データ処理付録

データ処理付録

 

この付録は契約の不可欠な部分を構成し、以下の当事者によって締結されます:

 

  1. (i) クライアント(「データエクスポーター」)
  2. (ii) IQUALIF(「データインポーター」)

 

それぞれを「当事者」とし、一般的に「当事者間」と呼びます。

 

前文

データインポーターが専門的なソフトウェアサービス、コンピュータ、および関連サービス(高度な検索機能を備えたブラウザなど)を提供することに関し、

契約に基づき、データインポーターは契約書に記載されたサービス(「サービス」)をデータエクスポーターに提供することに同意しています;

サービスの提供により、データインポーターは、データエクスポーターまたはその他の者との潜在的関係を持つ者の情報へのアクセスから利益を得る場合があり、その情報は欧州議会と欧州理事会の2016/679号規則(「GDPR」)およびその他の適用されるデータ保護法の意味で個人データとみなされることがあります。

この付録には、データインポーターがデータエクスポーターの認可されたデータ処理代理人として、その権限の範囲内で個人データの収集、処理、使用に関する条件が含まれており、当事者が適用されるデータ保護法を遵守することを確実にします。

 

したがって、当事者が合法的に関係を継続できるように、この付録は以下の通り締結されます:

第1部

 

1. 文書の構造と定義

1.1 構造

この付録は以下の異なる部分から構成されます:

 

第1部:

一般規定を含み、例としてこの付録で使用される定義、現地法の遵守、タイミング、終了に関する規定を含む

 
第2部:

未修正の標準契約条項文書の本文を含む

 
第2部の付録1.1:

この付録の下で、データインポーターがデータエクスポーターに提供する処理操作の詳細(処理の性質、目的、個人データの種類、データ対象者のカテゴリーを含む)

 
第2部の付録2:

第2部の付録1.1に記載されたすべての処理活動に関連して適用される、データインポーターの技術的および組織的なセキュリティ対策の説明

 
第3部:

この付録に拘束される当事者の署名と、各データインポーターの特定

 

 

1.2 用語と定義

この付録の目的のために、GDPRで使用される用語と定義が適用されます(第2部の標準契約条項文書の本文において、定義された用語が大文字でない場合も含む)。

 

"加盟国"

欧州連合または欧州経済領域に属する国を意味します

 
"特別カテゴリーの(個人)データ"

人種や民族的出自、政治的意見、宗教または哲学的信念、労働組合の加入、遺伝情報、バイオメトリクスデータなど、個人を特定するために処理されるデータを指します。健康に関するデータ、性別や性的指向に関するデータも含む。

 
"標準契約条項"

第三国に設立された処理代理人の個人データ移転に関する標準契約条項を意味し、2010年2月5日の欧州委員会決定2010/87/EUに基づき、2016年12月16日の欧州委員会実施決定(EU)2016/2297によって修正されたもの

 
"データ処理者"

EU/EEA内外を問わず、個人データを受領し、データエクスポーターの指示に従い、契約およびこの付録の条件に基づき、データエクスポーターのために処理活動を行うことに同意した者を指します

 

 

 

2. データエクスポーターの義務

2.1 データエクスポーターは、GDPRおよびその他の適用されるデータ保護法のすべての義務を遵守し、その遵守を証明する義務があります。データエクスポーターは、データインポーターがGDPRの第6条(a)に従い、データ対象者の事前同意を得ていること、および第13条および第14条に従って情報提供義務を履行していることを保証します。

2.2 データエクスポーターは、サービスに関連する処理活動のファイルを、GDPR第30条(1)に従い、必要に応じてデータインポーターに提供し、GDPR第30条(2)の義務を履行できるようにします。

2.3 データエクスポーターは、適用されるデータ保護法に従い、データ保護責任者または代表者を任命し、その連絡先情報をデータインポーターに提供します。

2.4 データエクスポーターは、処理完了前に、この付録の受け入れにより、データインポーターの技術的および組織的なセキュリティ対策(第2部の付録2に記載)がお客様の権利を保護し十分であることを確認し、その安全措置が適切であることを確認します。

 

3. 現地法の遵守

第28条に基づく処理代理人の実施要件を満たすため、以下の修正が適用されます:

 

3.1 指示

  1. (i) データエクスポーターは、個人データの処理をデータインポーターに対してのみ行うよう指示します。指示はこの付録および契約書に記載されており、すべての指示が適用されるデータ保護法に準拠していることをデータエクスポーターは保証します。データインポーターは、EUまたは加盟国の法律により別途義務付けられていない限り、指示に従って個人データを処理しなければなりません(後者の場合、第1部の条項3.2(c)が適用されます)。
  2. (ii) この付録または契約書に記載された指示を超えるすべての追加指示は、この付録および契約書の対象に含める必要があります。追加指示の実施にコストがかかる場合、データインポーターはその旨をデータエクスポーターに通知し、実施前に説明します。データエクスポーターがこれらのコストを承認した場合のみ、追加指示を実行します。書面による追加指示を行う必要がありますが、緊急性やその他の事情により口頭や電子的な方法も認められます。書面以外の方法で指示を出す場合は、遅滞なく書面で確認します。
  3. 1. データエクスポーターが自己の権限で個人データの修正、消去、制限を行える場合を除き、指示は第1部の条項3.3に記載された内容に関するものも含まれます。
  4. 2. データインポーターは、GDPRまたは他の適用されるデータ保護規則に違反する指示があった場合、直ちにデータエクスポーターに通知します(「異議のある指示」)。指示がGDPRに違反していると判断した場合、データインポーターはその指示に従う義務はありません。データエクスポーターが受領した情報に基づき、その指示を承認し、その責任を認めた場合に限り、データインポーターはその指示を実行します。ただし、(i) 技術的・組織的措置の実施、(ii) データ対象者の権利、(iii)データ処理者の関与に関する指示は除きます。これらの場合、データインポーターは、法的にその指示を評価させるために監督当局に連絡することができます。監督当局がその指示を合法と判断した場合、実行します。第1部の条項3.1(ii)は引き続き適用されます。

 

3.2 データインポーターの義務

  1. (i) データインポーターは、個人データを処理する権限を持つ者(従業員や下請け業者の従業員を含む)が秘密保持義務を負うか、適切な法定義務に従っていることを保証し、その者が個人データにアクセスする場合は、指示に従って処理させることを義務付けます。
  2. (ii) データインポーターは、処理前に付録2に記載された技術的・組織的セキュリティ対策を実施し、必要に応じて更新します。これらの対策は、より少ない保護を提供しない範囲で変更可能です。
  3. (iii) データインポーターは、必要に応じて、データエクスポーターに対し、義務遵守の証拠となる情報(例:セキュリティ、システムの可用性、機密性に関する監査報告書)を提供します。追加の監査が法的に必要な場合、データエクスポーターは、独立した監査人による検査を要求できます。監査には秘密保持契約が必要です。監査は、事前の書面承認と、監査人の合理的な満足を得るための条件を満たす必要があります。監査結果の要約報告書は機密情報とし、法律により必要とされる場合を除き第三者に開示できません。
  4. (iv) データインポーターは、以下の事項を遅滞なく通知します:
    1. a. 法執行機関からの個人データ開示の法的要請(例:刑事法による秘密保持義務)
    2. b. 直接データ対象者からの苦情や要請(例:アクセス、修正、削除、処理制限、データポータビリティ、異議申し立て、自動意思決定)
    3. c. EUまたは加盟国の法律により、指示を超える個人データ処理義務がある場合、その法的要件を通知します。
    4. d. 個人データの侵害が判明した場合、その原因が自社または下請けによるものであれば、GDPR第33条(3)に従い、関係者や監督当局に通知します。
  5. (v) データエクスポーターの要請により、データインポーターは、GDPR第35条のデータ保護影響評価や第36条の事前協議に必要な支援を行います。費用は事前に通知し、承認された場合のみ実施します。
  6. (vi) サービス提供終了後、1ヶ月以内に、データエクスポーターの要求により、処理した個人データを返却または破棄します。ただし、法律により保存義務がある場合は除きます。

 

3.3 関係者の権利

  1.  
    1. (i) データ対象者からの要求に対応し、管理します。データインポーターは直接対応義務はありません。
    2. (ii) データ対象者の権利行使に関して、必要に応じて第3.1条(ii)に従い指示を出し、適切な技術的・組織的措置を講じます。具体的には:
    3. a. 情報要求に対しては、GDPR第13条・第14条に基づき、持っている情報のみ提供します。自ら情報を見つけられない場合に限ります。
    4. b. アクセス権(GDPR第15条)については、対象者に提供すべき情報のみ提供します。
    5. c. 修正(第16条)、削除(第17条)、処理制限(第18条)、データポータビリティ(第20条)の要求に対しては、自己で対応できない場合に限り、他の第三者に対して修正・削除・制限・送信を支援します。
    6. d. 修正・削除・制限に関する通知(第19条)については、要求に応じて全受領者に通知します。
    7. e. 異議申し立て(第21・22条)については、その妥当性を判断し対応します。
    8. (iii) 支援義務は、インフラ内の個人データに限定されます。
    9. (iv) データ対象者の権利行使の範囲について、事前に第3.1条の内容を判断し、必要な支援範囲を通知します。
    10. (v) 追加・変更の指示があれば、そのコストを通知し、承認後に実施します。
    11. (vi) これらの義務に伴う合理的な費用は、データエクスポーターが負担します。

 

3.4 サブ処理

  1.  
    1. (i) データエクスポーターは、事前の書面承認なしにサブコントラクターの使用を許可しません。承認されたサブ処理者は、第2部の付録1.1に記載された者です。
    2. (ii) 付録に基づき、サブ処理者に義務を移行します。
    3. (iii) 必要に応じて、サブ処理者の変更や新規任命を行います。書面での通知と承認が必要です。
  2.  
    1. a. 変更前に通知し、30日以内に異議がなければ承認とみなす。
    2. b. 異議があれば、書面で通知し、対応策を講じる。例:処理の中止、修正、または別の処理者の利用。
  3.  
    1. (iv) EU/EEA外の国にあるサブ処理者には、GDPRに適合した保護レベルを確保します。

 

3.5 有効期限

この付録の有効期限は、対応する契約の有効期限と同一です。終了に関する権利と義務は契約と同じです。

 

4. 責任の制限

4.1 各当事者は、この付録および適用されるデータ保護法の義務を履行します。

4.2 この付録に基づく義務違反に関する責任は、契約に記載された責任規定に従います。ただし、他の規定がある場合を除きます。責任の範囲や制限の適用については、契約の責任規定が優先します。この付録に基づく責任も契約の責任の一部とみなされます。

 

5. 一般規定

5.1 この付録のパート1とパート2に矛盾がある場合は、パート2が優先されます。ただし、パート1はパート2を超える内容(標準条項の条件)であっても有効です。

5.2 他の契約と本付録の条項に矛盾がある場合は、データ保護義務に関して本付録が優先します。疑義がある場合も同様です。

5.3 本付録の条項の一部が無効または執行不能な場合でも、残りの部分は有効です。無効部分は有効性を確保し、当事者の意図をできるだけ維持するよう修正されるか、または無効部分がなかったものと解釈されます。これには、記載漏れも含まれます。

5.5 必要に応じて、当事者は第1部の第3条(現地法遵守)やその他の部分の修正を求めることができ、GDPRやその他の法的規定に適合させます。ただし、欧州委員会の明示的な承認なしに条項の変更や置換はできません。

5.6 この付録の「条項」とは、特に記載のない限り、本付録のすべての規定を指します。

5.7 第2部の第9条の法域選択は、契約全体に適用されます。

 

6. 当事者間で個人的目的のために伝達・処理される個人データ(データ管理者からデータ管理者への移転)

6.1 当事者は、特定の個人データがデータエクスポーターからデータインポーターへ、またその逆も含めて移転され、そのデータが各当事者によって自己の目的のために処理されることを十分に理解しています。この個人データに関しては、この付録の他の規定には影響しません(ただしこの条項6を除く)。

6.2 データエクスポーターは、スタッフに関する個人データやセキュリティインシデントに関する情報、またはサービス提供に関連して作成または作成されたその他の文書やファイルを、データインポーターに移転することができます。データインポーターは、自己の目的(例:スタッフとの関係、品質管理、トレーニング、ビジネス目的)でこれらの個人データを処理できます。

6.3 データインポーターは、個人データを名前や連絡先情報を含めて、データエクスポーターに移転できます。データエクスポーターは、自己の目的でこれらを処理します。

6.4 両当事者は、GDPRを含む適用されるデータ保護法を遵守し、相手方から受領した個人データの収集、処理、使用に関して責任を持ちます。特に、付録2に記載されたセキュリティ対策と同等の保護レベルを確保します。アクセスは必要最小限に制限します。

6.5 両当事者は、目的達成後できるだけ早くこれらの個人データを削除します。

第2部

 

欧州委員会の決定

2010年2月5日

第三国に設立されたデータ処理者への個人データ移転に関する標準契約条項

 

 

 

条項1

定義

条項の意味において:

a) 「個人データ」、「特別カテゴリーのデータ」、「処理」、「管理者」、「処理者」、「データ対象者」、「監督機関」 は、1995年10月24日の欧州議会・理事会の指令95/46/ECにおける定義と同じ意味を持ちます(個人データの処理と自由な移動に関する規則)。

b) 「データエクスポーター」は、個人データを移転するデータ管理者を指します。

c) 「データインポーター」は、データエクスポーターから受領し、指示に従い処理を行うことに同意した処理者を指します。第三国において十分な保護を保証しない仕組みの対象外です(第25条(1))。

d) 「処理者」とは、データインポーターまたはその下請けの処理者を指し、指示に従い、契約に基づき処理活動を行います。

e) 「適用されるデータ保護法」とは、個人の基本的権利と自由を保護し、個人データの処理に関する権利を含む法律を意味します。データエクスポーターが設立された加盟国の法律も含みます。

f) 「技術的・組織的措置」とは、個人データを偶発的または違法な破壊、紛失、改ざん、不正開示またはアクセスから保護するための措置を指します。特に、ネットワークを介した処理に関わる場合に適用されます。

条項2

移転の詳細

移転の詳細は付録1に記載されており、これらの条項の不可欠な部分です。

条項3

第三者受益者条項

1. データ対象者は、この条項および第4(b)〜(i)、第5(a)〜(e)、(g)〜(j)、第6(1)および(2)、第7、第8(2)、第9〜12条を、第三者受益者としてデータエクスポーターに対して執行できます。

2. データ対象者は、データエクスポーターが実体を消滅させた場合や法的に存在しなくなった場合でも、すべての法的義務が後継者に移転されていなければ、その権利を行使できます。権利行使は、データインポーターや処理者に対しても可能です。ただし、その責任は自己の処理活動に限定されます。

3. 当事者は、データ対象者が団体やその他の団体に代理されることに異議を唱えません。ただし、法的に許可されている場合に限ります。

条項4

データエクスポーターの義務

データエクスポーターは、以下を保証します:

a) 個人データの処理と移転は、適用されるデータ保護法に従い、関係当局に通知済みです。

b) データインポーターに対し、個人データの処理を自己のために行うよう指示し、その指示は法令や本条項に従います。

c) 技術的・組織的セキュリティ対策を十分に講じていることを保証します(付録2参照)。

d) 処理のリスクに応じて、適切なセキュリティレベルを確保します。

e) セキュリティ対策の遵守を確保します。

f) 特別カテゴリーのデータについては、移転前に対象者に通知します。

g) 監督当局や関係者に通知した場合、その旨を伝えます。

h) 条項のコピーやセキュリティ対策の概要、サブコントラクトの契約書を提供します。ただし、商業上の秘密情報は除きます。

i) サブ処理を行う場合、同等の保護レベルを確保します。

j) 第4条(a)〜(i)を遵守します。

条項5

データインポーターの義務

データインポーターは、以下を保証します:

a) データエクスポーターの指示と本条項に従い、個人データを処理します。不能な場合は速やかに通知し、契約を停止または終了します。

b) 法的に処理を妨げる法律がないことを保証し、変更があれば速やかに通知します。

c) 付録2に記載された技術的・組織的セキュリティ対策を実施します。

d) 速やかに通知します:

  1. a. 警察や法執行機関からの開示要請(例:犯罪捜査の秘密保持義務)
  2. b. 個人からの直接の要請(例:アクセス、修正、削除)
  3. c. 法律により超える処理義務がある場合、その旨を通知します。

e) 監督当局の意見に従い、個人データの処理に関する問い合わせに適切に対応します。

f) 監査を受け入れ、必要に応じて証明書や報告書を提供します。

g) 要請に応じて、条項のコピーやサブコントラクトの契約書を提供します。ただし、商業秘密は除きます。

h) 秘密保持契約を締結し、事前に通知し、書面の同意を得ます。

i) 処理活動は第11条に従います。

j) サブコントラクトの契約書を速やかに提供します。

条項6

責任

1. 当事者は、第三者受益者の権利を侵害した場合、その損害に対して補償を求めることができます。

2. データ対象者が、データエクスポーターの消滅や倒産により、損害賠償請求を行えない場合、処理者は、その対象者の請求を代理して受けることができます。ただし、その責任は自己の処理活動に限定されます。

3. 当事者が、処理者の義務違反により請求できない場合でも、自己の処理活動に限定されます。

 

条項7

仲裁と管轄

1. データインポーターは、第三者受益者の権利行使や損害賠償請求に対し、対象者の決定を受け入れます:

a) 独立した第三者または監督当局による調停を受け入れる

b) データエクスポーターの所在地の裁判所に提訴する

2. 当事者は、対象者の選択が、国内外の法に基づく救済権を妨げないことに同意します。

条項8

監督当局との協力

1. データエクスポーターは、必要に応じて本契約の写しを監督当局に提出します。

2. 監督当局は、データエクスポーターや処理者に対して、同じ条件で検査を行うことができます。

3. データインポーターは、法律により検査を妨げる場合、その旨を速やかに通知します。

条項9

準拠法

本条項は、データエクスポーターの所在地の法に従います。

条項10

契約の修正

当事者は、本条項の修正を行わず、必要に応じて他の商業条項を追加できます。ただし、矛盾しない範囲で行います。

条項11

サブコントラクトの継続

1. データインポーターは、事前の書面承認なしに処理活動をサブコントラクトしません。承認された場合も、同じ義務を負わせる契約を締結します。責任は自己にあります。

2. 事前の書面契約には、第三者受益者条項を含めます。これにより、対象者が請求できない場合でも、権利を行使できます。

3. 処理の法的側面は、データエクスポーターの設立国の法律に従います。

4. サブコントラクトのリストは少なくとも年1回更新し、監督当局に提出します。

条項12

個人データ処理終了後の義務

1. 処理終了後、データインポーターと処理者は、データエクスポーターの指示に従い、すべての個人データとそのコピーを返却または破棄し、破棄の証明を提供します。ただし、法律により返却や破棄が禁止されている場合は、その義務を負います。

2. 監督当局やデータエクスポーターの要請に応じて、処理措置の検証を行います。