本エンドユーザ・データ処理契約追加条項(「追加条項」)は、EULSA に記載されているように、インターシステムズ社(「インター システムズ」)とエンドユーザ(「エンドユーザ」)との間の 情報共有条件に組み込まれ、ライセンス契約およびプロファイルと注文書(共に 「EULSA」)に添付される。 インターシステムズおよびエンドユーザーは、本つい追加条項の当事者である(それぞれ別個に「当事者」、「両当事者」)。
本追加条項に使用されているすべての大文字の用語で、追加条項またはEULSAの他の場所で定義されていないものは、以下に定義されているGDPRで使用または定義されているそれらの用語と同じ意味を持つものとします。
両当事者は、EULSA の下でインターシステムズが提供するサービスは、以下に定義されるエンドユーザーデータを構成する業務上の文脈において、データ対象者に関連する個人データをインターシステムズが作成、受領、維持、送信、使用、開示、またはその他の方法で処理することを意図したものではないことを認める。しかし、エンドユーザーは、特定の状況下で、以下に定義されるGDPR を遵守することを求められる可能性があるため、エンドユーザーは、エンドユーザーデータと接触する可能性のあるサービスプロバイダーに対し、エンドユーザーとデータ処理契約を締結することを要求し、インターシステムズは、インターシステムズが一般的にエンドユーザーに対する処理者であることを譲ることなく、万が一、インターシステムズがエンドユーザーデータを処理する場合には、そのような契約を締結することを望んでいる。 両当事者は、エンドユーザーデータではないインターシステムズが処理する他の個人データ(「インターシステムズデータ」)に関して、インターシステムズがデータ管理者であり、両当事者がインターシステムズデータの共同管理者ではないことに同意する。
- 定義
1.1. 本追加条項では、「個人データ」、「コントローラ」、「プロセッサ」、「処理」および「プロセス」という表現は、一般データ保護規則(Regulation (EU) 2016/679)によって割り当てられた意味を持つものとする。
1.2. データコントローラ
1.3. 「データこコントローラ」とは、本追加条項で参照される場合、エンドユーザーを指し、エンドユーザーが処理される個人データに関してこんとコントローラのための処理者である場合も含みます。 データ所有者 「データ所有者」とは、エンドユーザーデータの個人データの各項目に関して、エンドユーザー、またはエンドユーザーが個人データに関してコントローラのための処理者である場合には、当該コントローラを意味します。
1.4. データ処理者 データ処理者 は、一般的にGDPRの下での処理者と同じ意味を持つものとし、(1)インターシステムズとエンド・ユーザーが、インターシステムズが特定の個別の 関与規則で定義されたエンド・ユーザーの処理者として行動することに相互に同意し、(2)インターシステムズがサービス・プロバイダー、エンド・ユーザーへのサードパーティ・ベンダー、またはコントローラとして他の方法で行動していない場合に使用される。
1.5. Data Protection Legislation(データ保護法) 「データ保護法」とは、GDPR および各国の施行法、スイス連邦データ保護法(随時改正・改訂される)、英国データ保護法(随時改正・改訂される)、EEA 諸国のデータ保護法(該当する場合は随時改正・改訂される)を意味するする。
1.6. エンドユーザーデータ 「エンドユーザーデータ」とは、エンドユーザー、またはエンドユーザーがコントローラーのための処理者である場合には、コントローラーが当該個人データの処理の目的および手段を単独で決定する個人データで、エンドユーザーによって、またはエンドユー ザーに代わってインターシステムズから提供されるものをいう。ただし、エンドユーザーデータには、上記のインターシステムズデータとし て定義された個人データは含まれない。
1.7. GDPR 「GDPR」とは、一般データ保護規則(Regulation (EU) 2016/679)を意味する。
- データの所有権
2.1. データ処理者がデータこコントローラーに代わって処理するエンドユーザーデータは、常にデータ所有者の所有物となる。
2.2. いずれかの当事者が何らかの理由で EULSA を終了した場合、エンドユーザーは、データ処理者がまだ保持している範囲で、エンドユーザーデータの各項目をエンドユーザーに返却するか、削除するかを決定するする。 データ処理者によるすべての処理は、法律で要求される処理またはEULSAを終了させるために必要な処理を除き、終了するする。
2.3. データコントローラーは、いつでもデータ処理者に対してエンドユーザーデータの処理を停止し、エンドユーザーデータを削除するかデータコントローラーに返却するよう要求することができる。
2.4. 本項で要求されるエンドユーザーデータの返却または破壊が実行不可能であるとデータこんコントローラーが判断した場合、データ処理者は当該エンドユーザーデータに本補遺の保護を適用し、当該エンドユーザーデータを保持する限り、返却または破壊が実行不可能な目的に限り、当該エンドユーザーデータのさらなる処理を制限するものとする。 - データ処理者の義務と活動
3.1. データ処理者は、仮にデータ処理者が当該データのコントローラーであった場合、GDPR 第 32 条「処理の安全性」を満たす種類の技術的および組織的な安全対策を講じてエンドユーザーデータを処理することに同意する。すなわち、「技術の現状、実施コスト、処理の性質、範囲、文脈および目的、ならびに自然人の権利および自由に対する様々な可能性および重大性のリスクを考慮して、コントローラーおよび処理者は、リスクに応じた安全性のレベルを確保するために適切な技術的および組織的な対策を実施し」、当該対策の遵守を確保するために合理的な措置を講じるものとする。
3.2. データ処理者は、エンドユーザーが随時書面で提供するエンドユーザーからの指示に従ってのみ、当該エンドユーザーデータを処理することに同意する。
3.3. データ処理者は、当該エンドユーザーデータに関して、データ処理者がコントローラーであった場合でも、GDPR第32条によって課せられるすべての義務を遵守することに同意する。
3.4. データ処理者は、エンドユーザーデータにアクセスできるすべてのスタッフ、代理人、請負業者およびその他の者に、データが機密であり、そのデータに関して強制可能な機密保持義務を負わない者には開示しないことを確実に伝えなければならないことに同意する。 エンドユーザーデータにアクセスする業務上の必要性があるスタッフ等のメンバーのみが、権限を与えられ、(論理的、物理的、またはその他のセキュリティ対策の観点から)それを行うことができる。
3.5. データ処理者が、エンドユーザーデータの処理を下請けに出すことを希望する場合、データ処理者は、データ保護およびセキュリティに関して、本補遺に基づいて確立されたのと同じ契約上の義務を下請け業者に課さなければならない。
3.6. データ処理者は、自己またはサブコントラクターの組織内でエンドユーザーデータに関連するセキュリティ違反が発生した場合、データ管理者に速やかに通知することに同意する。
3.7. データ処理者は、エンドユーザーデータの処理に関与するすべてのスタッフがデータ保護手続きに関する適切なトレーニングを受け、そのようなスタッフが受けたトレーニングおよびすべてのコースの内容を確認し、記録を残すことに同意する。 データ処理者は、データ処理者の他の代理人または従業員がエンドユーザーデータへのアクセスを与えられないようにする。
3.8. データ処理者は、エンドユーザの書面による承認なしに、コントローラのデータを欧州経済地域以外の国または地域に移転しないことに同意する。ただし、(1) 当該国または地域が、適切なデータ保護当局によって決定された個人データの処理に関するデータ対象者の権利および自由に対する十分な保護水準を確保している場合、(2) 本規定の黙示的な違反なしに、データ処理者が当該移転に関して欧州委員会によって承認された標準契約条項を締結している場合、または(3) データ処 理者が、関連するデータ保護当局によって承認または受け入れられた拘束力のある企業規則を義務づけている場合はこの限りではない。
- エンドユーザーの義務
4.1. エンドユーザーは、EULSA の目的のために厳密に必要とされ、データ保護法を完全に遵守する場合にのみ、エンドユーザーデータをインター システムズに提供するものとし、提供されるサービスまたはサポートに関連する必要最小限の個人データのみを提供することに同意する。
4.2. ただし、インターシステムズが、エンドユーザーの指示のいずれかがデータ保護法を侵害していると考える場合には、インターシステムズは、異議を記述する十分な情報を提供する書面により、速やかにエンドユーザーに通知するものとする。 エンドユーザーが、エンドユーザーの指示がデータ保護法を侵害しているというインターシステムズの決定に同意する場合、エンドユーザーは、その旨をインターシステムズに通知する。インターシステムズは、その指示に従う必要はなく、また、インターシステムズは、そのような指示に従わなかった場合、EULSA に違反しているとみなされない。 エンドユーザーが、エンドユーザーの指示がデータ保護法を侵害しているというインターシステムズの判断に異議を唱える場合、エンドユーザーは、当該指示がデータ保護法に準拠している理由を書面で説明するものとし、インターシステムズは、エンドユーザーの指示を実行するために当該説明に依拠することができる。
4.3. エンドユーザーは、自ら(またはエンドユーザーがデータ処理者である場合には、関連するデータ所有者)が、本追加条項契約に基づきデータ処理者が個人データを処理することを認められた方法で、エンドユーザーデータを処理することができることを表明し保証する。
4.4. エンドユーザーは、データ処理者に送信されたエンドユーザーデータをデータ処理者が受領するまでの間、データ保護法の基準および要件に従って、エンドユーザーデータの機密性、プライバシー、およびセキュリティを維持・確保するために、管理的、物理的、および技術的な保護手段を常に使用する責任を負う。
4.5. エンドユーザーは、データ処理装置がEULSAに基づくサービスを提供するために、適用される法律で必要とされるあらゆる同意または承認を得るものとする。
- その他
5.1. 参照 本追加条項の中でGDPRの文言に言及している場合、その文言は、有効または修正されたものであり、適用される準拠日のものを意味する。
5.2. 本追加条項の変更 エンドユーザーは、インターシステムズが誠意をもって、データ保護法の変更を遵守するために必要に応じて本追加条項またはEULSAを修正することに同意する。
5.3. 存続 データ処理者およびデータ管理者のそれぞれの権利および義務は、データ処理者またはデータこんコントローラーが本追加条項またはEULSAに基づいてエンドユーザーデータを処理する限り、終了後も存続する。
5.4. 解釈 本補遺の曖昧さは、両当事者がデータ保護法を遵守できるように解決されるものとする。
- 本つい追加条項の下での権利および義務は、他の契約または慣習法の下で当事者間に生じるあらゆる権利または義務に追加されるものであり、それらに代わるものではない。
- 本追加条項の結果としてエンドユーザーデータにアクセスした者が、本追加条項のいずれかの当事者に対して負う守秘義務に違反した場合、または違反が疑われる場合、当該義務を負う当事者は、問題となっている義務を履行するために最善の努力を払うことを約束する。