データ処理契約

最終更新日:
January 17, 2025
利用規約
データ処理契約
目次
h2
サンプル H2
h3
サンプル H3
h4
サンプル H4
h5
サンプル H5
h6
サンプル H6

本データ処理補遺 (」補遺」) からマスターサブスクリプション契約へ (」契約」)は、Loop Now Technologies、Inc. およびその関連会社(総称して」)に適用されるデータプライバシー、データ保護、およびデータセキュリティの義務を定めています。サービスプロバイダー」) お客様およびその関連会社(まとめて)に代わって個人データ(以下に定義)を処理(以下に定義)します。」データコントローラー」)本契約に基づいて処理サービス(以下に定義)を受ける者。

1。個人データの処理

  1. データ管理者は、データ管理者がサービスプロバイダーに提供した情報、または契約に基づいてサービスプロバイダーによって収集されたすべての情報の管理者であり、個人または世帯を直接的または間接的に識別、説明、連絡、検索、またはその他の方法で特定または関連づけるために使用できるすべての情報(」)の管理者であり、今後もそうなるものとします(」個人データ」) 個人データの処理に適用されるデータプライバシー、データ保護、およびデータセキュリティに関する法律および規制(まとめて、 「適用されるデータ保護法」)。個人データには、サービスプロバイダーが管理者としてサービスプロバイダーが処理する個人データは含まれません。データ管理者は、個人データを処理する目的(収集、記録、保管、使用、アクセス、送信、および個人データを第三国または国際機関に転送する手段を含むがこれらに限定されない)を決定する権利と義務を保持します(」プロセス」または」処理」)。本補遺のいかなる規定も、そのような目的のための個人データの管理者としてのデータ管理者の権利または義務を制限または制限するものではありません。
  2. サービスプロバイダーは、付属書Aに従って契約の目的を実行するために必要な場合、またはデータ管理者が書面で許可した場合にのみ、データ管理者の指示に従い、データ管理者に代わって個人データを処理するものとします(」処理サービス」)、その他の目的はありません。サービスプロバイダーは、個人データの販売には関与しないものとします。適用データ保護法により、サービスプロバイダーが本補遺以外の条件またはデータ管理者のその他の書面による指示に基づいて個人データを処理することが義務付けられている場合、適用法により開示が禁止されている場合を除き、サービスプロバイダーは、法的要件に従って処理前にそのような法的要件をデータ管理者に通知するものとします。さらに、サービスプロバイダーは、適用法により開示が禁止されている場合を除き、サービスプロバイダーの判断においてデータ管理者の指示のいずれかが適用されるデータ保護法に違反していると判断した場合、データ管理者に通知するものとします。
  3. サービスプロバイダーは、サービスプロバイダー、権限を与えられた代理人、下請業者、またはデータコントローラーが個人データの処理を許可したその他の第三者が受け取った要求、苦情、請求、またはその他の通信について、速やかにデータコントローラーに書面で通知するものとします(」サブプロセッサ」) 個人データについて:(i)個人データのデータ主体である(またはそう主張する)個人からのもの、(ii)データ保護機関、法執行機関、またはその他の政府機関からのもの、および/または(iii)本補遺に記載されているもの以外のデータ管理者の従業員またはその他の第三者からのもの。適用法で禁止されている場合を除き、サービスプロバイダーは、そのような要求についてデータ管理者に通知し、そのような要求に応じて個人データを開示または共有する前に、データ管理者の書面による明示的な同意を得るものとし、サービスプロバイダーは、データ管理者から許可を得た場合にのみそのような要求に応じるものとします。適用法に従い、サービスプロバイダーがいずれかの法域の政府当局から当該政府機関への個人データの開示を要求する要求を受けた場合、サービスプロバイダーは、当該個人データをデータ管理者に直接要求するよう政府当局に指示するよう努めるものとします。ただし、これとは別段の定めがある場合でも、サービスプロバイダーは、個人データの処理に関する要求、問い合わせ、請求、苦情に対応するにあたり、データ管理者およびその関連会社、代理人、サブプロセッサー、および代表者と合理的に協力し、合理的な支援を提供するものとします。
  4. サービスプロバイダーは、個人データを処理する権限を与えられた者が守秘義務を負っているか、または適切な法的守秘義務を負っていることを保証します。
  5. 要求に応じて、サービスプロバイダーは、データ管理者にデータセキュリティ義務の遵守の確保、データ保護影響評価または同様の活動の実施において合理的な協力と支援を提供するものとします。これには、想定される処理業務の体系的な説明、個人データが関係するデータ主体の権利と自由に対するリスクの評価に関する合理的な支援、および/または必要性と比率の評価に関する合理的な支援が含まれますが、これらに限定されません。の根本的な目的に関連する処理業務。また、サービスプロバイダーは、データ管理者が規制当局と協議したり、規制当局からの情報要求に応えたりするために、合理的に要求および必要な支援または情報を、合理的に協力して提供するものとします。

2。T技術的および組織的なセキュリティ対策

サービスプロバイダーは、書面による情報セキュリティプログラムを実施および維持するものとします (」情報セキュリティプログラム」) これには、個人データを保護するための適切な管理的、技術的、組織的、および物理的な保護措置が含まれます。これには、必要に応じて、(i) 転送中の電子個人データの仮名化と暗号化、および保存中の電子個人データのハッシュ化、(ii) 処理システムおよびサービスの継続的な機密性、完全性、可用性、および回復力(不正アクセス、使用、開示、変更、または破壊に対するものを含む)を確保する機能個人データ; (iii) 可用性をタイムリーに回復する能力、物理的または技術的なインシデントが発生した場合の個人データへのアクセス、および (iv) 処理のセキュリティを確保するための管理的、技術的、組織的、および物理的対策の有効性を定期的に評価および評価するためのプロセス。

3。 セキュリティインシデント

  1. 本補遺または本契約のいずれかの規定にかかわらず、サービスプロバイダーは、(i) 個人データが本補遺または適用データ保護法に違反してサービスプロバイダー(サブプロセッサーを含む)によって処理されていることに気付いた場合、発見後48時間以内に(適用データ保護法によりより短い期間が要求されている場合を除く)に書面で速やかにデータ管理者に通知するものとします。(ii) サービスプロバイダー(サブプロセッサーを含む)が発見または通知を受けた場合個人データの偶発的または違法な破壊、損失、改ざん、不正開示またはアクセスにつながる、または引き起こす可能性のあるセキュリティ侵害を合理的に疑う場合。または(iii)サービスプロバイダーが、サービスプロバイダー(サブプロセッサーを含む)のデータプライバシー、データ保護、またはデータセキュリティ慣行(総称して)について正式な苦情があったことに気付いた場合。」セキュリティインシデント」)。
  2. サービスプロバイダーは、セキュリティインシデントの調査と是正に合理的に協力し、セキュリティインシデントに関連する個人データのさらなる不正開示または処理を制限するための合理的な措置を講じるものとします。

4。サブプロセッサー

両当事者は、サービスプロバイダーがサブプロセッサーを利用する一般的な権限を有し、それらのサブプロセッサーがサブプロセッサーを使用する権限を有することに同意します。本補遺の付録Cには、サービスプロバイダーが使用している現在のサブプロセッサーのリストが含まれています。サービスプロバイダーは、そのようなサブプロセッサーの追加または交換に関して変更があった場合、データ管理者に通知するものとします。サービスプロバイダーは、サブプロセッサーによる義務の履行について、常にデータ管理者に対して責任を負い、全責任を負うものとします。サービスプロバイダーはまた、各サブプロセッサーが本補遺で要求されるレベルの個人データ保護を提供できることを保証し、本補遺に定めるサービスプロバイダーの義務と同等またはそれ以上の義務を課す拘束力のある書面による契約を各サブプロセッサーと締結するものとします。

5。 データ主体の権利

サービスプロバイダーは、個人データに関してデータ主体から要求を受けた場合、データ管理者に速やかに通知するものとし、サービスプロバイダーは、そのような要求に対応するための適切な管理的、技術的、組織的措置を実施することにより、データ管理者を合理的に支援するものとします。データ管理者は、データ主体が自身の個人データに関して上記または適用データ保護法に基づいて言及されているデータ主体の権利を行使する権利を持っているかどうかを判断し、合理的な支援が必要な範囲でサービスプロバイダーに指示を与えるものとします。

6。 監査権

サービスプロバイダーは、処理サービスの一環として、データ管理者に代わって個人データのすべての処理に関する完全かつ正確な記録を保持するものとし、データコントローラーは、サービスプロバイダーへの10日間の書面による通知により、サービスプロバイダー自体または独立した第三者監査人を通じて監査を要求することができます。監査は、任意の暦年に1回実施できます。監査には、データ管理者およびサービスプロバイダーが合意したすべての該当する機密保持義務が適用されるものとし、独立監査人は、サービスプロバイダーの機密情報および専有情報を保護するための契約に定められているものと実質的に類似した機密保持条項を含む秘密保持契約をサービスプロバイダーと締結する必要があります。監査は、サービスプロバイダーのサービスおよびその他の通常の業務の遂行の中断を最小限に抑える方法で実施されるものとします。誤解を避けるために記すと、本補遺に関連してサービスプロバイダーが開示した情報は、本契約の機密保持(不使用を含む)条項の対象となります。

7。 EEAからの国境を越えた送金

  1. EU 標準契約条項。 適用データ保護法で義務付けられている範囲で、両当事者は、欧州議会および理事会の規則(EU)2016/679に基づく第三国への個人データの移転に関する2021年6月4日の欧州委員会の実施決定2021/914に付属する条項に同意します(」欧州SCC」)は、本契約に基づいて欧州経済領域またはスイスから、個人データに対して適切なレベルの保護を提供していると欧州委員会(または、スイスからの転送の場合はスイスの管轄当局)によって認められていない欧州経済領域またはスイス以外の国または受領者に直接または転送された個人データに適用されます(」制限付き転送「)。EU SCCの対象となる欧州経済領域からのデータ転送については、EU SCCのモジュール2(管理者から処理者)が締結され(この参照により本補遺に組み込まれ)、次のように完了したものとみなされます。
    1. 第7条では、オプションのドッキング条項が適用されます。
    2. 第9条では、オプション2が適用され、サブプロセッサーの変更の通知期間は、本補遺のセクション4(サブプロセッサー)に定める期間となります。
    3. 第11条では、オプションの救済言語は適用されません。
    4. 第13条(a)では、状況に応じて、また譲渡が規制(EU)2016/679の地域範囲内にある場合は、状況に応じて、3つのオプションすべてが保持および適用される場合があります。
    5. 第17条では、EU SCCはアイルランドの法律に準拠します。
    6. 第18条 (b) 項では、紛争はアイルランドの裁判所で解決されます。そして
    7. 本補遺の附属書A(処理の説明)はEU SCCの附属書Iであり、本補遺の附属書B(サービスプロバイダーによって実施される技術的および組織的セキュリティ対策)はEU SCCの附属書IIであり、附属書C(サブプロセッサーのリスト)はEU SCCの附属書IIIとして機能します。

      さらに、この補遺への署名は、EU SCCへの必要かつ必要なすべての署名を構成するものとする。
  2. 英国補遺。2018年の欧州連合(撤回)法によりイングランドおよびウェールズ、スコットランド、北アイルランドの法律の一部を構成しているため、規制(EU)2016/679によって保護されている個人データに関して(英国GDPR「),「EU標準契約条項の英国補遺」(」英国補遺「) が適用されるものとします。英国補遺が適用される範囲では、本補遺の附属書A、B、Cも適用されるものとします。英国からのデータ転送が英国補遺の対象となる場合、英国補遺は以下のとおり締結され(この参照により本補遺に組み込まれ)、完了したものとみなされます。
    1. 表1については、本補遺の附属書Aに記載されている詳細が適用されるものとします。
    2. 表2には、以下を参照するチェックボックスが適用されるものとします。
      1. 「承認されたEU SCC(付録情報を含み、承認されたEU SCCのモジュール、条項、またはオプション条項のみを含む)は、英国補遺の目的のために発効しました。」
      2. 表内では、モジュール2が適用され、上記のセクション6 (a) (EU標準契約条項) に記入されているEU SCCと同じ方法で記入されるものとします。
    3. 表3については、参照列には以下が適用されるものとする。本補遺の附属書A(処理の説明)は附属書IAおよび附属書IBと題された欄に適用され、本補遺の附属書B(サービスプロバイダーによって実施される技術的および組織的セキュリティ対策)は附属書IIと題された欄に適用され、附属書C(サブプロセッサーのリスト)は附属書IIと題された欄に適用されるものとする。
    4. 表4については、輸出者のみがこの補遺を終了する権利を有するものとする。

      さらに、この補遺への署名は、英国補遺への必要かつ必要なすべての署名を構成するものとします。

8。 終了後

本契約の他の規定または本補遺にこれと矛盾する規定にかかわらず、サービスプロバイダー(サブプロセッサーを含む)が契約の終了時またはその他の方法(データ管理者の要求または明示的な指示による場合など)にデータ管理者向けの処理サービスの実施を停止する場合、サービスプロバイダーは、データ管理者から要求があった場合、要求から60日以内に、(i)個人データ(および個人データのコピーを含むすべてのメディア)を次の宛先に返却するものとします。データ管理者、および/または(ii)個人データを安全に削除、削除、破棄してサービスプロバイダーに課せられた法律により、転送された個人データの全部または一部の返却または破棄が禁止されている場合を除き、実行可能な範囲。個人データを含む電子メディアは、個人データを回復できないような方法で廃棄する必要があります。

9。 補遺への記入

本契約に基づいて処理サービスを受ける各データ管理者事業体は、本補遺の権利と義務を受ける権利と義務を負い、本補遺の署名者として追加される権利を有するものとし、データ管理者は関連会社に代わって本補遺に署名する権限を有するものとします。ただし、これとは別段の定めがある場合でも、適用されるデータ保護法で別段の定めがない限り、各データ管理者事業体は、本補遺の最初の署名者であるデータ管理者事業体を通じて、本補遺に基づく権利を行使するものとします。いずれにしても、サービスプロバイダーは、本補遺に追加された各データ管理者事業体に対する本補遺に拘束され、すべての義務を遵守する必要があります。

10。 対応する

本補遺は1つまたは複数の対応物で締結される場合があり、それぞれが原本とみなされますが、すべてをまとめると1つの同一の契約となります。