ホームに戻る / 一般的な利用規約/ データ処理の付録

データ処理の付録

 

この付録は、契約の不可欠な部分を形成し、以下によって締結されます。

 

  1. (i)クライアント(「データエクスポーター」)
  2. (ii)POSTCODEZIP( "データインポーター")

 

それぞれが「パーティー」であり、一般的には「パーティー」です。

 

前文

データインポーターが専門的なソフトウェアサービス、コンピューター、および関連サービスを提供する場所。

契約に従い、データインポーターは、契約で指定されたサービス(「サービス」)をデータエクスポーターに提供することに同意しました。

サービスを提供することにより、データインポーターはデータエクスポーターの情報またはデータエクスポーターと(潜在的な)関係を有する他の人の情報へのアクセスを受け取るか、またはその恩恵を受ける場合、そのような情報は規制の意味の範囲内で個人データとして認定される場合があります(EU)個人データの処理およびそのようなデータの自由な移動(「GDPR」)およびその他の該当するデータ保護法に関する個人の保護に関する2016年4月27日の欧州議会および評議会の2016/679

この付録には、データインポーターによる個人データの収集、処理、および使用に適用される契約条件が含まれており、当事者が適用されるデータ保護法を遵守することを保証します。 。

 

そのため、両当事者が合法的に関係を継続できるようにするために、両当事者はこの付録を次のように結論付けました。

パート1

 

1.ドキュメントの構造と定義

1.1構造

この付録は、次のようにさまざまな部分で構成されています。

 

パート1:

この付録で使用されている定義、現地の法律の順守、タイミング、終了などの一般的な規定が含まれています

パート2:

修正されていない標準契約条項文書の本文が含まれています

パート2の付録1.1:

承認されたデータ処理エージェントとしてデータインポータからデータエクスポータに提供される処理操作の詳細(処理、処理の性質と目的、個人データの種類、データ主体のカテゴリを含む)が含まれます。付録

パート2の付録2:

パート2の付録1.1で説明されているすべての処理アクティビティに関連して適用される、データインポーターの技術的および組織的なセキュリティ対策の説明が含まれています

パート3:

この付録に拘束される当事者の署名が含まれ、各データインポーターを識別します

 

1.2用語と定義

この付録では、GDPRで使用されている用語と定義が適用されます(パート2の標準契約条項文書の本文では、定義された用語は大文字ではありません)。 

 

「加盟国」

欧州連合または欧州経済領域に属する国を意味します

「(個人)データの特別なカテゴリ」

人種的または民族的起源、政治的意見、宗教的または哲学的信念、または労働組合の会員資格を明らかにする個人データ、および個人を一意に識別する目的で処理された場合の遺伝子データ、生体データ、健康に関するデータ、人の性別に関するデータを指します人生または性的指向

「標準契約条項」

2010年2月5日の欧州委員会決定2010/87 / EUに基づいて、第三国で設立された処理エージェントの個人データを転送するための標準契約条項を意味します。これは、2010年2月16日に欧州委員会実施決定(EU)2016/2297によって修正されました。 2016年12月

「データプロセッサ」??

EU / EEAの内外に位置し、データインポーターまたはデータインポーターの他のプロセッサーから、データエクスポーターが以下の後に実行する処理活動専用の個人データを受け取ることに同意する処理エージェントを意味します。データエクスポーターの指示、この付録の条件、およびデータインポーターとの契約に従って転送する

 

 

2.データエクスポーターの義務

2.1データエクスポーターは、GDPRおよびデータエクスポーターに適用されるその他の該当するデータ保護法に基づくすべての該当する義務を確実に遵守し、GDPRの第5条(2)で要求されるコンプライアンスを示す義務があります。データエクスポーターは、データインポーターがGDPRの第6条(a)に従ってデータ主体の事前の同意を取得し、GDPRの第13条および第14条に従ってデータ主体に通知する義務を遵守していることを保証します。

2.2データエクスポータは、データインポータが以下の義務を遵守するために必要な範囲で、この付録に基づくサービスに関連するGDPRの第30条(1)に従って、データインポータに処理アクティビティのそれぞれのファイルを提供する必要があります。 GDPRの第30条(2)。

2.3データエクスポータは、適用されるデータ保護法で要求される範囲で、データ保護責任者または代表者を任命する必要があります。データエクスポータは、データ保護エージェントまたは代表者(存在する場合)の連絡先の詳細をデータインポータに提供する義務があります。

2.4。データエクスポーターは、処理が完了する前に、この付録に同意することにより、パート2の付録2に記載されているデータインポーターの技術的および組織的セキュリティ対策がデータ主体の権利を保護するのに適切かつ十分であることを確認します。そして、データインポーターがこの点で十分な保護手段を提供することを確認します。

 

3.現地法の遵守

GDPRの第28条に続く処理エージェントの実装の要件を満たすために、次の修正が適用されます。

 

3.1手順

  1. (i)データエクスポータは、データエクスポータに代わってのみ個人データを処理するようにデータインポータに指示します。データエクスポータの指示は、この付録および契約に記載されています。データエクスポーターは、データインポーターにすべての指示が適用されるデータ保護法に準拠していることを確認する義務があります。データインポーターは、欧州連合または加盟国の法律によって別途要求されない限り、データエクスポーターによって提供された指示に従ってのみ個人データを処理する必要があります(後者の場合、パート1の3.2(iv)(c)が適用されます) 。
  2. (ii)この付録または契約の指示を超える他のすべての指示は、この付録および契約の主題に含まれている必要があります。この追加の指示の実施にデータインポーターの費用が含まれる場合、データインポーターはそのような費用をデータエクスポーターに通知し、指示を実施する前に説明を提供するものとします。データエクスポータが命令を実装するためのこれらのコストの受け入れを確認した後でのみ、データインポータはこの追加の命令を実装するものとします。データエクスポータは、緊急またはその他の特定の状況で別のフォーム(口頭、電子など)が必要な場合を除き、書面で追加の指示を与える必要があります。書面以外の形式の指示は、データエクスポーターが遅滞なく書面で確認する必要があります。
  3. 1.データエクスポーターが個人データの修正、消去、または制限を単独で実行できない場合を除き、指示は、パート1の3.3項に記載されているように、個人データの修正、消去、および/または制限にも関連する場合があります。
  4. 2.データインポーターは、指示が欧州連合または加盟国のGDPRまたはその他の該当するデータ保護規定に違反していると判断した場合、直ちにデータエクスポーターに通知する必要があります(「異議のある指示")。データインポーターが、指示が欧州連合または加盟国のGDPRまたはその他の該当するデータ保護規定に違反していると信じる場合、データインポーターは異議のある指示に従う義務を負いません。データエクスポーターが異議のある指示を確認した場合データインポーターから情報を受け取り、異議のある指示に対する責任を認めた場合、データインポーターは、異議のある指示が(i)技術的および組織的措置の実施、(ii)データの権利に関連しない限り、異議のある指示を実施するものとします。対象または(iii)データ処理者の関与(i)から(iii)の場合、データインポーターは管轄の監督当局に連絡して、争われている命令をそのような当局に法的に評価させることができます。監督当局が異議を申し立てられた命令が合法であると宣言した場合、データインポーターは異議を申し立てられた命令を実装するものとします。パート1条項3.1(ii)は引き続き適用されるものとします。

 

3.2データインポーターの義務

  1. (i)データインポーターは、データインポーターによってデータエクスポーターに代わって個人データを処理する権限を与えられた人物、特にデータインポーターの従業員および下請け業者の従業員が機密性を遵守することを約束したか、またはその対象となることを確認する必要があります。適切な法定の守秘義務、および個人データにアクセスできるそのような人がデータエクスポーターの指示に従ってデータを処理すること。
  2. (ii)データインポーターは、データエクスポーターに代わって個人データを処理する前に、パート2の付録2に記載されている技術的および組織的なセキュリティ対策を実装する必要があります。データインポーターは、パート2の付録2に記載されているものよりも保護が不十分でない場合、技術的および組織的なセキュリティ対策を随時変更する場合があります。
  3. (iii)データインポーターは、データエクスポーターからの要求に応じて、この付録に基づくデータインポーターの義務の遵守を示す情報をデータエクスポーターが利用できるようにするものとします。両当事者は、データエクスポーターに監査レポート(原則のセキュリティ、システムの可用性、および機密性をカバーする)(「監査レポート」)を提供することにより、この情報義務が満たされることに同意します。追加の監査活動が法的に必要な場合、データエクスポータは、データインポータとデータインポータとの機密保持契約の実行を条件として、データエクスポータまたはデータエクスポータによって任命された別の監査人による検査の実施を要求することができます。合理的な満足度(「監査」)。この監査には、次の条件が適用されます。(i)データインポーターの事前の正式な書面による承諾。 (ii)データエクスポータは、データエクスポータおよびデータインポータのオンサイト監査に関連するすべての費用を負担するものとします。データエクスポータは、オンサイト監査の結果と観察結果を要約した監査レポート(「オンサイト監査レポート」)を作成する必要があります。オンサイト監査レポートおよび監査レポートは、データインポーターの機密情報であり、適用されるデータ保護法によって要求されない限り、またはデータインポーターの同意がない限り、第三者に開示してはなりません。オンサイト監査レポートおよび監査レポートは、データインポーターの機密情報であり、適用されるデータ保護法によって要求されない限り、またはデータインポーターの同意がない限り、第三者に開示してはなりません。オンサイト監査レポートおよび監査レポートは、データインポーターの機密情報であり、適用されるデータ保護法によって要求されない限り、またはデータインポーターの同意がない限り、第三者に開示してはなりません。
  4. (iv)データインポーターは、過度の遅延なしにデータエクスポーターに通知する義務があります。
    1. NS。法執行機関による個人データの開示に関する法的拘束力のある要求に関しては、法執行機関の調査の機密性を保護するための刑法による禁止など、特に禁止されていない限り、
    2. NS。データインポーターが許可されていない限り、データ主体から直接受け取った苦情および要求(たとえば、アクセス、修正、削除、処理の制限、データの移植性、データ処理への異議、自動化された意思決定)に関してそうする
    3. NS。データインポーターまたはデータプロセッサーが、欧州連合またはデータインポーターまたはデータプロセッサーの対象となる加盟国の法律に基づいて、データエクスポーターの指示を超えて個人データを処理する義務がある場合は、そのような処理を実行する前に欧州連合または加盟国の法律が重要な公益上の理由でそのような処理を禁止している場合を除き、指示。その場合、データ輸出者への通知は、欧州連合または加盟国のその法律に基づく法的要件を指定するものとします。また
    4. NS。データインポーターが、本契約の対象となるデータエクスポーターの個人データに影響を与える、それ自体またはその下請け業者のみが原因で個人データの侵害に気付いた場合、データインポーターはデータエクスポーターの義務を支援します。 GDPRの第33条(3)に従い、該当するデータ保護法に照らして、データ主体および該当する場合は監督当局に自由に情報を提供することを通知します。
    5. (v)データエクスポーターの要求に応じて、データインポーターは、GDPRの第35条で要求される可能性のあるデータ保護の影響評価と、この付録に基づいてデータインポーターがデータエクスポーターに提供するサービスに関してGDPRの第36条で義務付けられており、データエクスポーターに必要な情報を提供します。データインポータは、データエクスポータが他の手段でその義務を履行できない場合にのみ、そのような支援を提供する義務を負います。データインポータは、そのような支援の費用をデータエクスポータに通知します。データエクスポータがこのコストを負担できることを確認するとすぐに、データインポータはデータエクスポータにこのヘルプを提供します。
    6. (vi)サービスの提供の終了時に、データエクスポーターは、サービス後1か月以内に、この付録に基づいてデータインポーターによって処理された個人データの返却を要求することができます。加盟国または欧州連合の法律により、データインポーターがそのような個人データを保存または保持することが義務付けられている場合を除き、データインポーターは、そのような個人データまたは非個人データが返送されたかどうかにかかわらず、1か月後にすべて削除します。要求に応じてデータエクスポータ。

 

3.3関係者の権利

  1.  
    1. (i)データエクスポーターは、データ主体からの要求を管理し、それに応答します。データインポーターは、データ主体に直接応答する義務はありません。
    2. (ii)データエクスポータがデータ主体の要求の処理および応答においてデータインポータの支援を必要とする場合、データエクスポータはパート1の条項3.1(ii)に従って追加の指示を発行するものとします。データインポータはデータエクスポータを支援します。 GDPRの第III章に記載されているデータ主体の権利の行使の要求に対応するための以下の適切かつ技術的な組織的措置を以下に示します。
    3. NS。情報の要求に関して、データインポータは、データエクスポータがそれ自体を見つけることができない場合に自由に使用できるPGRDの第13条および第14条で要求される情報のみをデータエクスポータに提供します。
    4. NS。アクセスのリクエスト(GDPRの第15条)に関して、データインポータは、データエクスポータに、上記のアクセスリクエストのデータ主体に提供されることになっている情報のみを提供します。後者はそれを単独で見つけることはできません。
    5. NS。修正の要求(GDPRの第16条)、消去の要求(GDPRの第17条)、処理の要求の制限(GDPRの第18条)、または移植性の要求(GDPRの第20条)、およびデータエクスポーター自体が個人データを修正または消去、制限、または他の第三者に送信できない場合、データインポーターはデータエクスポーターに関連する個人データを修正または消去、制限、または他の第三者に送信する可能性を提供します。または、これが不可能な場合は、関連する個人データを修正または消去、制限、または他の第三者に送信するための支援を提供します。
    6. NS。処理の修正、消去、または制限に関する通知(GDPRの第19条)に関して、データインポーターは、データエクスポーターが要求し、データエクスポータがそれ自体で状況を修正できない場合。
    7. e。データ主体が行使する異議申し立ての権利(GDPRの第21条および第22条)に関して、データエクスポーターは、異議申し立てが正当であるかどうか、およびその対処方法を決定します。
    8. (iii)データインポーターの支援義務は、そのインフラストラクチャ内で処理される個人データ(データインポーターが所有または提供するデータベース、システム、アプリケーションなど)に限定されます。
    9. (iv)データ輸出者は、データ主体が本パート1の第3.1項に規定されたデータ主体の権利を行使できるかどうかを判断し、第3.3(ii)項で指定された支援の範囲をデータ輸入者に通知するものとします。 iii)パート1のが必要です。
    10. (v)データエクスポーターが、パート1のサブ条項3.3(ii)、(iii)に基づいてデータインポーターが提供する支援を超える、データ主体の権利を満たすための追加または変更された技術的および組織的措置を要求する場合、データ輸入者は、そのような追加または変更された技術的および組織的措置を実施するための費用をデータ輸出者に通知するものとします。データエクスポータがこれらのコストを満たすことができることを確認するとすぐに、データインポータは、データサブジェクトの要求に応答する際にデータエクスポータを支援するために、そのような追加または変更された技術的および組織的措置を実施するものとします。
    11. (vi)パート1の条項3.3(v)の範囲を制限することなく、データエクスポーターは、データ主体の要求に応答する際に発生した合理的な費用をデータインポーターに払い戻す義務を負います。

 

3.4サブプロセッシング

  1.  
    1. (i)データエクスポーターは、この付録に基づくサービスの提供のためにデータインポーターが下請け業者を使用することを許可します。データインポーターは、そのようなデータプロセッサーを慎重に選択するものとします。データエクスポータは、パート2の最後にある付録1.1にリストされているデータプロセッサを承認します。
    2. (ii)データ輸入者は、下請けサービスに適用される範囲で、この付録に基づく義務をデータ処理者に譲渡するものとします。
    3. (iii)データインポーターは、その裁量により、別の適切で信頼できるデータ処理者を解任、交換、または任命することができます。データエクスポーターから書面で要求された場合、データインポーターは以下の手順に従う必要があります。
  1.  
    1. NS。データインポーターは、パート1の条項3.4(i)で参照されているデータ処理者のリストを変更する前に、データエクスポーターに通知するものとします。データエクスポーターが条項3.4で異議を唱えない場合。 (b)データインポーターからの通知を受け取ってから30日後のパート1の、追加のデータ処理者は受け入れられたと見なされるものとします。
    2. NS。データエクスポータが追加のデータプロセッサに異議を唱える正当な理由がある場合、データインポータの通知を受け取ってから30日以内、およびデータインポータのサービスが運用を開始する前に、データインポータに事前に書面で通知します。データエクスポータが追加のデータプロセッサの使用に反対する場合、データインポータは次のオプションのいずれかによって異議を削除することができます(その裁量で選択):( A)データインポータは次の点に関して追加のプロセッサを使用する計画をキャンセルしますデータエクスポーターの個人データ。 (B)データインポータは、データエクスポータが異議を唱えた場合(異議をキャンセルする場合)に要求された是正措置を講じ、データエクスポータの個人データに関して追加のプロセッサを使用します。(C)データインポータが提供を停止するか、データエクスポータがデータエクスポータの個人データのデータエクスポータのさらなるプロセッサの使用を含むサービスの特定の側面を(一時的または永続的に)使用しないことに同意する場合があります。
  2.  
    1. (iv)データ処理者が、欧州委員会の決定後に適切なレベルのデータ保護を提供すると認められていない国のEU-EEAの外部に拠点を置く場合、データインポーターは適切なレベルに準拠するための措置を講じますGDPRに従ったデータ保護の実施(このような措置には、とりわけ、EUモデルの条項に基づくデータ処理契約の使用、EU-US保護シールドの枠組みにおける自己認証データ処理者への転送が含まれる場合があります) 、または同様のプログラム)。

 

3.5有効期限

この付録の有効期限は、対応する契約の有効期限と同じです。この付録に別段の定めがある場合を除き、終了に関連する権利と義務は、契約に含まれるものと同じであるものとします。

 

4.責任の制限

4.1各当事者は、この付録および該当するデータ保護法に基づく義務を処理します。

4.2この付録または該当するデータ保護法に基づく義務の違反に関連する責任は、この付録に別段の定めがある場合を除き、契約に定められた、または適用される責任規定に従うものとします。責任が契約に定められた、または適用される責任規定に準拠している場合、責任制限の計算またはその他の責任制限の適用の決定のために、この付録に基づいて発生する責任は、契約に基づいて発生したものと見なされます。

 

5.一般規定

5.1この付録のパート1とパート2の間に矛盾または不一致がある場合は、パート2が優先されます。具体的には、そのような場合でも、矛盾することなくパート2(すなわち標準条項の条件)を単に超えるパート1は有効なままであるものとします。

5.2この付録の規定と、当事者を拘束する他の契約の規定との間に矛盾が生じた場合、この付録は、当事者のデータ保護義務に関して優先するものとします。他の契約の条項が当事者のデータ保護義務に関係するかどうかについて疑問がある場合は、この付録が優先するものとします。

5.3この付録のいずれかの条項が無効または執行不能である場合、この付録の残りの部分は引き続き完全に効力を有します。無効または執行不能な条項は、(i)当事者の意図を可能な限り維持しながら、その有効性と執行可能性を確保するために修正されます。または、これが不可能な場合は、(ii)無効または執行不能な部分があったかのように解釈されます。契約の一部ではありませんでした。上記は、この付録に記載がない場合にも適用されます。

5.5必要な範囲で、締約国は、連合の管轄当局またはGDPRまたはデータ処理に関与するエンティティへのその他の委任条件、特にGDPRでの標準契約条項の使用に関する加盟国、国内執行規定、またはその他の法的進展。標準契約条項の条件は、欧州委員会が明示的に承認しない限り(たとえば、新しい適切な条項およびデータ保護基準によって)変更または置換することはできません。

5.6この付録での「条項」への言及は、特に明記されていない限り、この付録のすべての条項を指すと理解されるものとします。

5.7パート2、条項9での法律の選択は、契約全体に適用されます。

 

6. 個人的な目的で当事者によって送信および処理される個人データ(データ管理者からデータ管理者への転送)

6.1両当事者は、特定の個人データがデータエクスポーターからデータインポーターに、またはその逆に転送されること、およびそのようなデータが各当事者によって独自の目的で処理されることを完全に知っています。このような個人データに関しては、この付録の他の条項には影響しません(この第6項を除く)。

6.2データエクスポーターは、セキュリティインシデントに関する情報、またはデータエクスポーターが提供するサービスに関連してデータエクスポーターによって作成または確立されたその他の文書またはファイルを含む、データインポーターのスタッフに関連する個人データをデータインポーターに転送する場合があります。データインポータ。データインポーターは、そのような個人データを独自の目的で、特にデータインポーターの担当者との専門的な関係において、品質管理とトレーニングのために、またはビジネス目的で処理する場合があります。

6.3。データインポータは、データインポータの担当者の名前と連絡先の詳細を含む個人データをデータエクスポータに転送する場合があります。データエクスポーターは、独自の目的でそのような個人データを処理する場合があります。

6.4両当事者は、パート1の第1項に基づいて相手方から受け取った個人データの収集、処理、および使用において、GDPRを含む適用されるデータ保護法を遵守するものとします。特に、両当事者は適切なセキュリティ対策を講じ、以下を提供するものとします。パート2の付録2に記載されているセキュリティ対策と同様のレベルの保護。このような個人データへのアクセスは、それらを知る必要性に限定されるものとします。

6.5両当事者は、目的が達成された後、できるだけ早くそのような個人データを削除する必要があります。

パート2

 

委員会の決定

2010年2月5日

欧州議会および理事会の95/46 / EC指令に基づいて第三者国で確立されたデータ処理者への個人データの転送に関する標準的な契約条項について

 

 

 

条項1

定義

条項の意味の範囲内:

a)「個人データ」、「特別なカテゴリーのデータ」、「処理/処理」、「コントローラー」、「プロセッサー」、「データ主体」および「監督機関」は、95/46 / ECと同じ意味を持つものとします。個人データの処理およびそのようなデータの自由な移動に関する個人の保護に関する1995年10月24日の欧州議会および理事会の指令(1)。

b)「データエクスポータ」は、個人データを転送するデータ管理者です。

c)「データインポーター」とは、データエクスポーターから、転送後にデータエクスポーターに代わって処理されることを意図した個人データを、その指示に従い、これらの条項の条件に従って受け取ることに同意するデータ処理者であり、指令95/46 / ECの第25条(1)の意味の範囲内で適切な保護を確保する第三国のメカニズムに従う。 (d)「データ処理者」とは、データインポーターまたはデータインポーターの他のデータ処理者から、以下の処理活動のみを目的として個人データを受け取ることに同意した、データインポーターまたはデータインポーターの他のデータ処理者が関与するデータ処理者を意味します。データエクスポータの指示に従って、転送後にデータエクスポータに代わって実行されます。これらの条項に定められた条件およびデータ処理契約の下請け契約の条件の下で;

e)「適用されるデータ保護法」とは、個人データの処理に関するプライバシーの権利を含む、個人の基本的な権利と自由を保護し、データエクスポーターが設立された加盟国の管理者に適用する法律を意味します。

f)「セキュリティに関連する技術的および組織的対策」?? 偶発的または違法な破壊または偶発的な損失、改ざん、不正な開示またはアクセスから個人データを保護することを目的とした措置を意味します。特に、処理にネットワークを介したデータの送信が含まれる場合、およびその他すべての違法な形式の処理から保護します。

条項2

転送の詳細

必要に応じて、個人データの特別なカテゴリを含む転送の詳細は、これらの条項の不可欠な部分を形成する付録1に指定されています。

条項3

第三者受益者条項

1.データ主体は、この条項、条項4(b)から(i)、条項5(a)から(e)および(g)から(j)、条項6(1)および(2)をデータエクスポーターに対して強制することができます。 )、第三者受益者としての第7条、第8条(2)および第9条から第12条

2.データ主体は、データエクスポーターが物理的に所有しているデータインポーターに対して、この条項、条項5(a)から(e)および(g)、条項6、条項7、条項8(2)、および条項9から12を施行することができます。彼の法的義務のすべてが、契約または法律の運用によって、データエクスポーターの権利と義務が元に戻され、データが元に戻される後継エンティティに譲渡されない限り、消滅するか、法律に存在しなくなりましたしたがって、サブジェクトは前述の条項を施行できます。

データ主体は、この条項、条項5(a)から(e)および(g)、条項6、条項7、条項8(2)、および条項9から12をデータ処理者に対して強制することができますが、データがデータエクスポーターとデータインポーターのすべての法的義務が、契約または法律の運用により、権利としたがって、データエクスポータの義務は権利が確定し、データ主体はそのような条項を誰に対して施行することができます。データ処理者のそのような責任は、これらの条項に基づく独自の処理活動に限定されなければなりません。

4.当事者は、データ主体が希望する場合、および国内法で許可されている場合、協会またはその他の機関によって代表されるデータ主体に異議を唱えません。

条項4

データエクスポーターの義務

データエクスポーターは、以下を受け入れて保証します。

a)個人データの実際の転送を含む処理は、適用されるデータ保護法の関連規定に従って実行されており、今後も実行されます(また、該当する場合は、加盟国の管轄当局に通知されます)。データエクスポータが拠点を置く)であり、その州の関連規定を侵害していない。

b)個人データ処理サービスの期間中、データインポーターは、データエクスポーターに代わって、適用されるデータ保護法およびこれらの条項に従って転送された個人データを処理するように指示し、指示します。

c)データインポータは、本契約の付録2に指定されている技術的および組織的なセキュリティ対策に関して十分な保護手段を提供します。

d)該当するデータ保護法の要件を評価した後、特に処理にデータの送信が含まれる場合、セキュリティ対策は、偶発的または違法な破壊または偶発的な損失、改ざん、不正開示、またはアクセスから個人データを保護するのに十分です。ネットワークを介して、および他のすべての違法な形式の処理に対して、テクノロジーのレベルと実装のコストを考慮して、処理によって表されるリスクと保護されるデータの性質に適したレベルのセキュリティを確保します。

e)セキュリティ対策の遵守を確保します。

f)転送が特別なカテゴリのデータに関連する場合、データ主体は、転送前、または転送後できるだけ早く、データを提供していない第三国に転送される可能性があることを通知されているか、通知される予定です。指令95/46 / ECの意味の範囲内での適切なレベルの保護。

g)第5条(b)および第8条(3)に基づいてデータ輸入者またはデータ処理者から受け取った通知を、転送を継続するか停止を解除することを決定した場合、データ保護監督当局に転送します。

h)必要に応じて、データ主体が、付録2を除くこれらの条項のコピー、セキュリティ対策の概要説明、およびこれらの条項に基づいて締結された追加の下請け契約のコピーを利用できるようにするものとします。条項または契約には商業情報が含まれており、その場合、彼はそのような情報を撤回することができます。

i)データ処理プロセスを下請けに出す場合、処理活動は、データ処理者によって第11条に従って実行され、これらの条項に基づくデータインポーターと少なくとも同じレベルの個人データおよびデータ主体の権利の保護を提供します。 ; と

j)第4条(a)から(i)への準拠を保証します。

条項5

データインポーターの義務

データインポーターは、以下を受け入れて保証します。

a)データエクスポーターに代わって、データエクスポーターの指示およびこれらの条項に基づいてのみ個人データを処理します。何らかの理由で準拠できない場合、データエクスポータにその機能がないことをできるだけ早く通知することに同意します。その場合、データエクスポータはデータ転送を一時停止したり、契約を終了したりすることがあります。

b)彼らは、彼らに適用される法律が、データエクスポーターによって与えられた指示および契約に基づいて彼に課せられた義務を履行することを妨げると信じる理由がなく、そのような法律が重大な不利益をもたらす可能性のある変更の対象となる場合条項に基づく保証および義務に影響を与える場合、彼は変更を認識した後、遅滞なくデータエクスポーターに通知するものとします。その場合、データエクスポーターはデータ転送を一時停止および/または契約を終了することができます。(c)転送された個人データを処理する前に、付録2で指定された技術的および組織的なセキュリティ対策を実施している。

d)遅滞なくデータエクスポーターに通知します。

i)警察の捜査の秘密を守ることを目的とした刑事禁止など、特に明記されていない限り、法執行機関からの個人データの開示に対する拘束力のある要求。

ii)偶発的または不正なアクセス。と

iii)関係者から直接受け取った要求で、許可されていない限り、返信することはありません。管理者

e)転送される個人データの処理に関するデータエクスポーターからのすべての問い合わせに迅速かつ適切に対処し、転送されるデータの処理に関する監督当局の意見に基づいて行動します。

f)データエクスポータの要求に応じて、データ処理施設は、データエクスポータまたは必要な専門的資格を持つ独立したメンバーで構成される監督機関によって実行されるこれらの条項の対象となる処理活動の監査を受けます。秘密保持の義務を条件とし、監督当局の同意を得て、必要に応じてデータエクスポーターによって選択されます。

g)条項または契約に商業情報が含まれている場合を除き、データ主体が要求した場合は、これらの条項のコピー、またはデータ処理契約の既存の下請け契約を利用できるようにします。データ主体がデータエクスポータからコピーを取得できないセキュリティ対策の概要説明に置き換えられる付録2を除く情報。

h)機密のデータ処理をさらに下請け契約する場合、彼は事前にデータエクスポーターに通知し、データエクスポーターの書面による同意を取得することを保証します。

i)データ処理者が提供する処理サービスは、第11条に準拠するものとします。

j)これらの条項に基づいて締結されたデータ処理契約の下請け契約のコピーを、データエクスポーターに迅速に送信します。

条項6

責任

1.当事者は、一方の当事者またはデータ処理者が第3項または第11項に記載の義務に違反したために損害を被ったデータ主体は、被った損害についてデータエクスポータから補償を受けることができることに同意します。

2.データ主体が、データインポーターまたはそのデータ処理者が第3項または第11項に基づく義務のいずれかを遵守しなかったために、データエクスポーターに対して第1項に記載の損害賠償訴訟を起こすことができない場合。輸出業者が物理的に姿を消した、法律に存在しなくなった、または破産した場合、データ輸入業者は、データ輸出業者のすべての法的義務が契約により譲渡されない限り、データ主体がデータ輸出業者であるかのように苦情を申し立てることができることに同意します。または、法律の運用により、データ主体がその権利を行使する可能性のある後継エンティティに対して。データインポーターは、自身の責任を回避するために、データ処理者による義務の違反に依存することはできません。

3.データ主体が、データエクスポーターおよびデータインポーターのために、第3項または第11項に基づく義務のデータ処理者による違反について、第1項および第2項に記載の訴訟をデータエクスポーターまたはデータインポーターに対して提起することを妨げられた場合データ処理者は、物理的に姿を消した、法律に存在しなくなった、または破産した場合、データ主体が、すべての場合を除き、データエクスポーターまたはデータインポーターであるかのように、これらの条項に従って自身の処理活動に関して苦情を申し立てることができることに同意します。データエクスポーターまたはデータインポーターの法的義務は、契約または法律の運用により、法的な後継者に譲渡され、データ主体はそれに対して彼の権利を主張することができます。データ処理者の責任は、これらの条項に従った独自の処理活動に限定されなければなりません。

 

条項7

調停および管轄

1.データインポーターは、条項に基づいて、データ主体が第三者受益者の権利を彼に対して行使する場合、および/または被った偏見に対する補償を請求する場合、データ主体の決定を受け入れることに同意します。

a)独立した人物、または適切な場合は監督当局による調停に紛争を提出すること。

b)データエクスポーターが拠点を置く加盟国の裁判所に紛争を提起すること。

2.当事者は、データ主体による選択が、国内法または国際法の他の規定に従って救済を受けるためのデータ主体の手続き上または実質的な権利に影響を与えないことに同意します。

条項8

監督当局との協力

1.データエクスポーターは、監督当局が必要とする場合、またはそのような預託が適用されるデータ保護法によって提供されている場合、監督当局に現在の契約のコピーを預けることに同意します。

2.当事者は、監督当局が、適用されるデータ保護法に従ってデータエクスポーターで実行されるチェックと同じ範囲および同じ条件で、データインポーターおよび任意のデータプロセッサーでチェックを実行できることに同意します。

3.データインポータは、データインポータまたはデータプロセッサに関する法律の存在をできるだけ早くデータエクスポータに通知し、第2項に従ってデータインポータまたはデータプロセッサでの検証を妨げるものとします。データエクスポーターは、第5条(b)に規定されている措置を講じることができます。

条項9

適用法

条項が適用され、データエクスポータが拠点を置く加盟国の法律に準拠します。

条項10

契約の変更

両当事者は、現在の条項を変更しないことを約束します。当事者は、現在の条項と矛盾しない限り、必要とみなす他の商業条項を自由に含めることができます。

条項11

その後の下請け

1.データインポーターは、データエクスポーターの事前の書面による同意なしに、これらの条項に基づいてデータエクスポーターに代わって実行される処理活動を下請けにしないものとします。データインポーターは、データエクスポーターの同意を得て、これらの条項に基づいてデータインポーターに課せられる義務と同じ義務をデータプロセッサーに課すデータプロセッサーとの書面による合意を通じてのみ、これらの条項に基づく義務を下請けするものとします。データ処理者がその書面による合意に基づくデータ保護義務を遵守できない場合、データインポーターはそれらの義務の履行についてデータエクスポーターに対して完全な責任を負います。

2.データインポーターとデータ処理者の間の事前の書面による合意には、データ主体が第6条(1 )、データエクスポーターまたはデータインポーターが物理的に消滅した、法律上存在しなくなった、または無効になり、データエクスポーターまたはデータインポーターのすべての法的義務が契約または運用によって譲渡されていないため、データエクスポーターまたはデータインポーターに対して別の後継者への法の。データ処理者の責任は、これらの条項に従って、独自の処理活動に限定する必要があります。

3.第1項で言及されている契約のデータ処理を下請け契約することのデータ保護の側面に関連する規定は、データ輸出者が設立された加盟国の法律に準拠するものとします。

4.データエクスポーターは、これらの条項に基づいて締結され、条項5(j)に従ってデータインポーターから通知されたデータ処理契約の下請けのリストを保持するものとします。これは少なくとも年に1回更新されるものとします。このリストは、データエクスポータのデータ保護監督当局が利用できるようにするものとします。

条項12

個人情報処理サービス終了後の義務

1.当事者は、データ処理サービスの完了時に、データインポーターとデータプロセッサーがデータエクスポーターの都合に応じて、転送されたすべての個人データとそのコピーをデータエクスポーターに返却するか、そのようなデータをすべて破棄して証拠を提供することに同意します。データインポーターに課せられた法律により、転送された個人データの全部または一部を返却または破壊することが禁止されていない限り、データエクスポーターへの破壊。その場合、データインポーターは、転送された個人データの機密性を確保し、データを積極的に処理しないことを保証します。

2.データインポーターおよびデータ処理者は、データエクスポーターおよび/または監督当局から要求された場合、データ処理の手段を第1項に記載の措置の検証にかけることを保証するものとします。

 

 

 

 

パート2の付録1.1

転送の詳細

 

 

データエクスポーター

データエクスポータは、契約上の合意で定義された顧客です。

 

データインポーター

データインポータはPOSTCODEZIPであり、データを処理するために割り当てられ、データエクスポータにサービスを提供します。

 

データの主題

転送される個人データは、次のカテゴリのデータ主体に関係します。

NS??ユニバーサルディレクトリにリストされている電話加入者

â〜 'その他を含む:

 

データのカテゴリ

転送される個人データは、次のカテゴリのデータに関係します。

 

特にデータエクスポータのデータ主体の個人データのカテゴリ、

NS??フルネーム

â〜 '住所

NS??連絡先の詳細(電子メール、電話、IPアドレスなど)

NS??電話加入者に関するマーケティング活動の詳細

â〜 '住宅の種類、収入、および匿名で作成された都市による平均年齢を含むその他

 

特別なカテゴリのデータ(該当する場合)

転送される個人データは、次の特別なカテゴリのデータに関係します。

â〜 '特別なカテゴリのデータの転送は予測されていません

NS??人種または民族的起源

NS??宗教的または哲学的信念

NS??労働組合への加入

NS??政見

NS??遺伝情報

NS??生体情報

NS??性的指向または性生活に関する情報

NS??健康データ

 

処理活動

転送される個人データは、以下の基本的な処理活動の対象となります。

 

  •  
    • • 処理の目的

データエクスポータに代わって行われる処理は、特に次の主題に基づいています。

â〜 'データエクスポータが提供する製品またはサービスを担当する

â〜 '呼び出された人が要求できる製品またはサービスの提供

â〜 '呼び出された人から注文とこれらの注文のさらなる処理

â〜 '調査票と分析

â〜 'テレマーケティング

NS??その他を含む:

 

  •  
    • • 処理の性質と目的

データインポーターは、以下のサービスを提供するために、データエクスポーターに代わってデータ主体の個人データを処理します。

  • â〜 '自動フォーム入力
  • â〜 '検証フォームに対応

â〜 '販売およびマーケティング

â〜 'その他、市庁舎や政党のデータベースの更新を含む

 

  •  
    • • サービスの提供とサービスプロバイダーの雇用

 

POSTCODEZIPは主に、データエクスポーターを組み合わせ、一元化し、サービスを提供します。指定されたサービスプロバイダーによって提供されるサービスは、(必要に応じて)次の補助サービスを中心に構成されます。(i)提供するために、使用されるデータ処理センターに関連するアプリケーション、ツール、システム、およびITインフラストラクチャの提供そして、そのようなアプリケーション、ツール、およびシステムを介して、上記のデータ主体の個人データの処理を含むサービスをサポートします。(ii)そのようなアプリケーション、ツール、システムに関連するITサポート、メンテナンス、およびその他のサービスの提供およびITインフラストラクチャ。このようなアプリケーション、ツール、およびシステムに保存されている個人データへの潜在的なアクセス、および(iii)データ保護サービス、保護監視、およびインシデント対応サービスの提供。そのような保護サービスを提供する際の個人データへの潜在的なアクセスを含みます。 POSTCODEZIPは、補助サービスを含むサービスを提供するために、以下に設定されているデータ処理者と契約する場合があります。

 

  •  
    • •データ処理に割り当てられたサブエンティティとしての外部サードパーティサービスプロバイダー

 

POSTCODEZIPは、POSTCODEZIPの子会社ではない外部およびサードパーティのサービスプロバイダーと連携して、データエクスポーターへのサービスの提供をサポートします。データエクスポーターは、データ処理に割り当てられたサブエンティティなどの外部サードパーティサービスプロバイダーを承認します。

 

データ処理に関与するサブエンティティがEU / EEAの外部にある場合、欧州委員会の決定に基づいて適切なレベルのデータ保護がないと見なされた国では、データインポーターは適切なレベルのデータを取得するための措置を講じます。 GDPRおよびパート1のセクション3.4(iv)に従ったデータ保護。

 

 

付録2、パート2

技術的および組織的な保護対策

 

データインポーターは、リスクに応じて、個人の権利と自由に対して適切なレベルのセキュリティを保証するために、データエクスポーターによって確認された以下の技術的および組織的保護措置を講じるものとします。データエクスポータは、関連する保護のレベルを評価する際に、特に、偶発的または違法な破壊、改ざん、不正開示、送信、保存、またはその他の方法で処理された個人データへのアクセスなど、処理に伴うリスクを考慮しました。明確にするために:これらの技術的および組織的な保護手段は、データエクスポーターによって提供されるアプリケーション、ツール、システム、および/またはITインフラストラクチャには適用されません。

1一般的な技術的および組織的保護対策

1.1一般的な情報とデータ保護戦略

一般的なデータおよび情報保護戦略に従うには、次の手順を実行する必要があります。

  • a)技術的および組織的保護に関して取られたものを評価するための措置を講じる。
  • b)従業員の意識を高めるためのトレーニングを提供する。
  • c)関係するシステムの説明を持ち、従業員にアクセスを許可します。
  • d)システムが実装または変更されるたびに、正式な文書化プロセスを確立します。
  • e)組織構造、プロセス、責任、およびそれぞれの評価を文書化する。

1.2情報保護の組織

データと情報の保護活動を調整するために、以下の措置を講じる必要があります。

  • a)情報およびデータの保護に対する定義された責任(例えば、データ保護管理ポリシーによる)。
  • b)利用可能なままの情報とデータを保護するために必要な専門知識。
  • c)すべての従業員は、個人データの機密を保持することを約束し、この約束に違反した場合の潜在的な結果について知らされています。

1.3処理エリアへのアクセス制御

個人データが処理、保存、または送信されるときに、許可されていない人がデータ処理システム(特にソフトウェアとハ​​ードウェア)にアクセスするのを防ぐために、次の対策を講じる必要があります。

  • a)安全なエリアを確立する。
  • b)データ処理システムへのアクセスを保護および制限する。
  • c)それぞれの文書を含め、従業員と第三者のアクセス許可を確立する。
  • d)個人データが保存されているデータ処理センターへのアクセスはすべてログに記録されるものとします。

1.4データ処理システムへのアクセス制御

データ処理システムへの不正アクセスを防ぐために、次の対策を講じる必要があります。

  • a)ユーザー認証のポリシーと手順。
  • b)すべてのコンピューターシステムでのパスワードの使用。
  • c)ネットワークへのリモートアクセスには多要素認証が必要であり、関係者の責任と承認に応じて許可されます。
  • d)特定の機能へのアクセスは、ユーザーのアカウントに個別に割り当てられた職務および/または属性に基づいています。
  • e)個人データに関連するアクセス権は定期的に見直されます。
  • f)アクセス権の変更の記録は最新に保たれます。

1.5データ処理システムの特定の使用領域へのアクセスの制御

データ処理システムを使用する権利を持つ許可された人がそれぞれの責任とアクセス許可の範囲内でのみデータにアクセスできるようにし、許可なしに個人データを読み取ったり、コピーしたり、変更したり、削除したりできないようにするには、次の対策を講じる必要があります。

  1. 1.1。 
    1. a)守秘義務、個人データへのアクセス権、および個人データの処理範囲に関する各従業員の義務に関するポリシー、指示、およびトレーニング。
  • b)許可なく個人データにアクセスする人に対する懲戒処分。
  • c)個人データへのアクセスは、知る必要がある場合に、許可された人にのみ許可されるものとします。
  • d)システム管理者のリストを維持し、システム管理者を監視するための適切な措置を講じます。
  • e)許可されていない人物が発信者の情報を削除できるようにするために、ストレージシステム上の個人データをコピーまたは複製しないこと。
  • f)データの管理および文書化された削除または破棄。
  • g)法律上または規制上の理由(データを保持する義務など)で保持する必要のあるすべての個人データを、法律で義務付けられている期間のみ安全に保管すること。

1.6トランスミッション制御

データストレージデバイスの送信または転送中に、許可されていない第三者が個人データを読み取ったり、コピーしたり、変更したり、削除したりしないようにするには、次の対策を講じる必要があります(実行される個人データの処理によって異なります)。

  1. 1.1。 
    1. a)ファイアウォールの使用。
  • b)輸送目的でのモバイルストレージデバイスへの個人データの保存を回避する、またはデバイスを暗号化する。
  • c)暗号化保護がアクティブ化された後にのみ、ラップトップおよびその他のモバイルデバイスで使用する。
  • d)個人データ送信のログ。

1.7データ入力制御

個人データがデータ処理システムに入力されたか、データ処理システムから削除されたか、また誰によって削除されたかを確認および判断できるようにするには、次の対策を講じる必要があります。

  1. 1.1。 
    1. a)保存されたデータの読み取り、変更、および削除を許可するためのポリシー。
  • b)保存されたデータの読み取り、変更、および削除に関する保護措置。

1.8作業管理

個人データの委任処理の場合、そのようなデータが監督者の指示に従って処理されることを保証するために、以下の措置を講じる必要があります。

  1. 1.1。 
    1. a)慎重に選択された、データ処理に割り当てられたエンティティまたはサブエンティティ(管理者に代わって個人データを処理するサービスプロバイダー)。
  • b)データ処理に割り当てられた従業員、エンティティ、またはサブエンティティへの個人データの処理の範囲に関する指示。
  • c)データ処理に割り当てられたエンティティまたはサブエンティティと合意した監査権。
  • d)データを処理するために割り当てられたエンティティまたはサブエンティティとの合意。

1.9他の目的のための処理からの分離

他の目的で収集されたデータを個別に処理できるようにするには、次の対策を講じる必要があります。

  1. 1.1。 
    1. a)ユーザーの既存の権利に従って個人データへの個別のアクセス。
  • b)インターフェース、バッチ処理、およびレポートは他の目的および機能のためのものであるため、他の目的で収集されたデータを個別に処理できます。

1.10偽名化

個人データの仮名化に関しては、以下の措置を講じる必要があります。

  1. 1.1。 
    1. a)データエクスポータが特定の処理操作を注文した場合、または特定の処理アクティビティに関して施行されているデータ保護法に従ってデータインポータがこれを適切と見なした場合、個人データの処理は次のように実行されます。追加情報を使用しないと、データを特定の人物に帰属させることはできなくなります。この追加情報は個別に保持されます。
  • b)割り当てリストのランダム化を含む仮名化手法の使用。シャープの形での価値の創造。

1.11暗号化

暗号化をサポートするアプリケーションおよび送信で個人データを暗号化するには、次の手順を実行する必要があります。

  1.  
    1. a)暗号化技術の使用。
  • b)使用が許可されている暗号化技術をサポートするための暗号化管理の確立。
  • c)暗号化キーを生成、変更、取り消し、破棄、配布、認証、保存、キャプチャ、使用、およびアーカイブして、不正な変更や開示から保護するための手順とプロトコルを通じて、暗号化の使用をサポートします。

1.12データ処理システムおよびサービスの完全性

データ処理システムおよびサービスの完全性を確保するには、次の対策を講じる必要があります。

  1. 1. a)適切な手段(ウイルス対策ソフトウェア、データ損失防止ソフトウェア、マルウェアに対するソフトウェア、ソフトウェアパッチ、ファイアウォール、マネージドデスクトップ保護など)による操作または破壊からのデータ処理システムの保護。
  • b)データ処理システム、サービス、または個人データの操作に有害なサービスまたはソフトウェアのインストールを禁止する。
  • c)ネットワーク自体の構造におけるネットワーク侵入検知および防止システムの使用。

1.13データ処理システムおよびサービスの可用性、および重大または技術的なインシデントが発生した場合に個人データへのアクセスと使用を復元する可能性

データ処理システムの可用性を確保し、重要または技術的なインシデントが発生した場合に個人データの可用性とアクセスを迅速に復元できるようにするために、次の対策を講じる必要があります(特に、個人データは偶発的な破壊または損失から保護されます):

  • a)バックアップコピーを保持し、失われたデータまたは削除されたデータを復元するための制御手段を持っている。
  • b)インフラストラクチャの冗長性とパフォーマンステスト。
  • c)コンピュータリソースの物理的保護。
  • d)内部ネットワークのステータスと可用性を監視するためのツールの使用。
  • e)インシデント管理手順を管理するインシデントの報告と対応のポリシー、および定期的なトレーニングの一環としてのこれらのポリシーの順守の繰り返し。
  • f)システムを復元して、システムがその機能を再び実行できるようにするためのバックアップ(場合によってはオフサイト)。
  • g)事業継続/災害復旧計画

1.14データ処理システムとサービスの回復力

データ処理システムおよびサービスの復元力を確保するには、次の対策を講じる必要があります。

  • a)承認されたセキュリティパラメータを使用して、システムが調和して構成されている。
  • b)ネットワークの冗長性。
  • c)重要なシステムの封じ込め保護。

1.15データ処理のセキュリティを確保するための技術的および組織的対策の有効性を定期的にテスト、評価、および評価するための手順

データ処理を保護するための技術的および組織的対策の有効性を定期的にテスト、評価、および評価するための手順。

  • a)リスクと軽減戦略を評価するために必要な措置を講じます。
  • b)現在の問題に対処するためのIT部門のサービス分析会議。
  • c)事業継続/災害復旧計画は定期的に更新されます。

 

パート3

当事者の署名とデータインポーターのリスト

 

オンライン注文フォームに記入し、一般的な利用規約に同意するボックスにチェックマークを付けて検証すると、顧客とPOSTCODEZIPの関係を規定する契約が確立されます。

POSTCODEZIPに支払いを送信すると、合意され確立された契約が考慮されます。

注意してください:このテキストはフランス語から翻訳されています。有効で法的に制限されている元のフランス語バージョンは、こちらから入手でき ます