所、日付、タイムスタンプ
d. 実施した措置
e. オペレーティングシステム、ブラウザ、およびデバイスの種類
f. プラットフォームの性能測定基準顧客コンテンツ:
a. 個人データおよび個人機密データ。データ輸出者の独自の裁量により決定され、データ主体の写真、ビデオ、音声の記録、身体的特性または描写、肖像または言及を含む。
b. データ輸出者の独自の裁量により定義されるその他の個人データまたは個人機密データ
3. 移転された機密データ(該当する場合)およびデータの性質ならびに関連するリスクを十分に考慮した適用される制限または保護措置(例えば、厳格な目的制限、アクセス制限(専門的な訓練を受けたスタッフにアクセスを限定することを含む)、データへのアクセス記録の保持、転送の制限または追加のセキュリティ措置など):
機密データは、データ輸出者の単独の裁量により移転させることができる。
4. 移転の頻度(例えば、データが一回限りの移転であるか、継続的な移転であるか):
データ輸入者のスタッフがサービスをホスティングするサーバーの更新およびアップグレードを実施し、データ輸入者のスタッフがデータ輸出者および/またはサービスを利用するデータ輸出者のユーザーに 技術サポートを提供する場合、データは、必要に応じて、1 回限りで移転される。
5. 処理の性質:
個人データの処理の性質は、技術サービス契約および該当する注文書に記載される通りであり、一般には、記録、スクリーンキャスティング、ビデオストリーミングおよびビデオコンテンツ管理を含む。
6. データ移転および追加処理の目的:
データ輸入者による個人データの収集、処理、および使用の目的は、技術サービス契約および該当する注文書の記載に従いサービスを提供することである。
7. 個人データの保有期間または保有できない場合は、期間の決定基準:
処理期間は、技術サービス契約の終了時にまたはその後合理的に可能な限り速やかに満了する。データ輸入者は、個人データの処理目的を達成するために必要な期間を超えて個人データを保有しない。
8. (復)処理者への移転については、処理の主題、性質および期間も明記する:
処理の主題、性質および期間は、技術サービス、本契約および注文書により詳細に記載される。復処理者への移転は、復処理者が該当するサービスを提供できるようにするために必要に応じて 1 回限りで行われる(例えば、データ輸出者が注文書に従ってキャプションサービスを注文した場合に限り、キャプションサービスを提供する等)。
C. 管轄監督当局
第 13 条に従って管轄監督当局を特定する:
GDPR に基づくデータ移転に関する事項について:
1. データ輸出者が EU 加盟国で設立されている場合:データ移転に関して、データ輸出者による規則(EU)2016/679 の遵守を徹底させる責任を有する監督当局が、管轄監督当局としての役割を担う。
2. データ輸出者が EU 加盟国において設立されていないものの、規則(EU)2016/679 の第3 条
(2)に基づく同規則の適用地域内にあり、規則(EU)2016/679 の第 27 条(1)に従って代
表者を任命している場合:規則(EU)2016/679 の第 27 条(1)の意味における代表者が設立されている加盟国の監督当局が、管轄監督当局としての役割を担う。
3. データ輸出者が EU 加盟国において設立されていないものの、規則(EU)2016/679 の第3 条
(2)に基づく同規則の適用地域内にあり、規則(EU)2016/679 の第 27 条(2)に従って代理人を任命する必要がない場合:商品もしくはサービスの提供に関連して本標準契約条項に基づいて個人データが移転されるデータ主体、または行動が監視されているデータ主体が所在する加盟国のうち 1 か国の監督当局が管轄監督当局としての役割を担う。
4. 2022 年12 月31 日までの期間については FADP、2023 年1 月1 日以降については改正 FADP に基づくデータ移転に関する事項について:スイス連邦データ保護情報局長
付属書Ⅱ
技術的および組織的措置
(データのセキュリティを確保するための技術的および組織的措置を含む)
処理の性質、範囲、背景および目的、ならびに自然人の権利および自由に対するリスクを考慮した上で、適切なレベルのセキュリティを確保するためにデータ輸入者が実施する技術的および組織的措置(関連する認証を含む)の説明。
Panopto は、https://support.panopto.com/s/article/Learn-About-Panopto-Information-Security-Plan(「情報セキュリティ計画」)に定める通り、個人データのセキュリティ、機密性およびインテグリティを保護するための管理上、物理上および技術上の保護を維持しています。Panopto は、「情報セキュリティ計画」の遵守状況を定期的に監視しています。Panopto は、購入期間中、サービスの全体的なセキュリティを大幅に低下させません。Panopto のサービスは、データ輸出者が Panopto の支援を受けずにデータ主体要求を管理できるように設計されています。データ輸出者がサービスの特徴および機能を使用してもデータ主体要求に基づく義務を履行できない場合、データ処理契約第
4.7 条(データ主体要求)の記載により、処理の性質を考慮して、Panopto はデータ輸出者に対し、可能な限り、データ主体要求に応じるデータ輸出者の義務が履行できるように、データ輸出者の費用負担および適用法で要求される範囲内において、適切な組織的および技術的措置を講じてデータ輸出者を支援します。
(復)処理者への移転については、管理者に支援を提供するために、また、処理者から復処理者への移転については、 データ輸出者に支援を提供するために、(復)処理者が講じる具体的な技術的および組織的措置についても記載してください。
Panopto は、復処理者の合理的な適正評価およびセキュリティ評価を実施し、情報セキュリティ計画に規定されるものと同様またはより厳格な規定を含む契約を復処理者と締結しています。Panopto は、必要に応じて、復処理者と直接連携して、データ輸出者を支援します。
別紙2
英国補足契約書
EU標準契約条項の国際データ移転補足契約書
(バージョンB1.0、2022年3月21日発効)
本補足契約は、英国情報コミッショナーが、制限付き移転を行う当事者のために発行したものである。英国情報コミッショナーは、制限付き移転が法的拘束力のある契約として締結された場合、制限付き移転に適切な保護措置を提供すると考えている。
パート1:表
表1: 当事者
開始日 | 本補足契約は、本契約(データ処理契約:DPA)発効日に発効する。 | |
当事者 | 輸出者(移転制限を行う者) | 輸入者(移転制限を受ける者) |
当事者の詳細 | 本契約(DPA)別紙 1 付属書I.A を参照 | 本契約(DPA)別紙 1 付属書I.A を参照 |
主な連絡先 | 本契約(DPA)別紙 1 付属書I.A を参照 | 本契約(DPA)別紙 1 付属書I.A を参照 |
表2: 選択された標準契約条項、モジュールおよび選択された条項
追補 EU 標準契約条項 | 本補足契約を付加する承認済み EU 標準契約条項のバージョンは、本契約(DPA)別紙 1 に記載の通りである。 |
表3: 「付属情報 」
「付属情報」とは、承認済みEU標準契約条項の付属書に記載されている選択されたモジュールについて提供しなければならない情報(当事者以外)であり、本補足契約については、以下に記載されているものをいう。
付属書 1A: 当事者のリスト: | 上記表 1 の通り |
付属書 1B: 移転の詳細: | 本契約(DPA)別紙 1 付属書I を参照 |
付属書 II: データの安全性を確保するための技術的・組織的措置など: | 本契約(DPA)別紙 1 付属書II を参照 |
付属書 III: 復処理者のリスト(モジュール 2 と 3 のみ): | 本契約(DPA)別紙3を参照 |
表4: 承認済の本補足に変更があった場合、本補足を終了すること
承認済み補足契約の変更時における本補足契約の終了 | 第 19 条に定めるところにより、本補足契約を終了させることができる当事者輸入者 輸出者 いずれの当事者も不可 |
本補足契約の締結
パート2:必須条項
1. 各当事者は、相手方当事者が本補足契約に拘束されることに同意するのと引き換えに、本補足契約に規定される条件に拘束されることに同意する。
2. 付属書 1A および承認済み EU 標準契約条項第 7 条は当事者による署名を必要とするが、制限付き移転を行う目的で、両当事者は、当事者を法的に拘束し、データ主体が本補足契約に定める権利を行使できるような任意の方法で
本補足契約を締結することができる。本補足契約を締結することは、承認済み EU 標準契約条項の一部に署名するのと同じ効果を有する。
本補足契約の解釈
3. 本補足契約では、承認済み EU 標準契約条項に定義されている用語を使用する場合、それらの用語は承認済み EU 標準契約条項と同じ意味を持つものとする。また、以下の用語は、以下の意味を有する。
補足契約 | この国際データ移転補足契約は、追補EU 標準契約条項を組み込んだ本補足契約で構成される。 |
追補 EU 標準契約条項 | 本補足契約を付加する承認済みEU 標準契約条項のバージョン(付属情報を含む)は表 2 の通り。 |
付属情報 | 表 3 の通り。 |
適切な保護措置 | 英国 GDPR 第 46 条(2)(d)に基づく標準データ保護条項に依拠して制限付き移転を行う際に、英国データ保護法によって要求される、個人データに対する保護基準およびデータ主体の権利の基準。 |
承認済み補足契約 | 2022 年 2 月 2 日に 2018 年データ保護法第 119A に従って ICO が発行し、国会に提出された補足契約の書式(テンプレート)は、18 条に基づき改訂されたものである。 |
承認済み EU 標準契約条項 | 2021 年 6 月 4 日の欧州委員会実施決定(EU)2021/914 の付属書に記載された標準契約条項。 |
ICO | 情報コミッショナーオフィス。 |
制限付き移転 | 英国 GDPR 第 5 章に該当する移転。 |
英国 | グレートブリテンおよび北アイルランド連合王国。 |
英国 データ保護法 | 英国GDPR および2018 年データ保護法を含む、英国で随時施行されるデータ保護、個人データの処理、プライバシーおよび/または電子通信に関連するすべての法律。 |
英国 GDPR | 2018 年データ保護法第 3 条に定義される通り。 |
4. 補足契約は、常に英国データ保護法と整合的な方法で解釈され、適切な安全対策を提供するという両当事者の義務を果たすようにしなければならない。
5. 追補 EU 標準契約条項に含まれる規定が、承認済み EU 標準契約条項または承認済み補足契約で認められていない方法で承認済み EU 標準契約条項を修正する場合、当該修正は本補足契約に組み込まれず、承認済み EU 標準契約条項の同等の条項がそれに代わるものとする。
6. 英国データ保護法と本補足契約との間に矛盾または抵触がある場合、英国データ保護法が適用される。
7. 本補足契約の意味が不明確である場合、または複数の意味が存在する場合、英国データ保護法に最も近い意味が適用される。
8. 法律(または法律の特定の規定)への言及は、法律 (または特定の規定) が時間の経過とともに変化する可能性があることを意味する。これには、本補足契約の締結後に当該法律(または特定の条項)が統合、再制定および/または置換された場合も含まれる。
階層
9. 承認済み EU 標準契約条項第 5 条では、承認済み EU 標準契約条項が当事者間の全ての関連する合意に優先すると定めているが、両当事者は、制限付移転については、10 条の階層が優先することに同意する。
10. 承認済み補足契約と追補 EU 標準契約条項(該当する場合)との間に矛盾または競合がある場合、承認済み補足契約が追補 EU 標準契約条項に優先するが、追補 EU 標準契約条項の矛盾または競合する用語がデータ主体に対してより大きな保護を提供する場合(およびその限りにおいて) は例外であり、その場合、それらの用語が承認済み補足契約に優先する。
11. 本補足契約が、一般データ保護規則(EU)2016/679 の適用を受ける移転を保護するために締結された EU 標準契約条項補遺を組み込んでいる場合、両当事者は、本補足契約のいかなる部分も、これらの EU 標準契約条項補遺に影響しないことを認める。
EU標準契約条項の組み込みおよびこれに対する変更点
12. 本補足契約は、必要な範囲で修正された追補 EU 標準契約条項を組み込んでおり、これにより以下のように修正される。
a. データ輸出者がデータ輸入者に行うデータ移転について、データ移転を行う際のデータ輸出者の処理に英国データ保護法が適用される範囲内で一緒に運用し、それらのデータ移転に適切な保護措置を提供すること。
b. 第 9 条から 11 条は、追補EU 標準契約条項第 5 条(階層)に優先する。
c. 本補足契約(本補足契約に組み込まれた追補 EU 標準契約条項を含む)は、(1)イングランドおよびウェールズの法律に準拠し、 (2)本補足契約から生じる紛争は、当事者によりスコットランドまたは北アイルランドの法律および/または裁判所が明示的に選択された場合を除き、いずれの場合もイングランドおよびウェールズの裁判所により解決する。
13. 両当事者が第 12 条の要件を満たす代替的な修正に合意しない限り、第 15 条の規定が適用される。
14. 第 12 条の要件を満たさない限り、承認済み EU 標準契約条項の修正を行うことはできない。
15. 追補 EU 標準契約条項(第 12 条の目的による)について、以下の修正を行う。
a. 「条項」への言及は、本補足契約を意味し、追補 EU 標準契約条項を組み込む。
b. 条項第 2 条において、以下の文言を削除する:
「ならびに、管理者から処理者および/または処理者から処理者へのデータ移転に関しては、(一般データ保護)規則(EU)2016/679第28条(7)に基づく標準契約条項」
c. 条項第 6 条(移転の内容)は、次のように置き換える:
「移転の詳細、特に移転される個人データのカテゴリおよび移転の目的は、その移転を行う際にデータ輸出者の処理に英国のデータ保護法が適用される本契約(DPA)別紙1付属書I.Bに記載された通りとする。」
d. モジュール 1 の条項第 8.7 条(i)は、次のように置き換える:
「転送に適用される英国GDPR第17A条に基づく十分性規制の恩恵を受ける国への場合。」
e. モジュール 2 および 3 の条項第 8.8 条(i)は、次のように置き換える:
「転送が、転送に適用される英国GDPR第17A条に基づく十分性規制の恩恵を受ける国への、である場合。」
f. 「規則(EU)2016/679」、「個人データの処理に関する自然人の保護及びそのようなデータの自由な移動に関する 2016 年 4 月 27 日の欧州議会および理事会の規則 (EU) 2016/679(一般データ保護規則)」、および「同規則」への言及は、すべて「英国データ保護法」に置き換える。「規則(EU)2016/679」の特定の条項への言及は、英国データ保護法の条(Article)または章/セクション(Section)に置き換える。
g. 規則(EU)2018/1725 への言及は削除する。
h. 「欧州連合」、「連合」、「EU」、「EU 加盟国」、「加盟国」、「EU または加盟国」への言及は、すべて
「英国」に置き換える。
i. モジュール 1 の条項第 10 条(b)(i)における「条項第 12 条(c)(i)」への言及は、「条項第 11 項(c)(i)」に置き換える。
j. 条項第 13 条(a)および付属書ⅠパートC は使用しない。
k. 「管轄監督当局」および「監督当局」は、いずれも「情報コミッショナー」に置き換える。
l. 条項第 16 条(e)(i)は、次のように置き換える:
「国務長官は、本条項の適用対象である個人データの移転に適用される2018年データ保護法第17A条に基づく規則を作成する。」
m. 条項第 17 条を次のように置き換える。
「本条項は、イングランドおよびウェールズの法律に準拠する。」
n. 条項第 18 条は次のように置き換えられる。
「本条項から生じるすべての紛争は、イングランドおよびウェールズの裁判所により解決されるものとする。データ主体は、データ輸出者および/またはデータ輸入者に対して、英国のいずれかの地域の裁判所に法的 手続を起こすこともできる。両当事者は、かかる裁判所の管轄権に服することに同意する。」
o. 承認済み EU 標準契約条項の脚注は、脚注 8、9、10、11 を除き、補足契約の一部を構成しない。本補足契約の修正
16. 両当事者は、追補 EU 標準契約条項第 17 条および/または第 18 条を変更して、スコットランドまたは北アイルランドの法および/または裁判所 に言及することに合意することができる。
17. 両当事者は、承認済み補足契約の[パート 1:表]に含まれる情報の形式の変更を希望するときは、当該変更が適切な保護措置を弱めないことを条件として、書面による変更に同意することにより変更することができる。
18. ICO は、随時、以下のような承認済み補足契約の改訂版を発行することができる:
a. 承認済み補足契約の誤りの訂正を含む、承認済み補足契約に対する合理的かつ適切な変更を行うこと、および/または、
b. 英国データ保護法の変更を反映すること。
改訂された承認済み補足契約には、承認済み補足契約の変更の開始日、および両当事者による付属情報を含む本補足契約の見直しの必要性の有無が明記される。本補足契約は、指定された開始日以降、改訂された承認済み補足契約に規定された通りに、自動的に改訂される。
19. ICO が第 18 条に基づき改訂された承認済み補足契約(の書式(テンプレート))を発行した場合において、表 4
「承認済み補足契約の変更時における本補足契約の終了」で選択された当事者のいずれかが、承認済み補足契約の変更の直接的結果として
(a) 補足契約に基づく義務を履行するための直接的な費用、および/または
(b) 補足契約に基づくリスク
が実質的に、不均衡に、かつ明白に増加することになる場合であって、かついずれの場合も、当該当事者がまず、実質的かつ不均衡とならないように、かかる費用またはリスクを低減するための合理的な措置を講じた場合、当該当事者は、改訂された承認済み補足契約の開始日前に、相手方当事者に対し、合理的な通知期間に書面で通知を行うことにより、当該期間の終了時に本補足契約を終了することができる。
20. 両当事者は、本補足契約に変更を加えるにあたって第三者の同意を必要としないが、いかなる変更も本補足契約に記載されている条件に従わなければならない。
代替的なパート2 必須条項
必須条項 | パート 2: 2022 年 2 月 2 日に 2018 年データ保護法第 119A に従って ICO が発行し、国会に提出された補足契約の書式(テンプレート)B.1.0 である承認済み補足契約の必須条項は、それらの必須条項の第 18 条に基づき改訂されている。 |
別紙 3
復処理者リスト
復処理者の名称 | 処理活動の種類 | 処理の場所 |
Panopto 関連会社 | プラットフォーム・インターフェース 顧客サポートサービスウェブサイトサービス | Panopto, Inc.(米国) Panopto EMEA Limited(英 国) Panopto ANZ Pty Ltd(オーストラリア) Panopto Asia Pacific Limited(シンガポール) Panopto Asia Pte Ltd(香港) |
Amazon Web Services | Web ホスティングサービス | 顧客の選択または本契約の規定により、米国、カナダ、アイルランド、オーストラリアまたはシンガポール |
All Lines Technology* | 毎日 24 時間の顧客サポートサービス | 米国 |
Cielo24* | キャプションサービス | 米国 |
Verbit* | キャプションサービス | 米国 |
Google Analytics* | 営業活動 | グーグルが施設を維持している以下に記載される国: |
Salesforce.com | 営業活動 | 米国 |
Tableau | 営業活動 | 米国 |
Marketo | 営業活動 | 米国 |
Pendo.io | 営業活動 | 米国 |
*明確にするために付言すると、All Lines Technologiesは、顧客がPanoptoのEmeraldサポートパッケージを選択した場合、または24時間365日カスタマーサポートサービスを購入した場合に限り、復処理者となる。キャプションサービスを提供する上記に記載された復処理者は、顧客が注文書に基づきキャプションサービスを購入した場合に限り、個人データを処理する。最後に、Google Analyticsは、顧客がサービス内でGoogle Analyticsの使用を選択した場合に限り、個人データを処理する(顧客が欧州連合にいる場合、Google Analyticsはデフォルトでオフになっているた
め、顧客が独自の分析目的でPanoptoとGoogle Analyticsの統合を利用しない限り、顧客の復処理者には該当しない)。