クライアント・コンプライアンス・データ転送ポリシー

言語を選択してください。

欧州連合の一般データ保護規則およびデータ転送補遺

このデータ処理補遺(以下「補遺」)は、Guidepoint Global、LLCとクライアントとの間の現在の契約の一部であり、変更します(以下、明示的に名前が付けられているかどうかにかかわらず、この契約を「契約」または「契約」と呼びます)。本補遺は、730 Third Avenue, New York, NY 10017に主たる事務所を置くGuidepoint Global, LLC(以下「処理者」および/または「データ輸入者」)と、他方のクライアント(以下「管理者」および/または「データ輸出者」)との間で締結され、後者はその内容を認識し、季節的に異議を唱えないことを選択したことにより、本補遺の当事者とみなされます。本補遺は、本契約の日付または2018年5月25日のいずれか遅い方(以下「発効日」)に作成され、締結されます。管理者および処理者を、本書では個別に「当事者」と呼び、総称して「当事者」と呼ぶことがあります。

本補遺の目的上、特に明記されていない限り、本補遺の大文字の用語は、欧州連合の一般データ保護規則(以下「GDPR」)または第三国に設立されたデータ処理者への個人データの移転に関する標準契約条項の付属書に記載されている定義と同じ意味を持つものとします。これらの条項は、移転に関する標準契約条項に関する2010年2月5日の欧州委員会決定2010/87/ECの付属書に含まれています第三国に設立された処理者に対する個人データの」(「標準契約条項」または「付録1として本契約に添付される条項」)。

本補遺は、欧州連合のデータ主体から収集または提供される個人データに適用されます。本補遺は、関連する部分において、EUで処理される個人データにも適用されます。

リサイタル

一方

本契約に基づく処理者によるサービスの提供に従い、処理者は、本契約の付録1に詳述されているように、GDPRで定義されている個人データを含む可能性のある特定のデータファイルの保管、保存、処理、またはアクセスを取得する場合があります。そして

一方

両当事者は、GDPRに基づくデータ主体のプライバシーの保護に関して適切な保護措置が講じられていることを確認したいと考えており、したがって、本契約に定められた条件に基づいて本契約を修正したいと考えています。そして

一方

欧州のデータ保護法は、EU/EEA諸国のデータ輸出者に対し、EU/EEA以外の国への個人データの移転について適切な保護を提供することを義務付けており、そのような保護は、2004年12月27日の欧州委員会決定2004/915/EC(随時改正または置き換えられる)に従って、データ輸入者に対し、第三国への個人データの移転に関する標準契約条項の締結を要求することによって実現することができます。

したがって、今、

本契約に含まれる相互の約束および誓約、ならびに本契約により受領および十分性が認められるその他の良好かつ価値ある対価を考慮して、本契約の当事者は、以下のとおり合意する。

規約の改定

1. 規約の変更

  • 1.1 修正条項。 両当事者は、本契約に本補遺を追加することにより、本契約が修正されることに同意するものとします。
  • 1.2 補遺の効果。 本契約により特に修正されていないサービス契約のすべての条項は、引き続き完全に効力を有するものとします。本補遺の条項とサービス契約の条項との間に和解できない矛盾がある場合は、本補遺の条項が優先されるものとします。本補遺の条項が無効になる、または無効となった場合でも、本補遺の他の条項の有効性は本書によって影響を受けないものとし、本書の各条項および条項は、法律の最大限の範囲で有効かつ執行されるものとします。
  • 1.3 さらなる修正。 本契約の条項(本条項の条項を含む)は、各当事者の権限を有する代表者による書面による事前の同意なしに、修正、修正、または補足することはできず、本契約の条項からの逸脱に対する権利放棄または同意を与えることはできません。本契約に基づく不履行、不実表示、または保証または誓約の違反に対するいずれかの当事者による権利放棄は、意図的であるかどうかにかかわらず、本契約に基づく以前またはその後の不履行、不実表示、または保証または誓約の違反にまで及ぶとは見なされず、また、そのような前または後のそのような発生によって生じる権利に何らかの形で影響を与えるとは見なされません。

2. データ処理

  • 2.1 コントローラーの説明。 処理者は、管理者に代わって、また管理者の利益のために、また管理者からの文書化された指示に従ってのみ、管理者の個人データを処理するものとします。両当事者は、本契約(適用されるサービスレベル契約または同等の文書を含む)が、処理者に対する管理者の書面による指示を構成することに明示的に同意し、規定します。追加の処理指示は、両当事者が書面で相互に合意する必要があります。処理者は、処理者が命令が適用法に違反していると判断した場合、直ちに管理者に通知するものとします。
  • 2.2 処理者への転送権限。 管理者は、すべての個人データおよび管理者による本サービスへのアクセスまたは使用に関連するその他のデータまたは情報を、必要に応じて同意を含め、処理者に合法的に転送する権限および権利を有することを表明し、保証します。
  • 2.3 適用法の遵守 管理者は、(i)現在施行されている、適用される国際法、連邦法、州法、地方法、および政府要件、およびそれらが何らかの形で個人データのプライバシー、機密性、および/またはセキュリティに関連して有効になった場合(GDPRを含むがこれに限定されない)、遵守することを表明し、保証します。(ii) プライバシー、データ保護、機密性、または情報セキュリティに関する適用可能な業界標準(「ペイメントカード業界データセキュリティ基準」(「PCI DSS」)を含むがこれらに限定されない)。(iii)個人データのプライバシー、機密性、および/またはセキュリティ、または処理者が書面で管理者に提供する該当するプライバシーポリシー、声明、または通知(総称して「適用法」)に関連して、現在有効であり、何らかの形で効力を生じる処理者の書面による要件の該当する規定。

3. サブプロセッサー

  • 3.1 サブプロセッサーの関与。 管理者は、(a)処理者が、本サービスの提供に関連して、処理者によって支配されている、または処理者と共通の支配下にある事業体(以下「関連会社」)を保持することができることを明示的に認め、同意します。(b)処理者および処理者の関連会社は、それぞれ、サービスの提供に関連して他の第三者の処理者(総称して「サブ処理者」)を雇用することができます。
  • 3.2 復処理者の義務。 サブプロセッサーは、プロセッサーが保持したサービスを提供するために必要な場合にのみ個人データを処理することが許可され、そのようなサブプロセッサーは、他の目的で個人データを処理することを禁じられています。このような復処理者は、本契約に規定されているのと同じデータ保護義務を含む書面による契約に従ってサービスを提供します。処理者は、本契約に別段の定めがある場合を除き、本契約に別段の定めがある場合を除き、本補遺の条件に基づいて各復処理者のサービスを直接実施する場合に処理者が責任を負うのと同じ範囲で、復処理者の作為および不作為について管理者に対して責任を負うものとします。
  • 3.3 サブプロセッサのリスト。 管理者の要求に応じて、処理者は、各本サービスの復処理者の最新のリストと、それらの復処理者の身元を含む(以下「復処理者リスト」といいます)を管理者に提供するものとします。

4. 守秘義務

  • 4.1 守秘義務。 処理者は、管理者の個人データを機密情報として取り扱います。処理者は、管理者の個人データの処理に従事するその担当者が、個人データの機密性について通知を受け、その責任について適切なトレーニングを受け、守秘義務の対象となること、および当該義務が当該人物と処理者との契約の終了後も存続することを保証します。

5. セキュリティ

  • 5.1 セキュリティ対策。 処理者は、付録2に詳述されているように、管理者の個人データのセキュリティ、機密性、完全性、および可用性を保護するために、適切な技術的および組織的措置を講じるものとします。
  • 5.2 データ侵害の通知。 処理者は、管理者の個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ違反(以下「データ侵害」)について、当該データ侵害を認識した後、速やかに管理者に通知するものとします。データ侵害の通知は、もしあれば、両当事者が合意した手段により、管理者の指定された連絡先に配信されます。そのような通知の目的のために正確な連絡先情報を維持することを保証するのは、管理者の単独の責任です。

6. コントローラーへの支援

  • 6.1 データ主体の権利。 可能な場合、処理の性質を考慮して、処理者は、GDPR第12条から第23条に規定されているデータ主体の権利行使の要求に対応する管理者の義務を果たすために、管理者に対して商業的に合理的な支援を提供します。
  • 6.2 セキュリティおよびデータ保護影響評価。 処理者は、GDPR、第32条(処理の安全性)および第36条(事前協議)に基づく管理者の義務の履行について、処理の性質および処理者が利用可能な情報に関して適切かつ実行可能な場合、管理者に対して商業的に合理的な支援を提供します。
  • 6.3 監査および検査。処理者の業務に関連するシステムのセキュリティまたはデータファイルの完全性に関連する制約を条件として、処理者は、GDPR第28条に規定された義務の遵守を実証するために必要な情報を管理者に提供するものとします。処理者は、コントローラーまたはコントローラーによって義務付けられた別の監査人によって実施される監査 (検査を含む) を許可し、これに貢献するものとします。管理者は、かかるオンサイト監査に費やした時間について、その時点で最新の処理者サービス料金で処理者に払い戻しを行うものとし、その料金は要求に応じて管理者に提供されるものとします。このようなオンサイト監査の開始前に、処理者と管理者は、監査の範囲、タイミング、および期間、および管理者が責任を負う償還率について相互に合意するものとします。両当事者は、相互に利益をもたらす時間に監査をスケジュールし、処理者の事業運営に不合理な混乱が生じないように、誠意を持って作業するものとします。すべての償還率は、処理者が費やしたリソースを考慮して、妥当なものでなければなりません。両当事者が書面で別段の合意をしない限り、管理者は、本規定に従って実施される処理業者の監査の実施に関連する費用を負担するものとします。管理者は、本サービスまたは本契約に関連する監査の過程で発見された違反に関する情報を速やかに処理者に通知するものとします。

7. データ転送

  • 7.1 米国への送金。
    管理者は、本サービスの一部または全部が、欧州連合が個人データの法的保護が不十分であると見なす管轄区域である米国内から提供および/またはホストされる可能性があることを明示的に認めます。管理者は、処理者がサービスを提供し、本契約に基づく義務を履行する目的で、管理者の個人データを米国に転送することに明示的に同意します。かかる譲渡は、付属書1(標準契約条項)を含む本契約に従って行われます。

8. 個人データの削除

  • 8.1 管理者の個人データの削除または返却。 法律で別段の定めがない限り、または法的リスクを適切に軽減するため、または書面による指示に関する管理者の意図を記念するために、適用される業界のベストプラクティスによって許可されない限り、処理者は、(i)処理に関連するサービスの提供の終了、または(ii)管理者の合法的な、合理的な期間内に管理者の個人データを削除または返却します。 書面による要求。
  • 8.2 認証。両当事者は、付属書1の第12条(1)(標準契約条項)に記載されている個人データの削除の証明が、管理者の要求に応じて、法律で認められている方法で、処理者から管理者に提供されることに同意するものとします。

9. 免責事項

  • 9.1 補償。 管理者は、処理者およびその関連会社、およびそれぞれの現在、将来、および過去の役員、従業員、取締役、代理人、後継者、譲受人(総称して「処理者被補償者」)を補償し、処理者の選択により、当該損失が以下に起因するか、または何らかの形で起因する可能性のある範囲で、処理者被補償者が被る可能性のあるすべての損失(以下に定義)を補償し、損害を与えないことに同意するものとします。 (i) 本補遺の違反。(ii)本補遺に定められた義務に関連する、管理者またはその人員の過失、重大な過失、悪意、詐欺行為または不作為、または意図的または故意の不正行為。本補遺の目的上、「損失」とは、すべての判決、和解、裁定、損害、損失、料金、負債、罰金、利息請求(税金およびそれに関して直接発生したすべての関連する利息および罰金を含む)、および関連するすべての合理的な費用、経費、およびその他の料金(すべての合理的な弁護士費用および調査、訴訟、公聴会、手続きの合理的な内部および外部の費用を含む)を意味します。 文書およびデータの作成、および証拠開示、和解、判決、裁定、利息および罰則)。

10. 雑則

  • 10.1 カウンターパート。 本補遺は、副本で作成することができ、各副本は原本とみなされ、そのすべてが一体となって1つの同一文書を構成するものとします。
  • 10.2 期間と終了。
    すべての終了通知は書面で行い、本契約に定められた終了手続きに従う必要があります。両当事者が書面で別段の合意をしない限り、本補遺は本契約の満了まで効力を有するものとします。
  • 10.3 存続条項。 いずれかの当事者の権利および義務は、その性質上、本補遺の終了または満了後も継続するものとし、守秘義務を含むがこれに限定されないものは、本補遺の終了または満了後も存続するものとします。
  • 10.4 完全合意。 本補遺(本契約に組み込まれ、その不可欠な部分を形成するものとする)は、両当事者間の完全な合意および理解を構成し、本補遺の特定の主題に関する従前および同時期の口頭および書面によるすべての交渉、合意および理解(もしあれば)に優先し、本補遺は書面による合意に基づく場合を除き、変更することはできません。 各当事者の権限のある代表者によって署名されたもの。
  • 10.5 分離可能性。 本補遺のいずれかの条項がいずれかの法域において無効、違法、または執行不能となる場合、当該条項は、当該法域に関して、当該無効性、違法性、または執行不能の範囲で無効となり、残りの条項の有効性、適法性および執行可能性に影響を与えることなく、当該条項と異なるものとします。また、特定の法域における特定の条項が無効であっても、他の法域における当該条項は無効とならないものとする。

付録1

標準契約条項(処理者)

GDPRおよび指令95/46/ECの第26条(2)により、適切なレベルのデータ保護を確保していない第三国に拠点を置く処理者への個人データの転送について、本契約で特定されているデータ輸入者およびデータ輸出者は、それぞれ「当事者」です。「当事者」は、付録1に規定されている個人データの個人データをデータ輸出者からデータ輸入者に転送する際のプライバシーおよび個人の基本的権利および自由の保護に関する適切な保護措置を講じるために、以下の契約条項(以下「条項」)に同意しました。

第1条

定義

本条項の目的上、(a)「個人データ」、「データの特別なカテゴリー」、「処理/処理」、「管理者」、「処理者」、「データ主体」および「監督当局」は、個人データの処理に関する個人の保護および当該データの自由な移動に関する1995年10月24日の欧州議会および理事会の指令95/46/ECと同じ意味を有するものとします。(b) 「データ輸出者」とは、個人データを転送する管理者を意味します。(c) 「データ輸入者」とは、データ輸出者から、移転後に自己に代わって処理することを意図した個人データを、その指示および本契約条項の条件に従って受領することに同意する処理者であり、指令95/46/EC第25条(1)の意味における適切な保護を保証する第三国の制度の対象とならない者を意味します。(d) 「下請処理者」とは、データ輸入者またはデータ輸入者の他の下請処理者が雇用する処理者で、データ輸入者またはデータ輸入者の他の下請処理者から、データ輸出者に代わって転送後にデータ輸出者に代わって実施される処理活動のみを目的とした個人データを受け取ることに同意した処理者を意味します。 条項の条件および書面による下請契約の条件。(e) 「適用されるデータ保護法」とは、データ輸出者が設立された加盟国のデータ管理者に適用される、個人の基本的権利および自由、特に個人データの処理に関するプライバシーの権利を保護する法律を意味します。(f) 「技術的および組織的なセキュリティ対策」とは、偶発的または違法な破壊、偶発的な損失、改ざん、不正な開示またはアクセスから個人データを保護することを目的とした措置を意味し、特に処理がネットワークを介したデータの送信を伴う場合、およびその他すべての違法な形式の処理に対して行われます。

第2条

振込内容

転送の詳細、特に該当する場合は特別なカテゴリーの個人データは、本条項の不可欠な部分を形成する付録1に規定されています。

第3条

第三者受益者条項

1. データ主体は、データ輸出者に対して、本条項、第 4 条 (b) から (i)、第 5 条 (a) から (e)、および (g) から (j)、第 6 条 (1) および(2)、第 7 条、第 8 条 (2)、および第 9 条から第 12 条を第三者受益者として執行することができます。2. データ主体は、データ輸出者が事実上消滅した場合、または法律上消滅した場合、または法律上消滅した場合を除き、契約または法律の運用によりデータ輸出者の法的義務を全て引き受けた場合を除き、データ輸入者に対して本条、第5条(a)から(e)および(g)、第6条、第7条、第8条(2)、および第9条から第12条を執行することができます。 その結果、データ輸出者の権利と義務を引き受け、その場合、データ主体はそのような事業体に対してそれらを執行することができます。3. データ主体は、データ輸出者とデータ輸入者の両方が事実上消滅し、または法律上存在しなくなった場合、または支払不能となった場合、後継者が契約または法律の運用によりデータ輸出者の法的義務をすべて引き受けている場合を除き、本条項、第5条(a)から(e)および(g)、第6条、第7条、第8条(2)、および第9条から第12条を復処理者に対して執行することができます。その結果、データ輸出者の権利と義務を引き受け、その場合、データ主体はそのようなエンティティに対してそれらを執行することができます。サブプロセッサーのかかる第三者に対する責任は、本条項に基づくサブプロセッサー自身の処理業務に限定されるものとします。4. 当事者は、データ主体が明示的に希望し、国内法で許可されている場合、データ主体が協会またはその他の機関によって代表されることに異議を唱えません。

第4条

データ輸出者の義務

データ輸出者は、(a)個人データの処理(転送自体を含む)が、適用されるデータ保護法の関連規定に従って行われており、今後も引き続き実施されること(および、該当する場合は、データ輸出者が設立されている加盟国の関連当局に通知されていること)、およびその国の関連規定に違反しないことに同意し、保証します。(b) 個人データ処理サービスの期間中、データ輸入者に対して、データ輸出者に代わってのみ、適用されるデータ保護法および本契約条項に従って、転送された個人データを処理するように指示したこと。(c) データ輸入者が、本契約の付録 2 に規定されている技術的および組織的なセキュリティ対策に関して十分な保証を提供すること。(d) 適用されるデータ保護法の要件を評価した上で、セキュリティ対策が、偶発的または違法な破壊、偶発的な損失、改ざん、不正な開示またはアクセスから個人データを保護するために適切であること、特に処理がネットワークを介したデータの送信を伴う場合、およびその他すべての違法な形式の処理に対して、 また、これらの措置は、処理によってもたらされるリスクおよび保護されるべきデータの性質に適切なレベルのセキュリティを確保し、その最先端技術およびそれらの実装のコストを考慮すること。(e) セキュリティ対策の遵守を確保すること。(f) 転送に特別なカテゴリーのデータが含まれる場合、データ主体は、指令95/46/ECの意味における適切な保護を提供していない第三国にそのデータが転送される可能性があることを、転送前または転送後できるだけ早く通知されていたか、または通知される予定であること。(g) データ輸出者が移転の継続または停止の解除を決定した場合、第 5 条 (b) および第 8 条 (3) に従ってデータ輸入者または下請処理者から受領した通知をデータ保護監督当局に転送すること。(h) 要求に応じて、データ主体が付録2を除く条項のコピー、セキュリティ対策の要約説明、および条項または契約に商業情報が含まれていない限り、条項に従って作成する必要があるサブプロセッシングサービスの契約のコピーを利用できるようにすること。 その場合、そのような商業情報を削除する場合があります。(i) 下請処理の場合、処理活動は、第11条に従って、本条項に基づくデータ輸入者と少なくとも同レベルの個人データおよびデータ主体の権利を保護する下請処理者によって行われること。(j)第4条(a)から(i)の遵守を確保すること。

第5条

データ輸入者の義務

データ輸入者は、(a) データ輸出者に代わってのみ、その指示および本契約条項に従って個人データを処理することに同意し、保証します。理由の如何を問わず、そのような遵守を提供できない場合、データ輸出者に対して遵守できないことを速やかに通知することに同意し、その場合、データ輸出者はデータの移転を一時停止し、および/または契約を終了する権利を有するものとします。(b) 当該法律が適用される法律により、データ輸出者から受領した指示および本契約に基づく義務の履行が妨げられていると信じる理由がないこと、および本法律の変更により、本契約条項によって提供される保証および義務に重大な悪影響を及ぼす可能性があると信じる理由がないこと。 データ輸出者は、変更を認識し次第、速やかにデータ輸出者に通知し、その場合、データ輸出者はデータの転送を一時停止し、および/または契約を終了する権利を有するものとします。(c) 転送された個人データを処理する前に、付録2に規定されている技術的および組織的なセキュリティ対策を実施していること。(d)データ輸出者に対し、(i)法執行機関による法的拘束力のある個人データの開示要求(法執行機関の調査の機密保持のための刑法上の禁止など)が禁止されている場合を除き、(ii)偶発的または不正なアクセス、および(iii)データ主体から直接受け取った要求に応答せずに受領した要求について、速やかにデータ輸出者に通知すること。 ただし、別段の許可がない限り。(e) 転送の対象となる個人データの処理に関するデータ輸出者からのすべての問い合わせに迅速かつ適切に対処し、転送されたデータの処理に関する監督当局の助言に従うこと。(f) データ輸出者が、本契約条項の対象となる処理活動の監査のためにデータ処理施設を提出するよう要請された場合、当該処理施設は、データ輸出者または独立したメンバーで構成され、かつ、データ輸出者が選択した、守秘義務に拘束される必要な専門的資格を保有する検査機関によって実施されるものとします。 該当する場合は、監督当局と合意して。(g) 本契約条項または契約に商業情報が含まれている場合を除き、要求に応じてデータ主体が本契約条項または既存のサブプロセッシング契約を利用できるようにすること。ただし、データ主体がデータ輸出者からコピーを取得できない場合には、付録 2 を除き、当該商業情報を削除することができるものとします。(h) サブプロセッシングの場合、事前にデータ輸出者に通知し、事前に書面による同意を得ていること。(i) 復処理者による処理サービスが第11条に従って実施されること。(j) 本条項に基づいて締結した下請処理者契約の写しをデータ輸出者に速やかに送付すること。

第6条

責任

1. 両当事者は、当事者または下請処理者による第3条または第11条で言及された義務の違反の結果として損害を被ったデータ主体が、被った損害についてデータ輸出者から補償を受ける権利があることに同意するものとします。2. データ輸出者が事実上消滅した、または法律上存在しなくなった、または支払不能になったために、データ輸入者またはその下請処理者が第 3 条または第 11 条で言及された義務に違反した結果、データ主体が第 1 項に従ってデータ輸出者に対して補償請求を提起できない場合。 データ輸入者は、契約または法律の運用により、後継事業体がデータ輸出者の法的義務をすべて引き受けている場合を除き、データ主体がデータ輸出者であるかのようにデータ輸入者に対して請求を行うことができることに同意します。ただし、その場合、データ主体は当該事業体に対して権利を行使することができます。データ輸入者は、自己の責任を回避するために、復処理者による義務違反に依拠することはできません。3. データ輸出者とデータ輸入者の両方が事実上消滅した、またはデータ輸入者の両方が法律上消滅した、または支払不能になったために、第 3 条または第 11 条で言及された義務の復処理者による違反により、データ主体が第 1 項および第 2 項で言及されたデータ輸出者またはデータ輸入者に対して請求を提起できない場合。 復処理者は、契約または法律の運用により、後継者がデータ輸出者またはデータ輸入者の法的義務をすべて引き受けている場合を除き、データ主体が本契約条項に基づく自身の処理業務に関して、データ副処理者に対して請求を行うことができることに同意します。 その場合、データ主体はそのようなエンティティに対してその権利を行使することができます。復処理者の責任は、本条項に基づく自身の処理業務に限定されるものとします。

第7条

調停と管轄権

1. データ輸入者は、データ主体がデータ主体に対して第三者受益者の権利を行使し、および/または本契約条項に基づく損害賠償を請求する場合、データ輸入者はデータ主体の決定を受け入れることに同意するものとします。

  • (a) 紛争を、独立した人物、または該当する場合は監督当局による調停に付託すること。
  • (b) 紛争を、データ輸出者が設立された加盟国の裁判所に付託すること。

2. 両当事者は、データ主体が行った選択が、国内法または国際法の他の規定に従って救済を求める実体的または手続き上の権利を害しないことに同意します。

第8条

監督当局との連携

1. データ輸出者は、監督当局が要求した場合、または適用されるデータ保護法に基づいてそのような保証が必要な場合、本契約の写しを監督当局に寄託することに同意します。2. 両当事者は、監督当局が、適用されるデータ保護法に基づくデータ輸出者の監査に適用されるのと同じ範囲および条件を持つ、データ輸入者および任意の下請処理者の監査を実施する権利を有することに同意します。3. データ輸入者は、第 2 項に基づくデータ輸入者または下請処理者の監査の実施を妨げる、データ輸入者または下請処理者に適用される法律の存在について、データ輸出者に速やかに通知するものとします。このような場合、データ輸出者は、第 5 条 (b) で予見される措置を講じる権利を有するものとします。

第9条

準拠法

本条項は、データ輸出者が設立された加盟国の法律に準拠するものとします。

第10条

契約の変更

両当事者は、本条項を変更または修正しないことを約束します。これは、当事者が条項と矛盾しない限り、必要に応じてビジネス関連の問題に関する条項を追加することを妨げるものではありません。

第11条

サブプロセッシング

1. データ輸入者は、データ輸出者の書面による事前の同意なしに、本契約条項に基づいてデータ輸出者に代わって行われる処理業務を下請けに出すことはできません。データ輸入者が本契約条項に基づく義務を下請けに出す場合、データ輸入者は、データ輸出者の同意を得て、第1 条に基づいてデータ輸入者に課されるのと同じ義務を下請処理者に課す下請処理者との書面による合意によってのみ下請けを行うものとします。下請処理者が当該書面による契約に基づくデータ保護義務を履行しない場合、データ輸入者は、当該契約に基づく下請処理者の義務の履行について、データ輸出者に対して引き続き全責任を負うものとします。2. データ輸入者と下請処理者との間の事前の書面による契約には、データ主体が第 6 条第 1 項で言及された補償請求をデータ輸出者またはデータ輸入者に対して提起できない場合、彼らが事実上消滅した、法律上存在しなくなった、または支払不能になったために、第 3 条に規定されている第三者受益者条項も規定されるものとします。後継事業体は、契約または法律の運用により、データ輸出者またはデータ輸入者の法的義務をすべて引き受けています。サブプロセッサーのかかる第三者に対する責任は、本条項に基づくサブプロセッサー自身の処理業務に限定されるものとします。3. 第1項で言及された契約の下請処理に関するデータ保護の側面に関する規定は、データ輸出者が設立された加盟国の法律に準拠するものとします。4. データ輸出者は、本条項に基づいて締結され、第 5 条 (j) に従ってデータ輸入者から通知されたサブプロセッシング契約のリストを保持するものとし、これは少なくとも年に 1 回更新されるものとします。このリストは、データ輸出者のデータ保護監督当局が入手できるものとします。
1 この要件は、本決定に基づいてデータ輸出者とデータ輸入者との間で締結された契約に復処理者が共同署名することで満たすことができます。

第12条

個人データ処理サービス終了後の義務

1. 両当事者は、データ処理サービスの提供の終了時に、データ輸入者および下請処理者が、データ輸出者の選択により、転送されたすべての個人データおよびそのコピーをデータ輸出者に返却するか、またはすべての個人データを破棄し、データ輸出者に対してそのことを証明することに同意するものとします。 ただし、データ輸入者に課せられた法律により、データ輸入者が転送された個人データの全部または一部を返却または破棄することが禁止されている場合を除きます。その場合、データ輸入者は、転送された個人データの機密性を保証し、転送された個人データを積極的に処理しないことを保証するものとします。2. データ輸入者および下請処理者は、データ輸出者および/または監督当局の要求に応じて、第 1 項で言及された措置の監査のためにデータ処理施設を提出することを保証します。

標準契約条項の付録1

本付録は、本条項の一部を構成するものであり、当事者が記入し、署名する必要があります。

加盟国は、自国の手続に従って、この付録に記載されるべき追加の必要な情報を記入し、又は指定することができる。

データエクスポーター

データ輸出者は、以下のとおりです(転送に関連する活動を簡単にご記入ください)。

本契約に明記されている管理者(データ輸出者)は、本契約に従ってデータ輸入者のグローバルな専門家ネットワークから対象分野の専門家からコンサルティングサービスを受ける目的で、データ輸入者のサービスを保持しています。

データインポーター

データ輸入者は、以下のとおりです(転送に関連する活動を簡単に指定してください)。

Guidepointはデータインポーターです。本契約に明記されている管理者(データ輸出者)は、本契約に従ってデータ輸入者のグローバルな専門家ネットワークから対象分野の専門家からコンサルティングサービスを受ける目的で、データ輸入者のサービスを保持しています。

データ主体

転送される個人データは、次のカテゴリのデータ主体に関係します。

  • 従業員(自営業者を含む)
  • エンドユーザー
  • 独立請負業者
  • 投資 家
  • 所有者
  • その他、当該事業に関連する関係者

データのカテゴリ

転送される個人データは、次のカテゴリのデータに関係します。

  • アドレス
  • 住所/郵送先住所
  • 電話番号
  • IPアドレス
  • ブラウザのクッキー
  • デバイス ID
  • 管理者またはデータ主体の裁量で提供されるその他の情報
  • その他、本事業を運営し、管理者にサービスおよびサポートを提供するために必要な情報
  • 個人データに紐づく関連情報

特別なカテゴリのデータ (該当する場合)

転送される個人データは、次の特別なカテゴリのデータに関係します。

何一つ。

処理操作

転送される個人データは、以下の基本的な処理活動の対象となります。

記載されているデータ主体に関連して提供されたデータは、処理者が通常の過程で管理者にサービスおよびサポートを提供できるようにするために使用されます。これには、さまざまなビジネス関連の目的、法令遵守(GDPRの遵守および書面による指示の記憶を含む)、および本契約の範囲内でのその他の関連する予想されるビジネス使用が含まれます。

標準契約条項の付録2

本付録は、本条項の一部を構成するものであり、当事者が記入し、署名する必要があります。

第4条(d)および第5条(c)(または添付の文書/法律)に従ってデータ輸入者が実施する技術的および組織的なセキュリティ対策の説明:

  • セキュリティポリシーまたは計画書
  • ディザスタリカバリ計画
  • インシデント対応計画
  • ネットワークのセグメンテーション
  • ファイアウォール
  • 侵入防止デバイス
  • 転送中の暗号化
  • ウイルス対策保護
  • パスワードプログラム
  • ロールベースのアクセス
  • 重要なシステムおよび重要なシステムに接続されている他のシステムの定期的なパッチ適用と更新
  • ユーザーのトレーニング
  • 従業員ハンドブック
  • スパム対策コントロール
  • 安全なコーディング手法
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.