本エンドユーザ・データ処理契約追加条項(「追加条項」)は、EULSA に記載されているように、インターシステムズ社(「インター システムズ」)とエンドユーザ(「エンドユーザ」)との間の 情報共有条件に組み込まれ、ライセンス契約およびプロファイルと注文書(共に 「EULSA」)に添付される。 インターシステムズおよびエンドユーザーは、本つい追加条項の当事者である(それぞれ別個に「当事者」、「両当事者」)。 本補遺に含まれる相互の誓約および約束、ならびにその他の善良かつ貴重な対価(その受領および充足は本契約により両当事者により承認されるの対価)として、両当事者は以下のとおり合意する。
本補遺で使用され、本契約の他の箇所またはEULSAで定義されていない大文字の用語はすべて、以下に定義されるデータ保護法で使用または定義される用語と同じ意味を有するものとする。 本追加条項の条項は、EULSAの矛盾する条項およびデータ保護または情報処理に関するその他の条項に優先します。
両当事者は、EULSA に基づきインターシステムズが提供するサービスは、インターシステムズが、以下に定義するエンドユーザデータを構成する業務上の文脈で、データ対象者に関連する個人データを作成、受信、維持、送信、使用、開示、またはその他の方法で処理することを意図したものではないことを認める。しかし、エンドユーザは、特定の状況下では、以下に定義するデータ保護法を遵守することを求められる可能性があるため、エンドユーザは、エンドユーザデータに接触する可能性のあるサービスプロバイダに対し、エンドユーザとデータ処理契約を締結することを要求し、インターシステムズは、インターシステムズが一般的にエンドユーザに対するプロセッサーであることを認めることなく、万が一インターシステムズがエンドユーザデータを処理する場合には、そのような契約を締結することをいとわない。 両当事者は、エンドユーザーデータではないインターシステムズが処理する他の個人データ(「インターシステムズデータ」)に関して、インターシステムズがデータ管理者であり、両当事者がインターシステムズデータの共同管理者ではないことに同意する。
定義
1.1. 適用されるデータ保護法(以下に定義)に別段の定義がない限り、本条に記載される大文字の用語は以下の意味を有する:1.2. データコントローラ 「データ管理者」とは、本追加条項で言及する場合、エンドユーザーを指し、エンドユーザーが処理される個人データに関して管理者の処理者である場合を含む。
1.3. データ所有者 「データ所有者」とは、エンドユーザーデータに含まれる個人データの各項目に関して、エンドユーザー、またはエンドユーザーが個人データに関して管理者の処理者である場合は当該管理者を意味する。
1.4. データ処理者 「データ処理者」とは、データ管理者に代わって個人データを処理する自然人または法人、公的機関、代理店、その他 の組織であって、(1) インターシステムズとエンドユーザが、インターシステムズが特定の個別の 業務規則に定義されたエンド ユーザの処理者として行動することに相互に合意し、かつ、(2) インターシステムズがサービス・プロバイダ、エンドユーザに対する第三者ベンダー、 または管理者として行動していない場合を意味する。
1.5 Data Protection Legislation(データ保護法) 「データ保護法制」とは、GDPRおよび各国の実施法、スイス連邦データ保護法(適宜改正および差し替えられる)、英国データ保護法(適宜改正および差し替えられる)、およびEEA諸国のデータ保護法(適用される場合はいつでも、適宜改正および差し替えられる)を意味する。
1.6 エンドユーザーデータ 「エンドユーザデータ」とは、エンドユーザ、またはエンドユーザが管理者のための処理者である場合は管理者が当該個人デー タの処理の目的と手段を単独で決定し、エンドユーザによって、またはエンドユーザの代理としてインターシステムズが提供する個人デー タを意味する。
1.7. データ保護法 「データ保護法」とは、お客様の契約または顧客データに適用される法域におけるプライバシーおよび個人データの処理、収集、使用および保護に関するすべての適用法または規制を意味し、データ保護法2018(英国)、GDPR、グラム・リーチ・ブライリー法(米国)、プライバシー法(オーストラリア)、プライバシー法1993(ニュージーランド)が含まれますが、これらに限定されるものではありません。
データの所有権
2.1. データ処理者がデータ管理者に代わって処理するエンドユーザーデータは、常にデータ所有者の所有物となる。2.2. いずれかの当事者が何らかの理由で EULSA を終了した場合、エンドユーザーは、データ処理者がまだ保持している範囲で、エンドユーザーデータの各項目をエンドユーザーに返却するか、削除するかを決定するする。 データ処理者による処理は、法律により要求される処理またはEULSAを終了させるために必要な処理を除き、すべて終了する。
2.3. データ管理者は、データ処理者に対し、いつでもエンドユーザーデータの処理を停止し、エンドユーザーデータを削除するかデータ管理者に返却するよう要求することができる。
2.4. データ処理者が、本セクションで要求されるエンドユーザーデータの返却または破棄が実行不可能であると判断した場合、データ処理者は、データ処理者が当該エンドユーザーデータを保持する限り、本補遺契約の保護を当該エンドユーザーデータに拡大し、返却または破棄を実行不可能にする目的に限り、当該エンドユーザーデータのさらなる処理を制限するものとします。
データ処理者の義務と活動
3.1. データ処理者は、データ処理者がそのようなデータに関して管理者であった場合、GDPR 第 32 条「処理のセキュリティ」、すなわち「自然人の権利および自由に対する様々な可能性および重大性のリスクと同様に、技術の状態、実装のコスト、および処理の性質、範囲、文脈および目的を考慮して、管理者および処理者は、リスクに適したレベルのセキュリティを確保するための適切な技術的および組織的措置を実施するものとする」、およびそのような措置の遵守を確保するための合理的な措置を講じることを条件として、エンドユーザデータを処理することに同意するものとする。3.2. データ処理者は、エンドユーザーが随時書面で提供するエンドユーザーからの指示に従ってのみ、当該エンドユーザーデータを処理することに同意するものとする。
2.3. データ処理者は、データ処理者が当該エンドユーザーデータに関して管理者であるかのように、データ保護法によって課されるすべての義務を遵守することに同意する。
3.4. データ処理者は、エンドユーザーデータにアクセスできるすべてのスタッフ、代理人、請負業者およびその他の者に、データが機密であり、そのデータに関して強制可能な機密保持義務を負わない者には開示しないことを確実に伝えなければならないことに同意する。 エンドユーザーデータにアクセスする業務上の必要性があるスタッフ等のメンバーのみが、権限を与えられ、(論理的、物理的またはその他のセキュリティ対策の観点から)アクセスできるものとする。
3.5. データ処理者がエンドユーザーデータの処理を外部に委託することを希望する場合、データ処理者は、データ保護およびセキュリティに関して、この補遺
3.6.の条項で確立されたのと同じ契約上の義務を外部に課さなければならない。 3.7.データ処理者は、自己または下請け業者の組織内でエンドユーザデータに関連するセキュリティ違反が発生した場合、インター システムズが気づいた時点から 72 時間以内に、関連法で許容される期間を超えない範囲で、データ管理者に速やかに通知することに同意する。
3.7. データ処理者は、エンドユーザーデータの処理に関与するすべてのスタッフがデータ保護手続きに関する適切なトレーニングを受け、そのようなスタッフが受けたトレーニングおよびすべてのコースの内容を確認し、記録を残すことに同意する。 データ処理者は、データ処理者の他の代理人または従業員がエンドユーザーデータにア クセスできないようにするものとする。
3.8.
データ処理者は、(1)その国または地域が、適切なデータ保護当局によって決定された、個人データの処理に関するデータ主体の権利および自由に対する適切なレベルの保護を保証している場合を除き、エンドユーザーの書面による承認なしに、お客様の契約に適用されるデータ保護法の管轄外の国または地域に管理者のデータを移転しないことに同意するものとします; (2) 本規定に黙示的に違反することなく、データ処理者が当該移転に関して欧州委員会が承認した標準契約条項を締結している場合、または (3) データ処理者が、関連するデータ保護当局が承認または受諾した拘束力のある企業規則を自らに義務付けている場合。 エンゲージメント規則エンドユーザは、インターシステムズが以下のように判断した場合、インターシステムズが EULSA に基づく義務に違反しないことに同意する限り、EULSA に基づく義務に違反しないものとする。エンドユーザーの義務
4.1. エンドユーザは、EULSA の目的のために厳密に必要とされ、データ保護法制を完全に遵守する場合にのみ、エンドユーザデータをインターシステムズに提供するものとし、提供されるサービスまたはサポートに関連する必要最小限の個人データのみを提供することに同意するものとする4.2. ただし、インターシステムズが、エンドユーザーの指示のいずれかがデータ保護法を侵害していると考える場合には、インターシステムズは、異議を記述する十分な情報を提供する書面により、速やかにエンドユーザーに通知するものとする。 エンドユーザーが、エンドユーザーの指示がデータ保護法を侵害しているというインターシステムズの決定に同意する場合、エンドユーザーは、その旨をインターシステムズに通知する。インターシステムズは、その指示に従う必要はなく、また、インターシステムズは、そのような指示に従わなかった場合、EULSA に違反しているとみなされない。 エンドユーザの指示がデータ保護法制を侵害するとのインターシステムズの判断にエンドユーザが反対する場合、エンド ユーザは、当該指示がデータ保護法制を遵守する理由の書面による説明を提供するものとし、インターシステムズは、 エンドユーザの指示を遂行するために当該説明に依拠することができる。
4.3. エンドユーザーは、エンドユーザー(またはエンドユーザーがデータ処理者である場合は、関連するデータ所有者)が、データ処理者が本追加条項に基づいて個人データを処理する権限を有する方法で、エンドユーザーのデータを処理できることを表明し、保証するものとする。
4.4. エンドユーザーは、データ処理者に送信されたエンドユーザーデータの機密性、プライバシー、およびセキュリティを、データ保護法の基準および要件に従って、データ処理者がエンドユーザーデータを受領するまで、常に管理的、物理的、および技術的な保護措置を用いて維持し、確保する責任を負うものとする。
4.5. エンドユーザーは、データ処理装置がEULSAに基づくサービスを提供するために、適用される法律で必要とされるあらゆる同意または承認を得るものとする。
その他
5.1. 参照 本補遺におけるGDPRの文言への言及は、発効または改正され、適用される遵守日時点の文言を意味する。5.2. 本追加条項の変更 エンドユーザは、インターシステムズがデータ保護法制の変更を遵守するために必要に応じて、本補遺または EULSA を誠実に修正することに同意する。
5.3. 存続 データ処理者およびデータ管理者のそれぞれの権利および義務は、本補遺またはEULSAに基づいてデータ処理者またはデータ管理者のいずれかがエンドユーザーデータを処理する限り、終了後も存続するものとする。
5.4. 解釈 本補遺の曖昧さは、両当事者がデータ保護法を遵守できるように解決されるものとする。
- 本つい追加条項の下での権利および義務は、他の契約または慣習法の下で当事者間に生じるあらゆる権利または義務に追加されるものであり、それらに代わるものではない。
- 本追加条項の結果としてエンドユーザーデータにアクセスした、またはアクセスしたエンドユーザーデータに関して、その者が本契約のいずれかの当事者に対して負う守秘義務に違反した場合、または違反の恐れがある場合、その義務を負う当事者は、問題の義務を実施するために最善の努力を払うことを約束します。