この翻訳は便宜上提供されるものです。内容に相違がある場合は、本文書の英語版が優先され、唯一の法的拘束力を持つテキストとなります。
データ処理契約
データ処理契約
本データ処理契約(以下「DPA」)は、以下の当事者間で締結されます。
- Sonetel AB (publ)、組織番号556486-5847(以下「供給者」)、および
- お客様が代表する会社または団体(以下「顧客」)
以下、両者を総称して「当事者」、個別に「当事者」と呼びます。
1.背景
1.1 本DPAは、供給者と顧客との間の基本サービス契約(以下「契約」)の不可欠な部分を構成します。1.2 契約の締結により、供給者は処理者として顧客に代わって個人データを処理します。顧客は個人データの処理における管理者です。1.3 顧客が関連する個人データについて他の当事者と共同管理者である場合、顧客はそれに応じて供給者に通知するものとします。1.4 本契約の目的は、処理がデータ保護規則に基づくデータ処理および義務に関する適用要件に従って実施されることを保証し、契約に基づいて供給者が実施するサービスの枠組み内で顧客から供給者への個人データの転送中に個人の完全性および基本的権利の適切な保護を確保することです。
2.定義
| 「処理」 | 自動化された手段によるか否かを問わず、個人データまたは個人データのセットに対して実行される操作または一連の操作を意味し、収集、記録、編成、構造化、保存、適応または変更、検索、参照、使用、送信による開示、配布またはその他の方法による利用可能化、整列または結合、制限、消去または破壊などが含まれます。 |
|---|---|
| 「個人データ」 | 特定された、または特定可能な自然人(「データ主体」)に関する情報を意味します。特定可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子などの識別子、またはその自然人の身体的、生理的、遺伝的、精神的、経済的、文化的または社会的アイデンティティに固有の1つ以上の要因を参照することにより、直接的または間接的に特定できる者を指します。 |
| 「データ保護規則」 | 個人データの処理に関して随時適用される法律および規制を意味し、欧州議会および理事会の規則(EU)2016/679(以下「GDPR」)、監督機関の拘束力のある決定、規制および勧告、ならびにデータ保護に関する補足的な地域適応および規制を含みますが、これらに限定されません。 |
| 「管理者」 | 単独でまたは他者と共同で、個人データの処理の目的および手段を決定する自然人または法人、公的機関、機関またはその他の団体を意味します。そのような処理の目的および手段が連合または加盟国の法律によって決定される場合、管理者またはその指名の具体的基準は、連合または加盟国の法律によって規定される場合があります。 |
| 「処理者」 | 管理者に代わって個人データを処理する自然人または法人、公的機関、機関またはその他の団体を意味します。 |
| 「副処理者」 | 供給者に代わって副処理者として個人データを処理する自然人または法人を意味します。 |
| 「データ主体」 | 個人データが関連する自然人を意味します。 |
| 「監督機関」 | 第51条に従って加盟国によって設立された独立した公的機関を意味します。スウェーデンの監督機関はスウェーデンデータ保護機関です。 |
| 2.1 特に明記されていない限り、本DPAで大文字で使用されるその他の用語または概念(見出しの一部としての場合を除く)は、状況が明らかに別の解釈を必要としない限り、データ保護規則および契約で確立されている意味および概念を持つものとします。 |
3.責任および指示
3.1 顧客は、契約に基づいて供給者が顧客に代わって処理するすべての個人データの管理者です。したがって、顧客はデータ保護規則を遵守する責任があります。顧客は、本契約に基づく処理を実施するために関連するデータ保護規則を供給者に通知することを約束します。データ保護規則に従って処理者に直接適用される要件に加えて、供給者は、顧客から通知されたデータ保護規則および監督機関からの勧告に従って、その他の適用要件を遵守する義務を負うものとします。顧客はまた、処理の結果としての監督機関およびデータ主体を含む第三者の行動について、供給者に継続的に通知するものとします。3.2 供給者および供給者の権限の下で行動する者で、個人データにアクセスできる者は、顧客の書面による指示またはデータ保護規則に従う場合を除き、それらのデータを他の目的で処理してはなりません。本DPAに適用される指示は、_付録1_に記載されています。付録1に記載されている指示に加えて、本DPAおよび契約は、個人データの処理に関する供給者への顧客の指示を構成します。顧客は、本DPAに基づく供給者の義務に影響を与える変更について、直ちに供給者に通知するものとします。3.3 本DPAに基づく個人データは、そのような処理が連合法または供給者もしくは副処理者が従属する加盟国の国内法によって要求される場合にも処理される場合があります。そのような処理が要求される場合、供給者または副処理者は、この法律に基づく公益のために情報が禁止されていない限り、処理前に法的要件について顧客に通知するものとします。3.4 供給者は、本DPAに基づいて、個人データを含まない集約または匿名化された形式で顧客から派生したデータを保存および処理する権利を有します。
4.セキュリティ
4.1 供給者は、リスクに応じた適切なセキュリティレベルを確保し、処理される個人データを偶発的または違法な破壊、紛失または変更、または処理される個人データの不正な開示またはアクセスから保護するために、データ保護規則で要求される技術的および組織的措置を実施するものとします。4.2 供給者は、処理の種類および供給者が利用可能な情報を考慮して、GDPRの第32条から第36条に基づく義務が履行されることを保証する際に顧客を支援するものとします。4.3 供給者は、個人データ侵害を認識した後、不当な遅延なく顧客に通知するものとします。
5.個人データおよび情報の開示
5.1 供給者が、データ主体、監督機関またはその他の第三者から、供給者が顧客に代わって処理する個人データに関する情報を取得する要求を受けた場合、供給者は遅滞なく要求を顧客に転送するものとします。供給者および供給者の権限の下で行動する者は、適用されるデータ保護規則に従ってそのような開示が要求されない限り、顧客からの明示的な指示なしに個人データまたは個人データの処理に関するその他の情報を開示してはなりません。5.2 供給者は、処理の性質を考慮して適切な技術的および組織的措置を講じることにより、アクセス、訂正および消去に関するデータ主体の権利に関する要求に応答する義務を遵守する際に顧客を支援し、適用される国内法で要求される場合に個人データを開示する際に支援するものとします。
6.監督機関との連絡
6.1 供給者は、本DPAに基づく個人データの処理に関する監督機関からの連絡について顧客に通知するものとします。供給者は、データ保護規則によって要求されない限り、監督機関との関係において顧客を代表したり、顧客に代わって行動したりする権利を有しません。
7.副処理者
7.1 個人データは、供給者が副処理者と書面による契約を締結し、本DPAに従って個人データを処理する際に対応する義務を課す場合に限り、副処理者によって処理される場合があります。7.2 供給者は、新しい副処理者を保持する計画または副処理者を交換する計画について顧客に通知することを約束します。顧客はそのような変更に異議を唱える権利を有します。そのような異議は、DPAに基づく個人データの処理時の技術的および組織的セキュリティ要件の履行に関連する客観的根拠にのみ関連する場合があります。7.3 供給者は、データ保護規則に基づく副処理者の使用要件が考慮されることを保証し、そのような副処理者が処理がデータ保護規則の要件を満たすように適切な技術的および組織的措置を実施するための十分な保証を提供することを保証する責任があります。7.4 供給者は、本DPAに基づく個人データの処理のために割り当てられた副処理者の正確かつ最新のリスト、連絡先情報および処理の地理的位置を顧客に提供するものとします。このリストは、https://sonetel.com/en/help/help-topics/terms-conditions/sub-processors/で顧客が利用できます。供給者は、副処理者のリストの更新時に顧客に通知し、常に正確であることを保証することを約束します。7.5 副処理者が契約、本DPAおよび/またはデータ保護規則に基づく義務を履行しない場合、供給者は顧客との関係において副処理者の義務を履行する責任を負うものとします。
8.監査
8.1 供給者は、顧客から供給者に要求がなされた後、合理的な時間内に、本DPAおよびデータ保護規則に従って義務を遵守するために必要なすべての情報を顧客に提供するものとします。8.2 供給者は、顧客または顧客が選択した別の独立監査人(顧客の費用負担)によって実施される監査(検査を含む)を可能にし、貢献するものとし、供給者が合理的に受け入れることができるものとします。監査人は、監査前に供給者が提供する十分な機密保持契約に署名する必要があります。顧客は、費用なしで年に1回の監査を実施する権利を有します。顧客が追加の監査を実施したい場合、顧客は監査に関連するすべての費用について供給者に補償しなければなりません。8.3 供給者は、本DPAの第8条に記載されている義務に関して、供給者が指示がデータ保護規則に違反していると考える場合、直ちに顧客に通知するものとします。
9.EU/EEA外への個人データの転送
9.1 供給者および/または副処理者がEU/EEA外の場所に個人データを転送する場合、供給者および/または副処理者は、そのような転送が適用されるデータ保護規則に準拠していることを保証するものとします。
10.機密保持
10.1 供給者は、該当する場合、機密情報または秘密情報に適用される国内法を遵守するものとします。供給者は、本DPAに基づいて個人データを処理する権限を与えられた職員が、処理について機密保持を遵守することを約束したか、または適用される法定の機密保持義務の対象となることを保証することを約束します。10.2 上記の第10.1条は、データ保護規則またはその他の法定義務に従って監督機関が要求した情報には適用されません。10.3 機密保持義務は、契約および/またはDPAが適用されなくなった後も適用されます。
11.データポータビリティ
11.1 供給者は、顧客が顧客に代わって供給者が処理する個人データに関連するデータポータビリティに関する義務を履行できることを保証するものとします。
12.補償
12.1 第5条、第8条、第9条および第11条に従って供給者に課せられた義務が供給者にとって広範な作業をもたらす場合、供給者は顧客から合理的な補償を受ける権利を有するものとします。12.2 顧客が第7条に従って新しい副処理者に対して正当な異議を提出し、供給者が副処理者の交換に同意しない場合、供給者は、副処理者を使用できないという事実により供給者が負担した費用について、顧客から追加の補償を受ける権利を有するものとします。12.3 供給者は、顧客の処理指示が供給者が通常顧客に提供するサービスに基づく機能およびセキュリティレベルを超える場合、それらに起因するすべての作業およびすべての費用について合理的な補償を受ける権利を有するものとします。例えば、供給者のシステム/サービスまたはその他が供給者に顧客に代わって特別な調整を行うことを要求する場合などです。
13.責任
13.1 供給者、供給者の権限の下で行動する者または副処理者が、本DPAまたは顧客が提供したデータ処理の指示に違反して個人データを処理する場合、供給者は、契約から生じる責任の制限を考慮して、不正な処理により顧客が被った直接的損害について顧客に補償するものとします。本契約における責任の制限にかかわらず、第13.1項に基づく供給者の責任は、常に、損害が発生する前の12か月間に契約に基づいて顧客が供給者に支払った料金に相当する金額に制限されるものとします。契約が完全な契約年度中に有効でなかった場合、そのような金額は、契約に基づいて顧客が契約年度中に支払うと予想される費用に基づいて計算されるものとします。13.2 本DPAの期間中およびその後、顧客は、顧客からの不明確、不適切または違法な指示、またはその他の状況に起因する顧客に由来する、データ主体および第三者からの請求を含む、供給者が被ったあらゆる直接的損害から供給者を補償し、免責するものとします。13.3 上記の第13.1条に定められた供給者の損害賠償義務は、i)顧客が不当な遅延なく顧客に対する請求について書面で供給者に通知すること、およびii)顧客が供給者に請求の防御を管理し、和解に関して独立した決定を下すことを許可することを条件としてのみ適用されます。
14.期間および終了
14.1 本DPAは、契約の修正として個別に、または契約の一部として両当事者によって正式に署名された時点で発効し、供給者が顧客に代わって個人データを処理する限り有効です。14.2 契約または本DPA(どちらか先に発生した方)の終了時に、供給者は顧客の指示に従ってすべての個人データを削除または顧客に返却し、すべての副処理者が同じことを行うことを確認するものとします。14.3 顧客が個人データの返却を要求していない場合、供給者はDPAまたは契約(どちらか先に発生した方)の終了後90日以内にデータを削除するものとします。供給者は、連合法または加盟国の国内法によって個人データの保存が要求されない限り、既存のコピーを削除するものとします。
15.変更および追加
15.1 本DPAの期間中にデータ保護規則が変更された場合、または監督機関がデータ保護規則の適用に関するガイドライン、決定または規制を発行し、その結果、本DPAがDPAの要件を満たさなくなった場合、当事者は、そのような新しいまたは追加の要件を満たすために本DPAに必要な変更を加えるものとします。そのような変更は、一方の当事者が他方の当事者に変更の通知を送付してから30日以内、またはデータ保護規則、ガイドライン、決定または監督機関の規制によって規定された期限までに発効するものとします。15.2 本DPAに対するその他の変更および追加は、拘束力を持つためには、書面で行われ、両当事者によって正式に署名されなければなりません。
16.その他
16.1 本DPAは、当事者間のすべての以前のDPAに優先し、それらに取って代わり、契約に別段の定めがあるかどうかにかかわらず、本DPAの主題に関する契約の逸脱する規定に優先します。16.2 本DPAは、契約と同じ法律に準拠し、契約と同じ法廷の対象となるものとします。16.3 さらに、契約の条件は、供給者による個人データの処理および本DPAに基づく義務にも適用されるものとします。ただし、契約と本DPAの規定との間に矛盾がある場合、すべての個人データの処理に関してDPAの規定が優先されます。契約の規定は、本DPAの義務を制限または修正することはできません。16.4 本DPAは、契約に記載されているのと同じ法律に準拠し、同じ法廷の対象となるものとします。**
付録1 – データ処理指示
| これらのデータ処理指示では、別段の明示的な記載がない限り、すべての大文字の単語はDPAで定義されているのと同じ意味を持つものとします。** 目的 供給者が顧客のデータ処理者として個人データを処理するすべての目的を指定してください | 供給者は、契約に基づくサービスの履行を目的として個人データを処理します。個人データは、ITサポートおよび関連サービスのためにも処理される場合があります。さらに、供給者は、詐欺検出およびその他の予防措置のためにデータを処理します。 |
|---|---|
| データのカテゴリ 供給者がデータ処理者として処理する個人データを指定してください | 供給者は、以下のカテゴリの個人データを処理します。 |
- 顧客が供給者のサービスを使用する際に顧客から供給者に転送される情報およびデータ、
- 供給者のサービスの使用に関連するユーザーデータおよび情報、
- エンドユーザーが生成したコンテンツ、および
- ITサポートおよび関連サービスに関連するその他の情報。
供給者は機密性の高い個人データを処理しません。顧客は、供給者が事前にそのような処理に対する書面による同意を顧客に提供していない限り、機密性の高い個人データが供給者のサービスに転送されないことを保証する責任があります。
データ主体のカテゴリ 供給者がデータ処理者として個人データを処理するデータ主体のカテゴリを指定してください | 供給者は、以下のカテゴリのデータ主体を処理します。
- 登録ユーザーに関する情報、および
- 顧客が供給者のサービスのいずれかを使用して供給者に転送する資料に表示されるデータ主体に関する情報、および
- エンドユーザー情報。
保持要件 供給者が保存する個人データの保持期間を指定してください | 個人データは、顧客の要求および顧客の指示に従って削除されなければなりません。 供給者は、契約またはDPAの終了後90日間の保持期間を有します。